Ataque de password spraying

Ataque password spraying es una técnica utilizada por un atacante para obtener credenciales de acceso válidas que consiste en probar una misma contraseña de uso común en varias cuentas de usuario, para luego probar con otra contraseña.

Los ataques de fuerza bruta hacen referencia a una de las técnicas utilizadas por los atacantes para obtener credenciales de usuarios legítimos para realizar acciones fraudulentas. El típico ataque de fuerza bruta puede ir desde la prueba de muchas contraseñas sobre un nombre de usuario, hasta el uso de otras técnicas como “credential stuffing” o “password spraying”. En todos los casos el objetivo es el mismo: obtener credenciales de acceso válidas para servicios legítimos. En esta oportunidad, explicamos en qué consiste la técnica conocida como password spraying.

¿Qué es password spraying?

A diferencia del ataque típico en el que se prueba una gran cantidad de contraseñas para una misma cuenta de usuario, en un ataque de password spraying el atacante obtiene distintas cuentas de usuarios y va probando con una pequeña cantidad de contraseñas para intentar acceder a uno o varios servicios.

¿Como funciona un ataque de password spraying?

Por medio de herramientas de código abierto o utilizando sitios legítimos, un atacante busca hacerse con un montón de nombres de cuentas de usuarios, por ejemplo, cuentas de correo electrónico. Por otro lado, genera un pequeño listado de contraseñas (en algunos casos usan una sola) y va probando cada contraseña sobre todas las cuentas obtenidas. En general, estas contraseñas son aquellas que se han visto entre las más utilizadas. Este listado puede ser creado manualmente o utilizar uno ya existente en Internet. Una vez que tiene la lista de cuentas de usuario y de contraseñas, el funcionamiento es el siguiente:

• Tomar una contraseña
• Tomar toda la lista de cuentas de usuarios
• Probar si en alguna cuenta la contraseña es valida
• Repetir el proceso

También puede interesarte leer: Ciberataque a las vegas.

Hoy en día muchos sistemas implementan una medida de seguridad, conocida como bloqueo de cuentas, que hace que luego de cierta cantidad de intentos fallidos de inicio de sesión (puede variar entre tres o más intentos) se bloquee la cuenta de la persona. Si esta medida de seguridad esta activada en una aplicación web, un sistema empresarial, etc., el típico ataque de fuerza bruta puede llegar a ser poco útil, ya que son altas las probabilidades de bloquear la cuenta del usuario. Sin embargo, mediante password spraying es posible evitar esto, ya que al tener una gran cantidad de usuarios el tiempo en el que se van realizando los intentos sobre la misma cuenta puede variar de tal forma que no se bloquea ninguna cuenta y pueda seguir probando más contraseñas.