Ataque de pulverización de contraseñas: ¿cómo detectarlos y mitigarlos?

Establecer un umbral de bloqueo de cuentas puede evitar que los piratas informáticos lleven a cabo ataques de fuerza bruta para adivinar las contraseñas de las cuentas de los usuarios. Pero ahora los piratas informáticos recurren cada vez más a ataques de pulverización de contraseñas para sortear la configuración de bloqueo de intentos de inicio de sesión.

En comparación con un ataque tradicional de fuerza bruta, un ataque de pulverización de contraseñas es relativamente sencillo de ejecutar y tiene una baja tasa de detección.

Entonces, ¿qué es realmente un ataque de pulverización de contraseñas, cómo funciona, cómo se puede prevenir y qué se debe hacer para remediar un ataque de pulverización de contraseñas? Vamos a averiguar.

What Is a Password Spraying Attack?

Un ataque de rociado de contraseñas es un tipo de ciberataque en el que los actores de amenazas rocían contraseñas de uso común en varias cuentas de una organización, esperando que algunas contraseñas les ayuden a obtener acceso a las cuentas de los usuarios.

Los piratas informáticos utilizan una contraseña única y de uso común para varias cuentas de una empresa. Si no obtienen acceso a ninguna cuenta en el primer intento, pasarán a una contraseña diferente para realizar la pulverización de contraseñas después de unos días.

Repiten el proceso hasta que obtienen acceso a una cuenta corporativa. Como no utilizan varias contraseñas en una sola cuenta durante un corto período de tiempo, la configuración de bloqueo de intentos de inicio de sesión no bloquea las cuentas debido a intentos fallidos excesivos.

Una vez dentro de una red corporativa, pueden realizar diversas actividades para cumplir sus objetivos maliciosos.

Los usuarios tienen varias cuentas hoy en día. Crear una contraseña segura para cada cuenta es una tarea engorrosa, y mucho menos recordar esas contraseñas.

Por eso, muchos usuarios crean contraseñas sencillas para facilitar el proceso. Pero las contraseñas sencillas son populares y conocidas. Cualquiera puede buscar en Google las contraseñas más comunes y obtener la lista de las contraseñas más utilizadas. Este escenario ha impulsado el crecimiento de los ataques de pulverización de contraseñas.

Proveedor de espacios de trabajo digitales y redes empresariales Citrix confirmó que los actores de amenazas obtuvieron acceso a la red interna de la compañía mediante un esfuerzo de pulverización de contraseñas durante el 13 de octubre de 2018 y el 8 de marzo de 2019.

Microsoft también contraseña validada ataques contra más de 250 clientes de Office 365.

How Does a Password Spraying Attack Work?

Estos son los tres pasos para un ataque exitoso de pulverización de contraseñas.

#1. Recopilar la lista de nombres de usuario

El primer paso para llevar a cabo un ataque de pulverización de contraseñas es conseguir una lista de nombres de usuario en una organización.

Por lo general, las empresas emplean una convención estandarizada para los nombres de usuario, haciendo que las direcciones de correo electrónico de los usuarios sean sus nombres de usuario predeterminados para las cuentas asociadas. Se necesita poco esfuerzo para adivinar las direcciones de correo electrónico de los usuarios, ya que el formato de correo electrónico más utilizado es nombre.apellido@nombredelaempresa.com.

Los actores de amenazas también pueden conocer las direcciones de correo electrónico de los usuarios visitando el sitio web de la empresa, los perfiles de LinkedIn de los empleados u otros perfiles en línea relevantes.

Alternativamente, pueden comprar una lista disponible de nombres de usuario en la web oscura.

#2. Rociar contraseñas

Una vez que tengan una lista de nombres de usuario, buscarán “la lista de contraseñas más comunes”. Las búsquedas en Google y Bing pueden proporcionar rápidamente a los piratas informáticos una lista de contraseñas comunes para un año determinado. Para aumentar las posibilidades de éxito, los piratas informáticos pueden modificar la lista de contraseñas utilizadas habitualmente según la ubicación geográfica de los usuarios.

