¿Qué es un ataque de pulverización de contraseñas?
La pulverización de contraseñas es un tipo de ataque de fuerza bruta en el que un actor malicioso intenta utilizar la misma contraseña en varias cuentas, antes de probar con otra. Los ataques de pulverización de contraseñas suelen ser eficaces porque muchos usuarios utilizan contraseñas sencillas y fáciles de adivinar, como "contraseña" o "123456", entre otras.
En muchas organizaciones, los usuarios se bloquean después de un cierto número de intentos fallidos de inicio de sesión. Dado que la pulverización de contraseñas consiste en probar una contraseña en varias cuentas, se evitan los bloqueos de cuentas que suelen producirse cuando se realizan ataques de fuerza bruta a una sola cuenta con varias contraseñas.
Una característica particular de la pulverización de contraseñas —como indica la palabra "pulverización"— es que puede dirigirse a miles o incluso millones de usuarios diferentes a la vez, en lugar de a una sola cuenta. El proceso suele automatizarse y llevarse a cabo de manera gradual para evitar su detección.
Los ataques de pulverización de contraseñas suelen producirse cuando la aplicación o el administrador de una determinada organización establece una contraseña de forma predeterminada para los nuevos usuarios. El inicio de sesión único y las plataformas basadas en la nube también suelen ser muy vulnerables.
Aunque la pulverización de contraseñas puede parecer simplista en comparación con otros tipos de ciberataques, incluso los grupos de ciberdelincuentes más sofisticados la utilizan.
¿Cómo funciona un ataque de pulverización de contraseñas?
Los ataques de pulverización de contraseñas suelen constar de las siguientes fases:
Fase 1: los ciberdelincuentes compran una lista de nombres de usuario o crean su propia lista
Por lo general, para iniciar un ataque de pulverización de contraseñas, los ciberdelincuentes empiezan por comprar listas de nombres de usuarios robadas de diversas organizaciones. Se calcula que hay más de 15 000 millones de credenciales a la venta en la red oscura.
Otra posibilidad es que los ciberdelincuentes creen su propia lista usando los formatos que siguen las direcciones de correo electrónico corporativas (por ejemplo, nombre.apellido@nombredelaempresa.com), y recopilando nombres de empleados a través de LinkedIn u otras fuentes públicas de información.
En ocasiones, los ciberdelincuentes se centran en grupos específicos dentro de la empresa —empleados financieros, administradores o directivos—, ya que los enfoques selectivos suelen dar mejores resultados.
Muchas veces se enfocan en empresas o departamentos que utilizan protocolos de inicio de sesión único (SSO, por sus siglas en inglés) o autenticación federada —por ejemplo, la posibilidad de iniciar sesión en Facebook con tus credenciales de Google—, o que no implementaron la autenticación multifactor.
Fase 2: los ciberdelincuentes obtienen una lista de contraseñas de uso frecuente
Los ataques de pulverización de contraseñas emplean listas de contraseñas frecuentes o predeterminadas. Es relativamente sencillo averiguar cuáles son las contraseñas más frecuentes. He aquí una lista de ejemplo de las contraseñas más utilizadas en Mexico.
Los ciberdelincuentes también investigan por su cuenta para adivinar las contraseñas, por ejemplo, con el nombre de equipos deportivos o lugares emblemáticos de la zona en la que se encuentra una organización.
Fase 3: los ciberdelincuentes prueban distintas combinaciones de nombre de usuario y contraseña.
Una vez que el ciberdelincuente tiene una lista de nombres de usuario y contraseñas, el objetivo es probarlos hasta encontrar una combinación que funcione. Con frecuencia, el proceso se automatiza con herramientas de pulverización de contraseñas.
Los ciberdelincuentes utilizan una contraseña para muchos nombres de usuario, y luego repiten el proceso con la siguiente contraseña de la lista, para evitar la activación de las políticas de bloqueo o los bloqueadores de direcciones IP que restringen los intentos de inicio de sesión.
El impacto de los ataques de pulverización de contraseñas
Una vez que un atacante accede a una cuenta a través de este método, tendrá la expectativa de que contenga información lo suficientemente valiosa como para robarla o que tenga los permisos necesarios para debilitar aún más las medidas de seguridad de la organización y obtener acceso a datos aún más confidenciales.
Los ataques de pulverización de contraseñas, cuando tienen éxito, ocasionan daños importantes a las organizaciones. Por ejemplo, un atacante que utilice credenciales aparentemente legítimas puede acceder a cuentas financieras y realizar compras fraudulentas. Si no se detecta, puede suponer una carga financiera para la empresa afectada. El tiempo de recuperación de un ciberataque puede ser de varios meses o más.
Además de afectar a las finanzas de una organización, la pulverización de contraseñas puede ralentizar o interrumpir las operaciones diarias de manera considerable. Los correos electrónicos maliciosos enviados a toda la empresa pueden reducir la productividad. Si el atacante logra piratear la cuenta de una empresa, podría robar información privada, cancelar compras o cambiar la fecha de entrega de los servicios.
Y también está el daño a la reputación: si una empresa sufre un ataque exitoso de este tipo, es menos probable que los clientes confíen en que sus datos están seguros con esa organización. Por tanto, es probable que decidan hacer negocios con otra empresa, lo que provocará un mayor perjuicio.
Diferencias entre la pulverización de contraseñas y los ataques de fuerza bruta
En un ataque de pulverización de contraseñas se intenta acceder a una gran cantidad de cuentas con unas pocas contraseñas de uso frecuente. En cambio, en los ataques de fuerza bruta se intenta obtener acceso no autorizado a una sola cuenta adivinando la contraseña, muchas veces utilizando listas extensas de contraseñas posibles.
En otras palabras, en los ataques de fuerza bruta se utilizan muchas contraseñas para cada nombre de usuario. En la pulverización de contraseñas se utilizan muchos nombres de usuario con una sola contraseña. Son diferentes formas de realizar ataques de autenticación.
Indicios de un ataque de pulverización de contraseñas
Los ataques de pulverización de contraseñas suelen originar frecuentes intentos fallidos de autenticación en varias cuentas. Las organizaciones pueden detectar este tipo de actividad maliciosa al examinar los registros de autenticación en busca de fallos en el inicio de sesión de cuentas válidas en sistemas y aplicaciones.
En general, estos son los principales indicios de que se trata de un ataque de pulverización de contraseñas:
- Un gran volumen de registros de inicio de sesión en un período corto.
- Un incremento repentino de los intentos fallidos de inicio de sesión por parte de los usuarios activos.
- Inicios de sesión de cuentas inexistentes o inactivas.
Cómo defenderse de los ataques de pulverización de contraseñas
Las organizaciones pueden protegerse de los ataques de pulverización de contraseñas tomando las siguientes precauciones:
Aplica una política de contraseñas seguras
Al exigir el uso de contraseñas seguras, los equipos de TI minimizarán el riesgo de ataques de pulverización de contraseñas. Aquí puedes leer cómo crear una contraseña segura.
Configura la detección de inicio de sesión
Los equipos de TI también deben implementar la detección de intentos de inicio de sesión en varias cuentas que se produzcan desde un mismo host en un breve período, ya que es un claro indicador de intentos de pulverización de contraseñas.
Garantiza políticas estrictas de bloqueo
Establecer un umbral adecuado para la política de bloqueo al nivel del dominio sirve como defensa contra la pulverización de contraseñas.
El umbral debe lograr un equilibrio entre ser lo suficientemente bajo como para evitar que los atacantes realicen múltiples intentos de autenticación dentro del período de bloqueo, pero no tan bajo como para que los usuarios legítimos queden bloqueados de sus cuentas por simples errores.
También debería haber un proceso claro para desbloquear y restablecer a los usuarios de cuentas verificadas.
Adopta un enfoque de confianza cero
Uno de los pilares del método de confianza cero es proporcionar acceso solo a lo que sea necesario en cada momento para realizar la tarea en cuestión. Aplicar la confianza cero en una organización contribuye en gran medida a la seguridad de la red.
Utiliza una convención de nombres de usuario no estándar
Evita utilizar nombres de usuario obvios como john.doe o jdoe —que son los que más suelen utilizarse para los nombres de usuario— para cualquier cosa que no sea el correo electrónico. Separar los nombres de usuario no estándar de las cuentas de inicio de sesión único es una forma de eludir a los atacantes.
Utiliza biometría
Para evitar que los atacantes aprovechen las posibles debilidades de las contraseñas alfanuméricas, algunas organizaciones exigen un inicio de sesión biométrico. Sin la persona presente, el atacante no podrá iniciar sesión.
Busca patrones
Comprueba que con todas las medidas de seguridad implementadas se puedan detectar rápidamente patrones de inicio de sesión sospechosos, como que se esté intentando iniciar sesión en muchas cuentas de forma simultánea.
El uso de un administrador de contraseñas puede ayudar
Las contraseñas están pensadas para proteger la información confidencial frente a los atacantes. Sin embargo, el usuario medio de hoy en día tiene tantas contraseñas que es difícil hacer un seguimiento de todas ellas, sobre todo porque se supone que cada conjunto de credenciales es único.
Para intentar llevar un control, algunos usuarios cometen el error de utilizar contraseñas obvias o fáciles de adivinar, y con frecuencia utilizan la misma contraseña en diversas cuentas. Estas son precisamente las contraseñas más vulnerables a los ataques de pulverización de contraseñas.
En los últimos años, las aptitudes y herramientas de los atacantes evolucionaron de manera considerable. Hoy en día, las computadoras son mucho más rápidas a la hora de adivinar contraseñas. Los atacantes utilizan la automatización para atacar bases de datos de contraseñas o cuentas en línea, y dominan técnicas y estrategias específicas que dan más resultado.
Para los usuarios particulares, usar un administrador de contraseñas, como Kaspersky Password Manager, puede resultar útil. Los administradores de contraseñas combinan complejidad y longitud para ofrecer contraseñas difíciles de descifrar.
También eliminan la carga de tener que recordar diferentes datos de acceso y, además, permiten comprobar si se repiten las contraseñas de diferentes servicios. Son una solución práctica para que las personas generen, administren y almacenen credenciales únicas.