Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Ataque de pulverización de contraseñas: ¿Cómo Detectarlos y Mitigarlos?

Por y editado por
Ataque de pulverización de contraseñas

Establecer un umbral de bloqueo de cuentas puede impedir que los piratas informáticos lleven a cabo ataques de fuerza bruta para adivinar las contraseñas de las cuentas de usuario. Pero ahora los piratas informáticos recurren cada vez más a los ataques de pulverización de contraseñas para sortear los ajustes de bloqueo de intentos de inicio de sesión.

En comparación con un ataque tradicional de fuerza bruta, un ataque de pulverización de contraseñas es relativamente sencillo de ejecutar y tiene un bajo índice de detección.

Entonces, ¿qué es realmente un ataque de pulverización de contraseñas, cómo funciona, cómo puede evitarlo y qué debe hacer para remediar un ataque de pulverización de contraseñas? Averigüémoslo.

¿Qué es un ataque de pulverización de contraseñas?

Ataque de pulverización de contraseñas-2

Un ataque de pulverización de contraseñas es un tipo de ciberataque en el que los actores de la amenaza pulverizan contraseñas de uso común en varias cuentas de una organización, esperando que algunas contraseñas les ayuden a obtener acceso a las cuentas de los usuarios.

Los piratas informáticos utilizan una única contraseña de uso común contra varias cuentas de una empresa. Si no consiguen acceder a ninguna cuenta en el primer intento, pasarán a utilizar una contraseña diferente para llevar a cabo la pulverización de contraseñas al cabo de unos días.

Repitan el proceso hasta que consigan acceder a una cuenta de la empresa. Como no se utilizan varias contraseñas contra una misma cuenta en poco tiempo, los ajustes de bloqueo de intentos de acceso no bloquean las cuentas debido a un exceso de intentos fallidos.

Una vez dentro de una red corporativa, pueden llevar a cabo diversas actividades para cumplir sus objetivos maliciosos.

Hoy en día, los usuarios tienen varias cuentas. Crear una contraseña segura para cada cuenta es una tarea engorrosa, por no hablar de recordar esas contraseñas.

Por eso, muchos usuarios crean contraseñas fáciles para facilitar el proceso. Pero las contraseñas fáciles son populares y conocidas. Cualquiera puede buscar en Google las contraseñas más comunes y obtener la lista de las más utilizadas. Este escenario ha alimentado el crecimiento de los ataques de pulverización de contraseñas.

El proveedor de espacios de trabajo digitales y redes empresariales Citrix confirmó que los actores de amenazas obtuvieron acceso a la red interna de la empresa mediante un esfuerzo de pulverización de contraseñas durante el 13 de octubre de 2018 y el 8 de marzo de 2019.

Microsoft también validó ataques de pulverización de contraseñas contra más de 250 clientes de Office 365.

¿Cómo funciona un ataque de pulverización de contraseñas?

Password-Spraying-Attack-Work
Fuente de la imagen: Brazo de pared

He aquí los tres pasos de un ataque de pulverización de contraseñas exitoso.

#1. Recopilar la lista de nombres de usuario

El primer paso para llevar a cabo un ataque de pulverización de contraseñas es hacerse con una lista de nombres de usuario de una organización.

Normalmente, las empresas emplean una convención estandarizada para los nombres de usuario, haciendo que las direcciones de correo electrónico de los usuarios sean sus nombres de usuario por defecto para las cuentas asociadas. Se necesita poco esfuerzo para adivinar las direcciones de correo electrónico de los usuarios, ya que el formato de correo electrónico más utilizado es firstname.lastname@companyname.com.

Los actores de amenazas también pueden conocer las direcciones de correo electrónico de los usuarios visitando el sitio web de la empresa, los perfiles de LinkedIn de los empleados u otros perfiles relevantes en línea.

Alternativamente, pueden comprar una lista de nombres de usuario fácilmente disponible en la web oscura.

#2. Pulverizar contraseñas

Una vez que tengan una lista de nombres de usuario, buscarán "la lista de contraseñas más comunes" Las búsquedas en Google y Bing pueden proporcionar rápidamente a los piratas informáticos una lista de las contraseñas más comunes de un año determinado. Para aumentar sus posibilidades de éxito, los piratas informáticos pueden modificar la lista de contraseñas más utilizadas en función de la ubicación geográfica de los usuarios.

Por ejemplo, pueden tener en cuenta los equipos/jugadores deportivos populares, las actividades culturales, la música, etc. Si una organización tiene su sede en Chicago, los hackers pueden combinar los Chicago Bears con contraseñas de uso común para pulverizar las contraseñas.

Después de rociar una sola contraseña contra varias cuentas, esperarán al menos entre 30 y 50 minutos antes de iniciar el siguiente ataque de rociado para evitar el bloqueo de cuentas.

Los piratas informáticos pueden utilizar varias herramientas automatizadas para automatizar el proceso de pulverización.

#3. Obtener acceso a las cuentas

Si el ataque de pulverización tiene éxito, el atacante obtendrá acceso a las cuentas de los usuarios. Basándose en los privilegios de esas cuentas comprometidas, los atacantes pueden realizar diversas actividades maliciosas, como instalar malware, robar datos confidenciales, realizar compras fraudulentas, etc.

Además, supongamos que el atacante es capaz de entrar en la red corporativa. En ese caso, pueden profundizar en su red a través del movimiento lateral para buscar activos de alto valor y aumentar sus privilegios.

Rociado de contraseñas vs. Relleno de credenciales vs. Ataque de fuerza bruta

relleno de credenciales
Fuente de la imagen: Cloudflare

En los ataques de relleno de credenciales con contraseñaEn la actualidad, los actores de amenazas utilizan credenciales robadas de una organización para acceder a cuentas de usuario en varias plataformas.

Los actores de amenazas se aprovechan del hecho de que muchas personas utilizan los mismos nombres de usuario y contraseñas para acceder a sus cuentas en múltiples sitios web. Como cada vez se exponen más credenciales de acceso debido a los crecientes incidentes de filtración de datos, los piratas informáticos tienen ahora más oportunidades de llevar a cabo ataques de robo de credenciales.

Por otro lado, un ataque de fuerza bruta utiliza el método de ensayo y error para descifrar contraseñas y credenciales de inicio de sesión. Los ciberdelincuentes intentan adivinar las contraseñas correctas probando una amplia gama de combinaciones. Utilizan herramientas de ataque de fuerza bruta para acelerar el proceso.

Los ajustes de bloqueo de intentos de inicio de sesión pueden evitar los ataques de fuerza bruta, ya que las cuentas en cuestión se bloquearán una vez que el sistema detecte demasiados intentos de inicio de sesión fallidos en poco tiempo.

En los ataques de pulverización de contraseñas, los hackers prueban una única contraseña de uso común contra varias cuentas de una organización. Como los actores de las amenazas no prueban varias contraseñas en una sola cuenta en poco tiempo, los ataques de pulverización de contraseñas pueden eludir los ajustes de bloqueo por intento de inicio de sesión.

Cómo puede afectar a su empresa el rociado de contraseñas

Cómo-el-pirateo-de-contraseñas-puede-afectar-a-su-empresa-1

He aquí cómo puede afectar a su empresa el éxito de un ataque de pulverización de contraseñas:

  • Al obtener acceso no autorizado a las cuentas de su organización, los actores de amenazas pueden exponer información confidencial, registros financieros, datos de clientes y secretos comerciales.
  • Los actores de amenazas podrían utilizar las cuentas comprometidas para realizar transacciones fraudulentas, compras no autorizadas o incluso desviar dinero de las cuentas de su empresa.
  • Una vez que los piratas informáticos obtienen acceso no autorizado a las cuentas de usuario de su empresa, pueden cifrar datos cruciales y pedir un rescate a cambio de la clave de descifrado.
  • Un ataque de robo de contraseñas puede provocar una violación de datos, lo que puede acarrear pérdidas financieras y de reputación para su empresa. Es probable que los incidentes de violación de datos provoquen la erosión de la confianza de los clientes. Como resultado, pueden llevarse sus negocios a sus competidores.
  • Necesitará recursos para responder a una violación de datos, obtener asesoramiento jurídico y contratar a expertos externos en ciberseguridad. Por lo tanto, el rociado de contraseñas provocará una importante fuga de recursos.

En pocas palabras, un ataque exitoso de pulverización de contraseñas tendrá un efecto en cascada en varios aspectos de su negocio. Esto puede incluir consecuencias financieras, operativas, legales y de reputación.

Cómo detectar los ataques de pulverización de contraseñas

Candado desbloqueado y pantalla de inicio de sesión entre los dedos

He aquí los principales signos reveladores de un ataque de pulverización de contraseñas:

  • Se observa un alto volumen de actividad de inicio de sesión en poco tiempo.
  • Hay un alto volumen de contraseñas rechazadas contra múltiples cuentas en un breve espacio de tiempo.
  • Observa intentos de inicio de sesión de usuarios no activos o inexistentes.
  • Hay intentos de inicio de sesión desde direcciones IP que no coinciden geográficamente con la ubicación conocida de los usuarios.
  • Se producen intentos de acceso a varias cuentas en horas intempestivas o fuera de su horario laboral. Y se está utilizando una sola contraseña para acceder a esas cuentas a la vez.

Debe revisar los registros de autenticación en busca de fallos de inicio de sesión en el sistema y en las aplicaciones de cuentas válidas para detectar ataques de pulverización de contraseñas.

Cómo remediar un ataque de pulverización de contraseñas

Pantalla de inicio de sesión con un candado colocado en el mapamundi para representar la seguridad de la contraseña

Si sospecha que los piratas informáticos están intentando un ataque de pulverización de contraseñas, a continuación le indicamos los puntos de acción a seguir:

  • Instruya a sus empleados para que cambien todas las contraseñas inmediatamente y habilite MFA si alguno de ellos no lo ha hecho hasta ahora.
  • Despliegue una herramienta de detección y respuesta de puntos finales (EDR ) para rastrear cualquier actividad maliciosa en los puntos finales de su empresa con el fin de evitar el movimiento lateral de los piratas informáticos en caso de ataque de pulverización de contraseñas.
  • Compruebe si hay indicios de robo o encriptación de datos y elabore un plan para restaurar los datos desde la copia de seguridad después de asegurarse de que todas las cuentas son seguras. Implemente una solución de seguridad de para salvaguardar sus datos.
  • Mejore la sensibilidad de sus productos de seguridad para identificar los intentos fallidos de inicio de sesión en varios sistemas.
  • Revise los registros de eventos para comprender qué ocurrió, cuándo ocurrió y cómo ocurrió para mejorar su plan de respuesta a incidentes.

Los piratas informáticos intentan aprovechar las vulnerabilidades del software para elevar sus privilegios. Así que asegúrese de que sus empleados instalan todas las actualizaciones y parches de software.

Cómo prevenir los ataques de rociado de contraseñas

Las siguientes son algunas estrategias para evitar que los piratas informáticos accedan a las cuentas de los usuarios mediante ataques de pulverización de contraseñas.

#1. Siga una política de contraseñas seguras

Política de contraseña segura

Los ataques de pulverización de contraseñas tienen como objetivo contraseñas débiles y fáciles de adivinar. La aplicación de una política de contraseñas fuertes obligará a sus empleados a crear contraseñas fuertes y complejas que los hackers no puedan adivinar ni encontrar en Internet. Como resultado, las cuentas de usuario de su organización estarán protegidas de los ataques de pulverización de contraseñas.

He aquí los puntos clave que debe incorporar su política de contraseñas:

  • Las contraseñas deben tener al menos 12 caracteres, incluyendo mayúsculas, minúsculas y caracteres especiales.
  • Debe existir una lista de denegación de contraseñas, lo que significa que los usuarios no deben incluir sus fechas de nacimiento, lugares de nacimiento, títulos de trabajo o nombres de seres queridos en sus contraseñas.
  • Todas las contraseñas deben caducar al cabo de cierto tiempo.
  • Todos los usuarios deben crear contraseñas diferentes para cuentas diferentes.
  • Debe existir un umbral de bloqueo de cuentas para bloquear las cuentas de los usuarios si se producen múltiples intentos fallidos de inicio de sesión.

Implementar una buena herramienta de control aseñas puede ayudar a los usuarios a crear contraseñas seguras y evitar el uso de las contraseñas más comunes.

Losmejores gestores de contr aseñas pueden ayudarle a determinar si sus contraseñas están expuestas en alguna filtración de datos.