Por ejemplo, pueden tener en cuenta equipos/jugadores deportivos populares, actividades culturales, música, etc. Si una organización tiene su sede fuera de Chicago, los piratas informáticos pueden combinar los Chicago Bears con contraseñas de uso común para rociar contraseñas.

Después de rociar una única contraseña en varias cuentas, esperarán al menos entre 30 y 50 minutos antes de comenzar el siguiente ataque de rociado para evitar bloqueos de cuentas.

Los piratas informáticos pueden utilizar varias herramientas automatizadas para automatizar el proceso de fumigación.

#3. Obtenga acceso a cuentas

Si el ataque de pulverización tiene éxito, el atacante obtendrá acceso a las cuentas de los usuarios. Según los privilegios de esas cuentas comprometidas, los atacantes pueden realizar diversas actividades maliciosas, como instalar malware, robar datos confidenciales, realizar compras fraudulentas, etc.

Además, supongamos que el atacante logra ingresar a la red corporativa. En ese caso, pueden profundizar en su red mediante movimientos laterales para buscar activos de alto valor y aumentar sus privilegios.

Password Spraying vs. Credential Stuffing vs. Brute Force Attack

In Ataques de relleno de credenciales de contraseña, los actores de amenazas utilizan credenciales robadas de una organización para acceder a cuentas de usuarios en varias plataformas.

Los actores de amenazas se aprovechan del hecho de que muchas personas utilizan los mismos nombres de usuario y contraseñas para acceder a sus cuentas en varios sitios web. A medida que cada vez más credenciales de inicio de sesión quedan expuestas debido a los crecientes incidentes de violaciones de datos, los piratas informáticos ahora tienen más oportunidades de llevar a cabo ataques de relleno de credenciales.

Por otro lado, un ataque de fuerza bruta utiliza prueba y error para descifrar contraseñas y credenciales de inicio de sesión. Los ciberdelincuentes intentan adivinar las contraseñas correctas probando una amplia gama de combinaciones. Ellos usan herramientas de ataque de fuerza bruta para acelerar el proceso.

La configuración de bloqueo de intentos de inicio de sesión puede prevenir ataques de fuerza bruta, ya que las cuentas en cuestión se bloquearán una vez que el sistema detecte demasiados intentos fallidos de inicio de sesión en poco tiempo.

En los ataques de pulverización de contraseñas, los piratas informáticos prueban una única contraseña de uso común en varias cuentas de una organización. Como los actores de amenazas no prueban varias contraseñas en una sola cuenta en poco tiempo, los ataques de pulverización de contraseñas pueden eludir la configuración de bloqueo de intentos de inicio de sesión.

How Password Spraying Can Affect Your Company

Así es como un ataque de pulverización de contraseñas exitoso puede afectar a su empresa:

• Al obtener acceso no autorizado a las cuentas de su organización, los actores de amenazas pueden exponer información confidencial, registros financieros, datos de clientes y secretos comerciales.
• Los actores de amenazas pueden utilizar cuentas comprometidas para realizar transacciones fraudulentas, compras no autorizadas o incluso desviar dinero de sus cuentas comerciales.
• Una vez que los piratas informáticos obtienen acceso no autorizado a las cuentas de usuario de su empresa, pueden cifrar datos cruciales y pedir un rescate a cambio de la clave de descifrado.
• Un ataque de pulverización de contraseñas puede provocar una filtración de datos, lo que puede provocar pérdidas financieras y de reputación para su empresa. Es probable que los incidentes de violación de datos provoquen una erosión de la confianza de los clientes. Como resultado, pueden llevar sus negocios a sus competidores.
• Necesitará recursos para responder a una violación de datos, obtener asesoramiento legal y contratar expertos externos en ciberseguridad. Por lo tanto, la pulverización de contraseñas provocará una importante pérdida de recursos.

