¿Qué es un ataque de rociado de contraseñas?
El rociado de contraseñas es un tipo de ataque de fuerza bruta en el que un actor malicioso intenta utilizar la misma contraseña en varias cuentas antes de pasar a probar con otra. Los ataques de rociado de contraseñas suelen ser eficaces porque muchos usuarios utilizan contraseñas sencillas y fáciles de adivinar, como "contraseña" o "123456", entre otras.
En muchas organizaciones, los usuarios son bloqueados después de un cierto número de intentos fallidos de inicio de sesión. Dado que los ataques de rociado de contraseñas consisten en probar una contraseña en varias cuentas, evitan los bloqueos de cuentas que suelen producirse cuando se aplica la fuerza bruta a una sola cuenta con varias contraseñas.
Una característica particular del rociado de contraseñas —como indica la palabra "rociado"— es que puede dirigirse a miles o incluso millones de usuarios diferentes a la vez, en lugar de a una sola cuenta. El proceso suele automatizarse y llevarse a cabo gradualmente para evitar su detección.
Los ataques de rociado de contraseñas suelen producirse cuando la aplicación o el administrador de una determinada organización establece una contraseña de forma predeterminada para los nuevos usuarios. El inicio de sesión único y las plataformas basadas en la nube también suelen ser muy vulnerables.
Aunque el rociado de contraseñas pueda parecer simplista en comparación con otros tipos de ciberataques, incluso los grupos de ciberdelincuentes más sofisticados lo utilizan. Por ejemplo, en 2022, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA, por sus siglas en inglés) emitió una alerta sobre ciberagentes patrocinados por el Estado, en la que enumeraba diversas tácticas que utilizan para acceder a redes objetivo, entre las que se incluía el rociado de contraseñas.
¿Cómo funciona un ataque de rociado de contraseñas?
Los ataques de rociado de contraseñas suelen constar de estas fases:
Fase 1: los ciberdelincuentes compran una lista de nombres de usuario o crean su propia lista
Por lo general, para iniciar un ataque de rociado de contraseñas, los ciberdelincuentes empiezan comprando listas de nombres de usuarios, que han sido robadas de diversas organizaciones. Se calcula que hay más de 15 000 millones de credenciales a la venta en la red oscura.
Otra posibilidad es que los ciberdelincuentes creen su propia lista usando los formatos que siguen las direcciones de correo electrónico corporativas; por ejemplo, nombre.apellido@nombredelaempresa.com, y recopilando información sobre los empleados desde LinkedIn u otras fuentes públicas.
En ocasiones, los ciberdelincuentes se centran en grupos específicos de empleados —financieros, administradores o directivos—, ya que los enfoques selectivos suelen dar mejores resultados. Muchas veces se enfocan en empresas o departamentos que utilizan protocolos de inicio de sesión único (SSO, por sus siglas en inglés) o autenticación federada —por ejemplo, la posibilidad de iniciar sesión en Facebook con tus credenciales de Google—, o que no han implementado la autenticación multifactor.
Fase 2: los ciberdelincuentes obtienen una lista de contraseñas de uso frecuente
Los ataques de rociado de contraseñas emplean listas de contraseñas frecuentes o predeterminadas. Es relativamente sencillo averiguar cuáles son las contraseñas más frecuentes: varios informes o estudios las publican cada año, y Wikipedia incluso tiene una página que enumera las 10 000 contraseñas más frecuentes. Los ciberdelincuentes también investigan por su cuenta para adivinar las contraseñas, por ejemplo, con el nombre de equipos deportivos o lugares emblemáticos de una organización.
Fase 3: los ciberdelincuentes prueban distintas combinaciones de nombre de usuario y contraseña
Una vez que el ciberdelincuente tiene una lista de nombres de usuario y contraseñas, el objetivo es probarlos hasta encontrar una combinación que funcione. Con frecuencia, el proceso se automatiza con herramientas de rociado de contraseñas. Los ciberdelincuentes utilizan una contraseña para muchos nombres de usuario, y luego repiten el proceso con la siguiente contraseña de la lista, para evitar caer en las políticas de bloqueo o los bloqueadores de direcciones IP que restringen los intentos de inicio de sesión.
El impacto de los ataques de rociado de contraseñas
Una vez que un atacante accede a una cuenta a través de un ataque de rociado de contraseñas, tendrá la expectativa de que contenga información lo suficientemente valiosa como para robarla o que tenga los permisos necesarios para debilitar aún más las medidas de seguridad de la organización y obtener acceso a datos aún más confidenciales.
Los ataques de rociado de contraseñas, cuando tienen éxito, ocasionan daños importantes a las organizaciones. Por ejemplo, un atacante que utilice credenciales aparentemente legítimas puede acceder a cuentas financieras y realizar compras fraudulentas. Si no se detecta, puede suponer una carga financiera para la empresa afectada. El tiempo de recuperación de un ciberataque puede llevar varios meses o más.
Además de afectar a las finanzas de una organización, el rociado de contraseñas puede ralentizar o interrumpir considerablemente las operaciones diarias. Los correos electrónicos malintencionados en toda la empresa reducen la productividad. Si el atacante se hace con la cuenta de una empresa, podría robar información privada, cancelar compras o cambiar la fecha de entrega de los servicios.
Y luego está el daño a la reputación: si una empresa sufre una filtración de este tipo, es menos probable que los clientes confíen en que sus datos están seguros con esa empresa. Por tanto, probablemente se irán a otra parte, lo que provocará un mayor perjuicio.
