¡Cuidado con el Password Spraying! Millones de cuentas se ven afectadas

¡Cuidado con el Password Spraying! Millones de cuentas se ven afectadas

Lorena Fernández

Los ataques de fuerza bruta a contraseñas se caracterizan por llevar a cabo cientos de miles de intentos para adivinar la contraseña de alguna cuenta y conseguir el acceso. Sin embargo, existe otro que puede afectar a muchísimos más usuarios de una vez. Se lo conoce como Password Spraying y pondremos énfasis a la importancia de no utilizar contraseñas comunes y fáciles de adivinar.

Qué es Password Spraying

Siempre que creamos una contraseña hay que tener en cuenta una serie de pautas para que sea fuerte y compleja. Todo con el objetivo de dificultar la entrada de posibles intrusos. Sin embargo la realidad es que los usuarios no siempre hacen esto. Password Spraying se aprovecha precisamente de eso. Utiliza las contraseñas débiles y comunes que usan los usuarios para acceder a sus cuentas. Por ejemplo la contraseña 123456 sigue siendo una de las más utilizadas. En definitiva, los ataques Password Spraying se basan en errores que cometen los usuarios. En imprudencias a la hora de generar contraseñas. Hay que mencionar que la probabilidad de utilizar este tipo de contraseñas es bastante elevada.

Con tan solo obtener una contraseña común, podemos tener acceso a varias cuentas de una sola vez. Esto permite que el Password Spraying sea transparente y pase por encima a medidas de seguridad como bloqueo de cuenta por múltiples intentos. Hasta ahora, nos enteramos frecuentemente de la filtración de extensas listas de usuarios y contraseñas. Entre esos registros, es posible aplicar técnicas de manipulación de datos, o simplemente, filtrar los registros en función de las contraseñas que podemos encontrar. Por ejemplo, el atacante puede tener la oportunidad de vulnerar 10,000 cuentas con el uso de una contraseña sencilla, sea «password123» o «contraseña«.

Si tú estás a cargo de la gestión de usuarios en una empresa con Windows Active Directory, es recomendable aplicar el uso de la lista negra de contraseñas. Existen herramientas que comprueban las contraseñas de los usuarios y realizan un cruce con una lista de contraseñas vulnerables, producto de diversas filtraciones de datos personales anteriores. De esta manera, es posible cuantificar las cuentas que están utilizando contraseñas débiles.

SpecOps Password Auditor: herramienta potente y fácil de usar

No tiene ningún coste de acceso y como es de tipo read-only (sólo lectura), con unos pocos clics tendrás acceso a un dashboard que te dará el panorama que necesitas sobre las cuentas y sus contraseñas. La información que logras recolectar se convierte en reportes interactivos que, además de las cuentas y contraseñas, especifica el tipo de política que están aplicando, si lo hacen. Éstos son los tipos de reportes que puedes obtener gracias a este software con licencia gratuita:

  • Cuentas de Administrador inactivas
  • Cuentas con contraseñas expiradas
  • Cuentas con contraseñas próximas a expirar
  • Cuentas con idénticas contraseñas
  • Cuentas que no necesitan contraseñas
  • Cuentas que necesitan de una mínima extensión de caracteres para sus contraseñas

Cómo evitar ser víctima del Password Spraying

Como usuarios finales, tenemos que tener educación orientada a la conciencia de seguridad y poner en práctica día a día los consejos para crear claves seguras, esenciales para prevenir inconvenientes con nuestras cuentas. Si en tu oficina o en cualquier otro lugar, existen oportunidades para educarse sobre seguridad y privacidad de nuestros datos y cómo protegernos, debes aprovecharlo. Cualquier aplicación que utilices y tenga la opción de habilitar autenticación multi-factor, debes hacerlo. Además, otro consejo importante es nunca utilizar una misma contraseña en más de un lugar. En caso de que la averigüen, otras cuentas podrían estar en peligro.

Se puede concluir, sin temor al error, que el principal riesgo para la seguridad de nuestros datos personales somos nosotros mismos. El tomarse un par de minutos a lo sumo, para poder pensar en una contraseña realmente segura y las medidas para protegerla o recuperarla, marca la diferencia. El Password Spraying es uno de los tantos ataques de los cuales podríamos ser víctimas.