En pocas palabras, un ataque exitoso de distribución de contraseñas tendrá un efecto en cascada en varios aspectos de su negocio. Esto puede incluir consecuencias financieras, operativas, legales y de reputación.

How To Detect Password Spraying Attacks

Estos son los principales signos reveladores de un ataque de pulverización de contraseñas:

• Observa un gran volumen de actividad de inicio de sesión en poco tiempo.
• Hay un gran volumen de contraseñas rechazadas en varias cuentas en poco tiempo.
• Observa intentos de inicio de sesión de usuarios inactivos o inexistentes.
• Hay intentos de inicio de sesión desde direcciones IP que no coinciden geográficamente con la ubicación conocida de los usuarios.
• Se intenta acceder a varias cuentas durante horas impares o fuera de su horario comercial. Y se utiliza una contraseña para iniciar sesión en esas cuentas a la vez.

Debe revisar los registros de autenticación para detectar errores de inicio de sesión en el sistema y en las aplicaciones de cuentas válidas para detectar ataques de pulverización de contraseñas.

How To Remediate a Password Spraying Attack

Si sospecha que los piratas informáticos están intentando un ataque de pulverización de contraseñas, estos son los puntos de acción a seguir:

• Indique a sus empleados que cambien todas las contraseñas de inmediato y habiliten MFA si alguno de ellos no lo ha hecho hasta ahora.
• Implementar un Herramienta de detección y respuesta de endpoints (EDR) para rastrear cualquier actividad maliciosa en los puntos finales de su empresa para evitar el movimiento lateral de los piratas informáticos en caso de un ataque de pulverización de contraseñas.
• Verifique signos de robo de datos o cifrado de datos y haga un plan para restaurar los datos desde la copia de seguridad después de asegurarse de que todas las cuentas estén seguras. Implementar un solución de seguridad de datos para salvaguardar sus datos.
• Mejore la sensibilidad de sus productos de seguridad para identificar intentos fallidos de inicio de sesión en múltiples sistemas.
• Revise los registros de eventos para comprender qué sucedió, cuándo sucedió y cómo sucedió para mejorar su plan de respuesta a incidentes.

Los piratas informáticos intentan explotar las vulnerabilidades del software para aumentar sus privilegios. Así que asegúrese de que sus empleados instalen todas las actualizaciones y parches de software.

How To Prevent Password Spraying Attacks

Las siguientes son algunas estrategias para evitar que los piratas informáticos obtengan acceso a cuentas de usuario mediante ataques de pulverización de contraseñas.

#1. Siga una política de contraseña segura

Los ataques de pulverización de contraseñas se dirigen a contraseñas débiles que son fáciles de adivinar. La implementación de una política de contraseñas segura obligará a sus empleados a crear contraseñas seguras y complejas que los piratas informáticos no pueden adivinar ni encontrar en línea. Como resultado, las cuentas de usuario de su organización estarán protegidas de ataques de pulverización de contraseñas.

Estos son los puntos clave que debe incorporar su política de contraseñas:

• Las contraseñas deben tener al menos 12 caracteres, incluidas letras mayúsculas, minúsculas y caracteres especiales.
• Debe haber una lista de denegación de contraseñas, lo que significa que los usuarios no deben incluir sus fechas de nacimiento, lugares de nacimiento, puestos de trabajo o nombres de sus seres queridos en sus contraseñas.
• Todas las contraseñas deberían caducar después de un cierto período de tiempo.
• Todos los usuarios deben crear contraseñas diferentes para diferentes cuentas.
• Debería haber un umbral de bloqueo de cuentas para bloquear las cuentas de usuario si se producen varios intentos fallidos de inicio de sesión.

Implementando una buena herramienta de contraseña puede ayudar a los usuarios a crear contraseñas seguras y evitar el uso de la mayoría contraseñas comunes.

Gestores de contraseñas mejor valorados puede ayudarlo a determinar si sus contraseñas están expuestas en alguna violación de datos.