Ejemplo de rociado de contraseñas
"Me pidieron que cambiara mi contraseña cuando mi banco sufrió un ataque de rociado de contraseñas. Los actores maliciosos probaron millones de combinaciones de nombres de usuario y contraseñas para acceder a las cuentas de los clientes del banco y, por desgracia, yo fui uno de ellos".
Diferencias entre el rociado de contraseñas y la fuerza bruta
En un ataque de rociado de contraseñas se intenta acceder a una gran cantidad de cuentas con unas pocas contraseñas de uso frecuente. En cambio, en los ataques de fuerza bruta se intenta obtener acceso no autorizado a una sola cuenta adivinando la contraseña, muchas veces utilizando listas extensas de posibles contraseñas.
En otras palabras, en los ataques de fuerza bruta se utilizan muchas contraseñas para cada nombre de usuario. En un rociado de contraseñas se utilizan muchos nombres de usuario con una sola contraseña. Son diferentes formas de realizar ataques de autenticación.
Indicios de un ataque de rociado de contraseñas
Los ataques de rociado de contraseñas suelen originar frecuentes intentos fallidos de autenticación en varias cuentas. Las organizaciones pueden detectar la actividad de rociado de contraseñas al examinar los registros de autenticación en busca de fallos en el inicio de sesión de cuentas válidas en sistemas y aplicaciones.
En general, estos son los principales indicios de que se trata de un ataque de rociado de contraseñas:
- Un gran volumen de registros de inicio de sesión en un corto período.
- Un incremento repentino de los intentos fallidos de inicio de sesión por parte de los usuarios activos.
- Accesos desde cuentas inexistentes o inactivas.
Cómo defenderse de los ataques de rociado de contraseñas
Las organizaciones pueden protegerse de los ataques de rociado de contraseñas tomando las siguientes precauciones:
Aplica una política de contraseñas segura
Al exigir el uso de contraseñas seguras, los equipos informáticos minimizarán el riesgo de ataques de rociado de contraseñas. Aquí puedes leer cómo crear una contraseña segura.
Configura la detección de inicio de sesión
Los equipos de TI también deben implantar la detección de intentos de inicio de sesión en varias cuentas que se produzcan desde un mismo host en un breve período, ya que es un claro indicador de intentos de rociado de contraseñas.
Garantiza políticas estrictas de bloqueo
Establecer un umbral adecuado para la política de bloqueo a nivel de dominio sirve de defensa contra el rociado de contraseñas. El umbral debe lograr un equilibrio entre ser lo suficientemente bajo como para evitar que los atacantes realicen múltiples intentos de autenticación dentro del periodo de bloqueo, pero no tan bajo como para que los usuarios legítimos queden bloqueados de sus cuentas por simples errores. También debería haber un proceso claro para desbloquear y restablecer a los usuarios de cuentas verificadas.
Adopta un planteamiento de confianza cero
Uno de los pilares del enfoque de confianza cero es proporcionar acceso solo a lo que sea necesario en cada momento para realizar la tarea en cuestión. Aplicar la confianza cero en una organización contribuye enormemente a la seguridad de la red.
Utiliza un nombre de usuario no estándar
Evitar seleccionar nombres de usuario obvios como john.doe o jdoe —que son los que más suelen utilizarse para los nombres de usuario— para cualquier cosa que no sea el correo electrónico. Separar los inicios de sesión no estándar de las cuentas de inicio de sesión único es una forma de eludir a los atacantes.
Utiliza la biometría
Para evitar que los atacantes aprovechen las posibles debilidades de las contraseñas alfanuméricas, algunas organizaciones exigen un inicio de sesión biométrico. Sin la persona presente, el atacante no puede iniciar sesión.
Busca patrones
Comprueba que con todas las medidas de seguridad implementadas se puedan detectar rápidamente patrones de inicio de sesión sospechosos, como que se esté intentando iniciar sesión con un muchas cuentas de forma simultánea.
El uso de un administrador de contraseñas puede ayudar
Las contraseñas están pensadas para proteger la información confidencial frente a los atacantes. Sin embargo, el usuario medio de hoy en día tiene tantas contraseñas que es difícil hacer un seguimiento de todas ellas, sobre todo porque se supone que cada conjunto de credenciales es único.
Para intentar llevar un control, algunos usuarios cometen el error de utilizar contraseñas obvias o fáciles de adivinar, y con frecuencia utilizan la misma contraseña en diversas cuentas. Estas son precisamente el tipo de contraseñas vulnerables a los ataques de rociado de contraseñas.
En los últimos años, las aptitudes y herramientas de los atacantes han evolucionado considerablemente. Hoy en día, las computadoras son mucho más rápidas a la hora de adivinar contraseñas. Los atacantes utilizan la automatización para atacar bases de datos de contraseñas o cuentas en línea. Dominan técnicas y estrategias específicas que dan más resultado.
Para los usuarios particulares, usar un administrador de contraseñas, como Kaspersky Password Manager, puede resultar útil. Los administradores de contraseñas conjugan complejidad y longitud para ofrecer contraseñas difíciles de descifrar. También eliminan la carga de tener que recordar diferentes datos de acceso y, además, permiten comprobar si se repiten las contraseñas de diferentes servicios. Son una solución práctica para que los particulares generen, administren y almacenen sus credenciales privadas.
Productos relacionados:
Más artículos: