La pulverización de contraseñas es un tipo de ataque de fuerza bruta mediante el cual los ciberdelincuentes toman contraseñas comunes y las "pulverizan" en varias cuentas en un intento de hackear a posibles víctimas. Esto permite al atacante acceder a cuentas de un usuario adivinando a través de contraseñas fáciles, utilizadas universalmente.
Por lo general se cree que los ataques a contraseñas son intentos aleatorios de robar credenciales, pero estos se han convertido en un sofisticado proceso de ensayo y error.
Por eso, existen trucos para ayudar al usuario a protegerse contra un ataque de robo de contraseñas. Alexa Matteri, responsable para América Latina de Norton, lo resume en tres pasos:
Primero: Los cibercriminales encuentran o compran una lista de nombres de usuario en la web o encuentran patrones de direcciones de correo electrónico de empresas para acceder a los nombres de usuario de una organización concreta. Segundo:Los hackers prueban diferentes combinaciones de credenciales hasta que lo consiguen: En este punto, comienza la pulverización de contraseñas, también conocida como "password spraying", probando diferentes combinaciones de nombres de usuario y códigos de acceso, normalmente a través de un sistema automatizado. Tercero: Los hackers obtienen acceso a las cuentas de los usuarios: una vez que descubren la contraseña simple de un usuario, los estafadores obtendrán acceso a la información personal de la víctima, lo que puede conducir al robo de identidad o al control de la cuenta.
La pulverización de contraseñas es el ataque de fuerza bruta más prolongado. Cuando los ciberdelincuentes realizan múltiples intentos de inicio de sesión en un corto periodo de tiempo, alerta al sitio web de la presencia de un intruso. Sin embargo, la pulverización de contraseñas sortea este obstáculo y ayuda a evitar que los ciberdelincuentes queden bloqueados al cambiar a un nombre de usuario diferente tras un intento fallido de inicio de sesión.
No es rellenado de credenciales
El rellenado de credenciales o "credential stuffing" en inglés, se parece a la pulverización de contraseñas en que ambos utilizan nombres de usuario encontrados en la web. Sin embargo, el primero utiliza herramientas automatizadas para probar un gran número de credenciales robadas.
El "password spraying" no utiliza ninguna herramienta, sino que se centra en encontrar nombres de usuario verificados y contraseñas comunes en Internet. En lugar de utilizar una herramienta automatizada para probar diferentes contraseñas, los ciberdelincuentes utilizan nombres de usuario verificados e intentan iniciar sesión con contraseñas comunes con patrones como "1234".
Cómo protegerse
Alexa Matteri explica que, si tú o tu familia han sufrido un ataque de pulverización de contraseñas, algunas señales de advertencia pueden ser: un aumento de los bloqueos de las cuentas, un mayor número de intentos de inicio de sesión fallidos e intentos de inicio de sesión de usuarios desconocidos o inválidos.
Si has notado alguna actividad extraña relacionada con la pulverización de contraseñas, la responsable para América Latina de Norton comparte varias medidas que puedes tomar para proteger la seguridad de tus credenciales personales y de tu organización:
- Cambia las contraseñas inmediatamente. Primero cambia tus contraseñas simples, lo que puede ponerte en riesgo. Crear una contraseña segura y a prueba de manipulaciones no tiene por qué ser tan complicado.
- Consulta al departamento de TI de tu empresa. Si el ataque se produce en el trabajo, una buena idea es consultar con el equipo de TI sobre el posible problema. Esto puede ayudarles a identificar otras vulneraciones y ver si hay un ataque estructurado en curso.
- Identifica intentos fallidos de inicio de sesión o cuentas bloqueadas. Comprueba con los miembros de tu familia si también han notado intentos fallidos de inicio de sesión o cuentas bloqueadas, porque son signos de pulverización de contraseñas. Al identificar las señales de advertencia sobre este tipo de ataque, tu familia puede protegerse mejor contra las violaciones de seguridad.
- Indaga sobre el incidente. Convierte la recuperación en prevención. Investiga la causa y a los responsables del ataque y soluciona los puntos débiles de tus contraseñas que hayan obtenido los ciberdelincuentes. Incluso puede plantearse utilizar una red privada virtual (VPN) o una autenticación de varios factores para ayudar a prevenir futuros ataques.
Cómo evitar futuros ataques
Con los siguientes consejos, según Alexa Matteri, podrás prevenir futuros intentos de robo de contraseñas y mantener tus datos a salvo de filtraciones:
- Utiliza contraseñas complejas. Las contraseñas comunes y corrientes corren un alto riesgo de verse comprometidas. Cuando elijas una contraseña, asegúrate de que contiene números, mayúsculas, caracteres especiales y otros parámetros para generar una contraseña compleja y segura.
- Cambia las contraseñas periódicamente. Las contraseñas dben actualizarse regularmente, una vez cada dos meses o varias veces al año. Cuando tengas que hacerlo, una buena idea es crear una completamente nueva en lugar de una similar a la anterior. De este modo, es menos probable que pirateen tus datos en caso de intento de robo.
- Usa la autenticación multifactor. Cuando tu página de inicio de sesión te pide tu número de teléfono o un correo electrónico de respaldo para validar que eres quien dices ser, esto se llama autenticación multifactor, también conocida como autenticación de dos factores. Activar esta función en tus dispositivos puede ayudar a evitar que se vulneren tus credenciales.
- Adopta medidas de ciberseguridad. Invierte en herramientas como antivirus, VPN y gestores de contraseñas para proteger tus datos personales.
La pulverización de contraseñas es uno de los muchos ataques de fuerza bruta que utilizan los ciberdelincuentes para acceder a información personal y confidencial.
Si cambias periódicamente contraseñas complejas y utilizas la autenticación multifactor, puedes minimizar las posibilidades de ser víctima de un ataque de pulverización de contraseñas.