#2. Aplicar la autenticación multifactor (MFA)

La autenticación multifactor (MFA) agrega una capa adicional de seguridad a las cuentas. Cuando está habilitado, MFA requiere que los usuarios envíen uno o más factores de verificación además de nombres de usuario y contraseñas antes de otorgarles acceso a cuentas en línea.

Al implementar autenticación de múltiples factores En su empresa, puede proteger las cuentas en línea de ataques de fuerza bruta, ataques de diccionario, ataques de pulverización de contraseñas y otros tipos de ataques de contraseñas. Esto se debe a que los actores de amenazas no tendrán acceso a factores de verificación adicionales enviados por SMS, correos electrónicos o aplicaciones de autenticación de contraseñas.

Además, la autenticación multifactor puede evitar que sus cuentas en línea ataques de registradores de teclas.

#3. Implementar autenticación sin contraseña

La autenticación sin contraseña utiliza datos biométricos, enlaces mágicos, tokens de seguridad y más para autenticar a los usuarios. Como las contraseñas no se utilizan para acceder a las cuentas, los piratas informáticos no podrán realizar ataques de pulverización de contraseñas.

Por lo tanto, la autenticación sin contraseña es una forma infalible de prevenir la mayoría de los ataques a contraseñas. Puedes explorar estos soluciones de autenticación sin contraseña para proteger las cuentas de su empresa.

#4. Preparación para pruebas mediante la realización de ataques simulados

Debe comprobar la preparación de sus empleados para luchar contra los ataques de pulverización de contraseñas mediante la realización de un ataque de pulverización de contraseñas simulado. Esto le ayudará a comprender mejor su postura de seguridad de contraseñas y a tomar las medidas necesarias para mejorar la seguridad de las contraseñas en su empresa.

#5. Tenga implementada una herramienta de detección de inicio de sesión

Debe configurar una herramienta de auditoría en tiempo real para detectar intentos de inicio de sesión sospechosos. La herramienta adecuada puede ayudarle a identificar intentos de inicio de sesión sospechosos en varias cuentas desde un único host en un corto período de tiempo, intentos de inicio de sesión en varias cuentas inactivas, numerosos intentos de inicio de sesión fuera de su horario comercial, etc.

Una vez que descubra cualquier actividad de inicio de sesión sospechosa, puede tomar medidas correctivas para bloquear intentos no autorizados de acceder a sus cuentas. Estas acciones pueden incluir bloquear cuentas comprometidas, cambiar la configuración de la bola de fuego, habilitar la autenticación multifactor, etc.

#6. Entrena a tus empleados

Sus empleados desempeñan un papel crucial en la protección de las cuentas de los usuarios contra ataques de pulverización de contraseñas. Todos los controles técnicos de seguridad, independientemente de lo buenos que sean, no funcionarán si sus empleados no crean contraseñas seguras y habilitan la autenticación multifactor en sus cuentas.

Por lo tanto, ejecute programas de concientización sobre ciberseguridad con regularidad para educar a sus empleados sobre diversos ataques a contraseñas y cómo prevenirlos. Asegúrese de que sepan cómo crear una contraseña suficientemente compleja.

Para Concluir

Un ataque de pulverización de contraseñas puede causar daños graves a su empresa, incluido el compromiso de la cuenta, la filtración de datos y futuros ataques de ciberseguridad. Por lo que deberías aumentar la seguridad de tus contraseñas en tu empresa.

Hacer cumplir una política de contraseñas estricta, implementar MFA, adoptar autenticación sin contraseña, contar con una herramienta de detección de inicio de sesión y capacitar a sus empleados puede ayudarlo a prevenir ataques de pulverización de contraseñas.

También debes intentar ser creativo al elegir la convención de nombre de usuario de tu empresa. Deje de utilizar el habitual: nombre.segundonombre@nombredelaempresa.com.

Para mejorar la seguridad de las cuentas en su empresa, puede explorar estos plataformas de enlace mágico para autenticación sin contraseña.