Qué es Password Spraying Y Cómo protegerse
Qué es Password Spraying Y Cómo protegerse

¿Qué es el “Password Spraying”? y Cómo Protegerse

Password spraying (en castellano, pulverización de contraseñas) es un tipo de ciberataque de fuerza bruta en el que un ciberdelincuente intenta adivinar la contraseña de un usuario conocido utilizando una lista de contraseñas comunes y fáciles de adivinar, como “123456” o “password“. Este proceso suele estar automatizado y se produce lentamente a lo largo del tiempo para no ser detectado.

La password spraying es un método común que los ciberdelincuentes utilizan para obtener acceso no autorizado a los sistemas informáticos. Por ejemplo, el informe Cost of a Data Breach Report 2021 – IBM descubrió que el 20% de todas las violaciones de datos fueron el resultado de credenciales débiles o comprometidas. El informe de Verizon sobre las filtraciones de datos en 2022 descubrió que cerca del 80% de las filtraciones relacionadas con el pirateo implicaban métodos de fuerza bruta, como la password spraying.

Informe de pirateo con credenciales robadas
Informe de pirateo con credenciales robadas

A continuación, se presenta todo lo que necesitas saber sobre cómo protegerte o proteger a tu organización de los ataques password spraying: cómo funciona password spraying, los riesgos asociados a ella y cómo eliminar por completo la oportunidad de un ataque.

Ejemplo

“Me pidieron que cambiara mi contraseña cuando mi banco fue víctima de un ataque de “Password Spraying”. Resulta que algún hacker consiguió probar millones de combinaciones de nombre de usuario y contraseña contra los usuarios del banco… y yo era uno de ellos.”

Vulnerabilidad de contraseña sacando con pinzas
Vulnerabilidad de contraseña sacando con pinzas

Cómo Funciona el Password Spraying

Los ciberdelincuentes pueden utilizar el spraying de contraseñas para obtener acceso no autorizado a tus sistemas porque la gente suele asegurar sus cuentas con contraseñas obvias (fáciles de adivinar). Las contraseñas obvias lo hacen posible.

1. Los ciberdelincuentes crean o compran una lista de nombres de usuario

En estos momentos hay “más de 15.000 millones de credenciales a la venta en web oscura“. Por lo tanto, para iniciar un ataque de spraying de contraseñas, los ciberdelincuentes suelen empezar por comprar una lista de nombres de usuario robados a otras organizaciones.

Sin embargo, muy a menudo, los ciberdelincuentes también construyen su propia lista utilizando los patrones que siguen las direcciones de correo electrónico de las empresas (por ejemplo, apellidos.nombres@laempresa.com) junto con una lista de personas que trabajan en esa empresa (de LinkedIn, por ejemplo).

2. Los ciberdelincuentes consiguen una lista de contraseñas comunes

Las contraseñas más comunes también son fáciles de encontrar para los actores maliciosos. Por ejemplo, cada año se publican listas de contraseñas comunes en informes o estudios (ver ¡Las 100 Peores Contraseñas del actual año!). Wikipedia también tiene una página que enumera las 10.000 contraseñas más comunes.

Los ciberdelincuentes también pueden elaborar una lista de contraseñas comunes (pero menos obvias) con un poco de investigación adicional. Por ejemplo, si una organización se encuentra en Nueva York, podrían probar con variaciones de “Yankees” o “Knicks” o cualquier otra cosa relacionada con Nueva York que la gente suele utilizar como contraseña.

3. Los ciberdelincuentes prueban combinaciones de nombre de usuario y contraseña

Una vez que un mal actor tiene una lista de nombres de usuario y contraseñas (U/C), los ciberdelincuentes los prueban juntos para encontrar una combinación U/C que funcione. A menudo lo hacen utilizando un sistema automatizado que prueba una contraseña con cada usuario y luego repite este proceso con la siguiente contraseña para evitar ser bloqueados por las políticas de bloqueo de cuentas o los bloqueadores de direcciones IP que restringen los intentos de inicio de sesión.

Los Riesgos Asociados a los Ataques de Password Spraying

Los riesgos asociados a un ataque de spraying de contraseñas dependen del papel de la persona dentro de la organización cuya cuenta fue violada.

Riesgos de Ataques de Password Spraying
Riesgos de Ataques de Password Spraying

Si la cuenta comprometida pertenece a un usuario final (o a varios), por ejemplo, sus datos personales corren el riesgo de ser violados, lo que podría afectarles de diversas maneras, dependiendo de la información a la que un mal actor haya podido acceder. Pero si esa cuenta pertenece a un administrador de sistemas, un ciberdelincuente podría robar información crítica para el negocio, como la propiedad intelectual que fue robada a Citrix en un ataque de password spraying.

