Pulverización de contraseñas: qué es y cómo evitarlo

Las claves de acceso son la principal barrera de seguridad que evita la entrada de intrusos en nuestras cuentas de redes sociales, correo electrónico o cualquier servicio. Esto hace que los piratas informáticos pongan aquí sus miras y busquen la manera de robarlas. Hay diferentes métodos y muy diferentes además. En este artículo vamos a explicar qué es la pulverización de contraseñas. Vamos a ver en qué consiste y también daremos consejos para evitar ser víctimas y protegernos.

Cómo funciona la pulverización de contraseñas

La pulverización de contraseñas también se conoce como rociado de claves. Es similar a la fuerza bruta, pero tiene una diferencia importante: en este caso lo que se prueba muchas veces es el nombre de usuario para poder así acceder a una cuenta en concreto.

Es común ver intentos de acceso a una cuenta a través de fuerza bruta. Consiste en que un intruso sabe cuál es el usuario para acceder, pero no la clave. Por ejemplo puede saber cuál es la dirección de e-mail y comienza a probar miles de contraseñas hasta dar con la correcta. Lo mismo pasaría si saben cuál es el nombre de usuario de Facebook o de cualquier otro servicio.

Ahora bien, ¿qué diferencia hay con la pulverización de contraseñas? En este caso el atacante sabe cuál es la contraseña, pero no sabe a qué usuario pertenece. Pongamos que se ha filtrado la clave de un foro de Internet, de una red social o de cualquier aplicación online. Saben que esa contraseña pertenece a algún usuario, pero no saben cuál es el nombre para iniciar sesión.

Lo que hacen en este caso es probar una tras otra las múltiples combinaciones de nombres de usuario hasta dar con el correcto. Incluso podría ocurrir que tuvieran una lista, una base de datos, con todos los nombres de usuario y tan solo tienen que ir probando.

Las claves simples facilitan el rociado de contraseñas

Sin duda el uso de contraseñas débiles es lo que facilita este tipo de ataques. Alguna vez hemos hablado de cuáles son las claves más comunes y, aunque parezca extraño, siguen siendo las típicas 123456, 12341234 y similares. Eso es un problema importante.

¿Qué ocurre exactamente? Pensemos en una cuenta de Facebook, de Netflix o cualquier otra plataforma. Con total probabilidad alguien estará usando alguna de esas contraseñas genéricas y simples que hemos mencionado. Lo único que necesitaría el atacante es saber cuál es el nombre de usuario que va a corresponder con esa clave.

Entonces lo que hacen es probar muchos nombres de usuario. Puede que tengan una lista de todos ellos o no, ya que simplemente podrían ir probando también los nombres más generales. Un ataque de fuerza bruta, básicamente, aunque diferente a lo que estamos acostumbrados.

Especialmente este problema aparece en entornos reducidos. Por ejemplo podemos pensar en una pequeña empresa. Pongamos que por algún motivo se ha filtrado una contraseña. Un atacante sabe que esa clave la utiliza algún trabajador, pero no sabe el nombre exacto. Puede que, por otro lado, tenga una lista de posibles nombres de usuarios. Al no haber demasiadas posibilidades, va a tener más éxito que si se trata de, por ejemplo, una red social como Facebook.

Rociado de contraseñas

Cómo evitar los ataques de pulverización de contraseñas

Entonces, ¿qué podemos hacer para evitar los ataques de rociado de contraseñas? Vamos a dar algunos consejos importantes para proteger nuestras claves y evitar el acceso indeseado a nuestras cuentas. Algunas recomendaciones esenciales que debemos poner en práctica en cualquier servicio donde estemos registrados.

Proteger las contraseñas

Lo primero y más importante es proteger las contraseñas. Hemos visto en qué consiste el rociado de claves y para llevar a cabo este tipo de ataques van a necesitar conocer la contraseña. Por ello debemos crear una que sea fuerte y compleja y protegerla.

¿Cómo sería una buena contraseña? Debe ser totalmente aleatoria, única y que contenga letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Por ejemplo sería una buena clave una del tipo 3Di8%$-fHu672-D. Como vemos, añadimos de todo un poco y tiene una longitud considerable.

Pero más allá de la clave que elijamos, es importante protegerla. Por ejemplo debemos cambiarla de forma periódica, así como mantener la seguridad en los equipos. Un método para robar contraseñas es mediante keyloggers. Si contamos con un buen antivirus, como puede ser Windows Defender, Avast o Kaspersky, por nombrar algunos de los más importantes, podemos evitar la entrada de este tipo de software malicioso.

Utilizar la autenticación en dos pasos

Otra cuestión muy importante es la de poder activar la autenticación en dos pasos. Esto es algo que está cada vez más presente y lo podemos ver en servicios como Amazon, Skype, Facebook… Básicamente consiste en agregar una capa extra de seguridad. En caso de que un intruso sepa cuál es la contraseña, necesitaría un segundo paso para poder entrar.

Ese segundo paso suele ser un código que recibimos por SMS, e-mail o incluso a través de aplicaciones como Google Authenticator. Si somos víctimas de la pulverización de contraseñas y alguien logra averiguar el nombre de usuario y la clave, no podría entrar porque necesitaría algo más.

Por tanto, esto es muy interesante para aumentar la protección de cualquier cuenta. Lo debemos tener muy presente y activar siempre que sea posible. Es una de las mejores medidas de seguridad que podemos implementar.

La importancia del uso de la autenticación 2FA

Evitar exponer datos personales

Por supuesto también debemos evitar que nuestros datos queden expuestos en la red. Por ejemplo hay que evitar exponer información que pueda ser utilizada para averiguar el nombre de usuario para entrar en el correo electrónico o cualquier red social.

A veces quedamos información en Internet disponible para cualquiera sin darnos cuenta. Por ejemplo cuando publicamos un mensaje en un foro abierto, datos públicos en redes sociales o incluso un comentario en un artículo en cualquier página web. Todo esto puede ser registrado por bots y, posteriormente, servir para llevar a cabo ataques.

En definitiva, el rociado de contraseñas es un problema importante que puede poner en riesgo nuestras claves. Es importante que estemos protegidos y que sepamos cómo pueden actuar en nuestra contra y evitar que puedan entrar en nuestras cuentas personales.