A diferencia de un ataque típico mediante fuerza bruta en el que se prueban una gran cantidad de contraseñas contra la misma cuenta de usuario, en un ataque de password spraying los perpetradores van probando una o más contraseñas en distintas cuentas con el propósito de intentar acceder a uno o varios servicios.
Tampoco tiene nada que ver con el relleno de credenciales, en el que un villano se dirige a usuarios específicos cuyas contraseñas que se han visto comprometidas en una fuga o filtración de datos.
El Password Spraying consiste en ir probando contraseñas comunes contra tantos usuarios como sea posible.
- Las listas de contraseñas más fáciles de piratear se publican cada año en informes o estudios.
- Wikipedia también tiene una página que enumera las 10.000 contraseñas más comunes.
Antes de realizar el ataque, el perpetrador debe hacerse con una lista de nombres de usuario (o direcciones de correo electrónico, si el objetivo las usa con este fin) que se correspondan con clientes activos de alguna plataforma.
Para obtener esta información los villanos pueden recurrir a fuentes de inteligencia de código abierto (OSINT) o la compra de bases de datos en la web oscura.
Los ciberdelincuentes también puede construir su propia lista utilizando los patrones que utilizan la mayoría de las organizaciones para crear direcciones de correo electrónico corporativas (por ejemplo, mibañez @ nombre de la empresa.com).
Para evitar ser bloqueados en los sistemas de autenticación por intentos fallidos, acostumbran a estructurar los ataques, probando solo una contraseña a la vez para cada cuenta de usuario o dejan pasar una cantidad de tiempo razonable antes de intentar iniciar sesión nuevamente.
No lo hacen de forma manual, y acostumbran a utilizar algún sistema automatizado.
- Por ejemplo, MSOLSpray es una herramienta de rociado de contraseñas que se utiliza contra las cuentas de Microsoft Online (Azure/O365).
- Talon es otra herramienta creada para ejecutar ataques de Password Spraying sin ser detectado.
Los riesgos asociados con los ataques de rociado de contraseñas
Los riesgos varían en función del tipo de cuenta comprometida.
Si la cuenta pertenece a un usuario doméstico, podría afectarlo de varias maneras. Todo dependerá de la información a la que pudo acceder el malhechor.
Pero si esa cuenta pertenece a un profesional con privilegios, o al administrador de un sistema, un ciberdelincuente podría robar información crítica de una organización.
Cómo prevenir los ataques de rociado de contraseñas
Hemos de tener muy claro que lamentablemente, y por el momento, las contraseñas son la llave que da acceso a nuestros servicios y por ende a nuestra información personal.
Por lo que si alguien las consigue, puede comprometer nuestra privacidad, e incluso suplantar nuestra identidad para publicar en nuestro nombre en redes sociales, enviar mensajes, leer y contestar a correos electrónicos, etc.
También acceder a nuestra banca online.
Pero lamentablemente muchas personas continúan sin cambiar las contraseñas predeterminadas, usan toda una serie de contraseñas demasiado conocidas, y para empeorar las cosas, las reutilizan en diferentes servicios en línea.
Otras son demasiado predecibles, o están compuestas por frases y palabras del diccionario.
Por lo tanto, si no se cambian estos hábitos, y se implementan medidas adicionales como la autenticación multifactor, las cuentas se vuelven cada día más vulnerables.