Saltar al contenido principal

Pulverización de contraseñas - Ataques lentos y discretos a cuentas

Lectura de 2 min aprox.

Un ataque de password spraying es una técnica en la que se prueban contraseñas de uso común como «123456» o «Password1» contra un gran número de cuentas, con pocos intentos a la vez. Al limitar el número de intentos contra una sola cuenta, evita el bloqueo de la cuenta y dificulta su detección. Se observa con frecuencia en ataques contra Microsoft 365 y Azure AD (ahora Entra ID), y en 2024 se confirmó el password spraying por parte de grupos de ataque patrocinados por estados en varias grandes empresas tecnológicas.

Casos de uso reales

«Al analizar los registros de inicio de sesión de Azure AD, detectamos intentos de inicio de sesión con la misma contraseña "Company2024!" contra más de 200 cuentas. Cada cuenta se probó solo una vez y no se produjo ningún bloqueo, por lo que hemos determinado que se trata de un ataque de password spraying.»

Diagrama del patrón de ataque

Atacante: selecciona una contraseña de uso común
Probar en la cuenta A
Probar en la cuenta B
Probar en la cuenta C
Solo una vez por cuenta → evita el bloqueo
Esperar un tiempo y reintentar con la siguiente contraseña

La diferencia con un ataque de fuerza bruta

Mientras que un ataque de fuerza bruta prueba una enorme cantidad de contraseñas contra una sola cuenta, el password spraying prueba una sola contraseña contra muchas cuentas. La fuerza bruta se puede detectar y defender fácilmente con el bloqueo de cuentas, pero como el password spraying realiza solo uno o dos intentos por cuenta, nunca alcanza el umbral de bloqueo. También se diferencia del credential stuffing: en lugar de usar una lista de contraseñas filtradas, usa contraseñas comunes estadísticamente frecuentes.libros de introducción a la seguridad de autenticación (Amazon) permiten aprender de forma sistemática.

Medidas de defensa

La defensa más eficaz es usar una contraseña larga y aleatoria generada por una herramienta como passtsuku.com, eliminando las contraseñas simples que aparecen en las listas de contraseñas comunes. A nivel organizativo, la adopción en toda la empresa de la autenticación multifactor (MFA) es una contramedida decisiva. El bloqueo inteligente de Azure AD y la detección de patrones anómalos en los registros de autenticación (la misma contraseña fallando en muchas cuentas en un periodo corto) también son eficaces. Consulte también los detalles de los ataques de password spraying.libros sobre protección de cuentas (Amazon) también son referencias útiles.

Términos relacionados

¿Te resultó útil este artículo?

XHatena