Puede parecer poco probable que alguien en una organización utilice una contraseña como “123456” para asegurar su cuenta. Pero un estudio realizado en 2019 por el National Cyber Security Centre descubrió que más de “23,2 millones de cuentas de víctimas en todo el mundo utilizaban 123456 como contraseña.”

A continuación, hay varios métodos que puede utilizar para detener los ataques de spraying de contraseñas, independientemente del comportamiento del usuario, así como varias mejores prácticas de ciberseguridad que te ayudarán a reducir la oportunidad de (y los efectos de) una brecha.

Cómo Detener los Ataques de Password Spraying

Aunque los ataques de password spraying son comunes, se pueden prevenir. Las tecnologías que se detallan a continuación eliminarán la capacidad de los ciberdelincuentes de utilizar password spraying para vulnerar los sistemas de cualquier organización.

Concepto de autenticación sin contraseña
Concepto de autenticación sin contraseña

1. Autenticación sin contraseña

La autenticación sin contraseña elimina por completo las contraseñas y, en su lugar, autentifica a un usuario utilizando datos biométricos, un enlace mágico que verifica la propiedad de una cuenta de correo electrónico, un mensaje SMS que verifica la posesión de un dispositivo, etc. Algunos expertos creen que la autenticación sin contraseña es el futuro de la autenticación porque elimina los comportamientos comunes de contraseñas inseguras que crean la oportunidad de ataques basados en credenciales, como el password spraying.

2. Autenticación multifactorial (MFA)

La MFA utiliza un factor adicional de autenticación (como los utilizados en la autenticación sin contraseña mencionada anteriormente) para verificar la identidad de un usuario además de una combinación de nombre de usuario y contraseña (U/C). Así, incluso si alguien utiliza una contraseña obvia para asegurar su cuenta, se evitaría el acceso no autorizado en caso de un ataque de relleno de contraseñas porque ese ciberdelincuente no podría falsear la identidad del usuario con el segundo factor de autenticación.

Cómo Reducir el Impacto de un Ataque Password Spraying

Los métodos anteriores son eficaces para eliminar la capacidad de los ciberdelincuentes de utilizar el ataque password spraying. contra tu organización. Sin embargo, también hay enfoques adicionales que puedes tomar que no eliminarán la oportunidad de los ataques de password spraying. por completo, pero la reducirán.

Concepto de alerta de seguridad
Concepto de alerta de seguridad

1. Seguir las directrices del NIST sobre contraseñas

Las directrices sobre contraseñas del National Institute of Standards and Technology (NIST) están consideradas como el conjunto de mejores prácticas en materia de contraseñas más sólido del mundo, y seguir sus recomendaciones puede ayudar a reducir la posibilidad de ataques basados en credenciales, como el spraying de contraseñas.

Uno de los requisitos del NIST, por ejemplo, es que cada nueva contraseña de usuario se coteje con una lista de contraseñas violadas. Esto ayuda a las organizaciones a aplicar políticas de contraseñas más sólidas y reduce la posibilidad de que se produzcan otros ataques basados en credenciales, como el “credential stuffing“.

Las directrices del NIST también explican que la longitud es más importante que la complejidad porque es más difícil de descifrar para los ciberdelincuentes. Por tanto, animar a los usuarios a crear contraseñas más largas (pero fáciles de recordar) es mejor que exigir un aumento de la complejidad de la contraseña. Esto también reduce otros comportamientos inseguros de las contraseñas, como la reutilización de las mismas.

2. Limitar el acceso a los sistemas críticos

Cuantas más personas de tu organización tengan acceso a datos o sistemas sensibles, más oportunidades tendrá un ciberdelincuente de acceder a esos sistemas con un ataque de password spraying. Así que lo mejor es revisar y reducir regularmente el número de personas que tienen acceso a esos sistemas.

Las Contraseñas pueden ser una Vulnerabilidad

Un estudio realizado por NordPass muestra que la persona media tiene que recordar 100 contraseñas. Como resultado, muchas personas adoptan comportamientos de contraseñas inseguras (como el uso de contraseñas débiles o la reutilización de la misma contraseña para varias cuentas) para hacer su vida más fácil, a pesar de que estos comportamientos ponen a las organizaciones en riesgo de una violación de datos.

Los gestores de contraseñas pueden ayudar, pero siguen obligando a los usuarios a adoptar un nuevo comportamiento o a gastar dinero para mantener la seguridad de una organización. La eliminación total de las contraseñas elimina el riesgo de ataques basados en credenciales como el relleno de contraseñas y crea una mejor experiencia de usuario (una ventaja competitiva para cualquier empresa).

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda