En el ámbito de la criptografía se habla de 'ataques de fuerza bruta' para referirse a aquellos en los que los actores de amenazas tratan de obtener credenciales de usuarios legítimos probando todas las combinaciones posibles con el fin de llevar a cabo acciones fraudulentas.
Sin embargo, hay que diferenciar entre sus múltiples modalidades. Una de ellas son los denominados 'ataques de pulverización de contraseñas' o 'password spraying'.
En estas acciones de fuerza bruta los cibermalos no introducen una gran cantidad de contraseñas para una misma cuenta de usuario, sino al revés.
Es decir, los atacantes obtienen diversas cuentas de usuario y prueban suerte con una pequeña cantidad de claves (o incluso una única clave).
Los ciberdelincuentes suelen introducir algunos de los passwords más frecuentes para ver si alguna de las cuentas los utilizan. Es decir, las combinaciones más obvias o fáciles de adivinar.
Aunque algunas herramientas digitales disponen de medidas de seguridad que evitan cierta cantidad de intentos fallidos de inicio de sesión (pueden ser tres o más), con los ataques de pulverización de contraseñas se puede evitar fácilmente esto.
Así, al dirigirse a una gran cantidad de usuarios, hay cierto espacio de tiempo entre que se hacen intentos en una cuenta. El proceso de tomar una clave concreta en una lista se repite, pero con una cadencia no muy corta.
Desde ESET, en su blog WeLiveSecurity, explican que este tipo de ataque se puede diferenciar de otros como el de 'credential stuffing' o 'ataque de relleno de credenciales', el cual usa combinaciones de usuarios/contraseñas que un atacante tiene en su poder y que fueron obtenidas principalmente de filtraciones de brechas de datos.
Cómo defenderse
ESET también defiende que tanto a nivel particular como empresarial debe aplicarse una buena política de contraseñas. De lo contrario, "aumenta la posibilidad de éxito cuando un atacante utilice esta técnica, con lo cual es importante tener una contraseña fuerte para disminuir la probabilidad de que nuestra cuenta sea comprometida y fundamentalmente no usar la misma contraseña en más de un servicio".
No obstante, desde la compañía de seguridad Kaspersky comentan que algunos indicios de un ataque de pulverización de contraseñas pueden ser:
- Un gran volumen de registros de inicio de sesión en un período corto.
- Un incremento repentino de los intentos fallidos de inicio de sesión por parte de los usuarios activos.
- Inicios de sesión de cuentas inexistentes o inactivas.
En el mercado existen herramientas que automatizan este tipo de ataques, como son hydra y CrackMapExec. Aunque se usan con fines de investigación o para ayudar a la comunidad a simular ataques y pruebas de penetración, pueden ser peligrosos si caen en manos de los ciberdelincuentes. Algunos grupos de APT los han usado para obtener acceso a equipos o moverse lateralmente dentro de una red corporativa.
Kaspersky recomienda varias cosas para defenderse de estas amenazas, como garantizar políticas estrictas de bloqueo, adoptar un enfoque de confianza cero, utilizar una convención de nombres de usuario no estándar (separando los nombres de usuario no estándar de las cuentas de inicio de sesión único), usar biometría y buscar patrones de inicio de sesión sospechosos.
El uso de un administrador de contraseñas también puede resultar útil para gestionar claves en diferentes servicios o aplicaciones y hacer un seguimiento de todas ellas.