#2. Imponga la autenticación multifactor (MFA)

Autenticación multifactor MFA

La autenticación multifactor (MFA) añade una capa adicional de seguridad a las cuentas. Cuando está activada, la MFA requiere que los usuarios presenten uno o más factores de verificación además de los nombres de usuario y las contraseñas antes de concederles acceso a las cuentas en línea.

Al implantar la autenticación multifactor en su empresa, puede proteger las cuentas en línea de ataques de fuerza bruta, ataques de diccionario, ataques de pulverización de contraseñas y otros tipos de ataques a las contraseñas. Esto se debe a que los actores de amenazas no tendrán acceso a los factores de verificación adicionales enviados a través de SMS, correos electrónicos o aplicaciones autenticadoras de contraseñas.

Además, la autenticación multifactor puede evitar que sus cuentas en línea sufran ataques de keyloggers.

#3. Implemente la autenticación sin contraseña

Implementar autenticación sin contraseña-1

La autenticación sin contraseña hace uso de la biometría, los enlaces mágicos, los tokens de seguridad y otros elementos para autenticar a los usuarios. Como no se utilizan contraseñas para acceder a las cuentas, los piratas informáticos no podrán llevar a cabo ataques de pulverización de contraseñas.

Por lo tanto, la autenticación sin contraseña es una forma infalible de evitar la mayoría de los ataques con contraseña. Puede explorar estas soluciones de autenticación sin contraseña para proteger las cuentas de su empresa.

#4. Compruebe la preparación realizando ataques simulados

Debe comprobar la preparación de sus empleados para luchar contra los ataques de rociado de contraseñas llevando a cabo un ataque de rociado de contraseñas simulado. Esto le ayudará a comprender mejor su postura de seguridad de contraseñas y a tomar las medidas necesarias para mejorar la seguridad de contraseñas en su empresa.

#5. Dispone de una herramienta de detección de inicios de sesión

Debería configurar una herramienta de auditoría en tiempo real para detectar intentos de inicio de sesión sospechosos. La herramienta adecuada puede ayudarle a identificar intentos sospechosos de inicio de sesión en varias cuentas desde un mismo host en un breve espacio de tiempo, intentos de inicio de sesión en varias cuentas inactivas, numerosos intentos de inicio de sesión fuera de su horario laboral, etc.

Una vez que descubra cualquier actividad sospechosa de inicio de sesión, puede tomar medidas correctivas para bloquear los intentos no autorizados de acceder a sus cuentas. Estas acciones pueden incluir el bloqueo de cuentas comprometidas, el cambio de la configuración de la bola de fuego, la activación de la autenticación multifactor, etc.

#6. Forme a sus empleados

Empleados sentados en una sala de reuniones

Sus empleados desempeñan un papel crucial en la protección de las cuentas de los usuarios frente a los ataques de pulverización de contraseñas. Todos los controles técnicos de seguridad, por buenos que sean, no funcionarán si sus empleados no crean contraseñas seguras y habilitan la autenticación multifactor en sus cuentas.

Así que organice programas de concienciación sobre ciberseguridad con regularidad para educar a sus empleados sobre los distintos ataques con contraseña y cómo prevenirlos. Asegúrese de que saben cómo crear una contraseña suficientemente compleja.

Conclusión

Un ataque de pulverización de contraseñas puede causar graves daños a su empresa, incluyendo el compromiso de cuentas, la violación de datos y futuros ataques de ciberseguridad. Por ello, debería aumentar la seguridad de las contraseñas en su empresa.

Aplicar una política de contraseñas estricta, implantar la MFA, adoptar la autenticación sin contraseña, disponer de una herramienta de detección de inicios de sesión y formar a sus empleados puede ayudarle a prevenir los ataques de pulverización de contraseñas.

También debería intentar ser creativo a la hora de elegir la convención de nombres de usuario de su empresa. Deje de utilizar el habitual one-firstname.secondname@companyname.com.

Para mejorar la seguridad de las cuentas en su empresa, puede explorar estas plataformas de enlace mágico para la autenticación sin contraseña.

  • Sandeep Babu
    Autor
  • Narendra Mohan Mittal
    Editor

    Narendra Mohan Mittal es un versátil y experimentado estratega de marca digital y editor de contenidos con más de 12 años de experiencia. Es medalla de oro en M-Tech y B-Tech en Informática e Ingeniería.


    Actualmente,... Seguir leyendo

Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder