Comprendiendo los ataques de password spraying

Glosario de ciberseguridad Catálogo de ataques

El password spraying es un ataque basado en credenciales donde un actor malicioso intenta un pequeño conjunto de contraseñas comunes en muchas cuentas, evitando bloqueos por cuenta. Apunta a entornos de Active Directory, proveedores de identidad en la nube, VPNs y plataformas SSO. A diferencia del ataque de fuerza bruta, distribuye los intentos ampliamente para mantenerse por debajo de los umbrales de detección. Las defensas efectivas incluyen MFA resistente al phishing, listas de contraseñas prohibidas, restricciones NTLM, limitación de tasa y monitoreo ITDR para anomalías de autenticación lentas y bajas.

En un ataque de password spraying, los actores de amenazas prueban un pequeño conjunto de contraseñas comunes en muchas cuentas de usuario o de servicio. El objetivo es comprometer una cuenta mientras se mantiene por debajo de los umbrales de bloqueo de cuenta.

Attribute	Details
Attack type	Password spraying (low-and-slow brute force across many accounts)
Impact level	High
Target	SSO/IdP portals, VPN/VDI, SaaS sign-ins, exec/admin users, service accounts
Primary attack vector	Automated login attempts using common/default passwords + OSINT usernames
Motivation	Initial foothold, ATO for fraud/exfiltration, staging for lateral movement/ransomware
Common prevention methods	Phishing-resistant MFA, lockout/rate limits, banned password lists, disable legacy auth, bot/CAPTCHA, CA policies

Factor de riesgo	Nivel
Daño potencial	Alto
Facilidad de ejecución	Medio–Alto
Probabilidad	Alto

Factor de riesgo

Nivel

Daño potencial

Alto

Facilidad de ejecución

Medio–Alto

Probabilidad

Alto

¿Podría un ataque de password spraying pasar desapercibido a través de sus defensas?

Hable con nuestros expertos sobre cómo reforzar los controles de autenticación, identificar cuentas en riesgo y monitorear amenazas basadas en credenciales antes de que escalen.

¿Qué es el password spraying?

El password spraying es un método en el que un atacante prueba un pequeño conjunto de contraseñas comunes (por ejemplo: “Password123!”, “qwerty”, “Summer2024”, “Welcome1”) en muchas cuentas de usuario o cuentas de servicio en un almacén de identidad, como Active Directory local, proveedores de identidad en la nube (Microsoft Entra ID, Okta, Google Workspace), aplicaciones SaaS, aplicaciones web, VPN y otros sistemas de autenticación. El objetivo es comprometer una cuenta sin activar los controles de bloqueo de cuenta que entran en vigor cuando alguien realiza intentos fallidos repetidos en una sola cuenta. El password spraying distribuye algunas conjeturas ampliamente, lo que lo hace muy efectivo contra organizaciones con contraseñas débiles o reutilizadas.

Piénsalo como un intruso que prueba una llave común en las puertas de todo un edificio de apartamentos en lugar de probar muchas llaves diferentes en una sola puerta. Si un inquilino ha usado esa llave común, el intruso entra, pero la alarma de la puerta del edificio no se activa por los intentos repetidos contra una sola cerradura.

Aquí se explica cómo el password spraying difiere de los ataques de fuerza bruta y de relleno de credenciales.

Feature	Brute-force attack	Credential stuffing	Password spraying
Targets	Single account or a few	Many accounts	Many accounts
Method	Attempts many possible passwords for the same account (often automated, exhaustive)	Uses leaked/stolen credentials obtained from breaches and replays them across services to find reused or valid logins	Tries a few common passwords across many accounts to avoid lockouts
Lockout profile	High risk of lockout on targeted account	May trigger protection if credentials are wrong or reused	Designed to avoid per-account lockout by spreading attempts
Chance of success	Can succeed if no lockouts and password is weak	High if users reuse breached passwords	Effective against organizations with many weak/default passwords and relaxed login limits

Feature

Brute-force attack

Credential stuffing

Password spraying

Targets

Single account or a few

Many accounts

Method

Attempts many possible passwords for the same account (often automated, exhaustive)

Uses leaked/stolen credentials obtained from breaches and replays them across services to find reused or valid logins

Tries a few common passwords across many accounts to avoid lockouts

Lockout profile

High risk of lockout on targeted account

May trigger protection if credentials are wrong or reused

Designed to avoid per-account lockout by spreading attempts

Chance of success

Can succeed if no lockouts and password is weak

High if users reuse breached passwords

Effective against organizations with many weak/default passwords and relaxed login limits

Cómo funciona el password spraying

El password spraying es un enfoque “lento y constante”. El atacante cambia profundidad (muchos intentos contra una cuenta) por amplitud (pocos intentos en muchas cuentas) para mantenerse sigiloso. Aquí hay un flujo paso a paso del ataque.

Reconocimiento (nombres de usuario)

El atacante primero construye una lista de nombres de usuario válidos. Las fuentes incluyen:

Inteligencia de código abierto (OSINT), por ejemplo LinkedIn, páginas de empresa, comunicados de prensa, bases de datos gubernamentales
Filtraciones públicas
Recolección de formato de correo electrónico (como en first.last@company.com)
Enumeración en vivo contra una página de inicio de sesión (diferentes mensajes de error, tiempos de respuesta y flujos de recuperación de cuenta revelan qué nombres de usuario son válidos)

El resultado es un conjunto objetivo de nombres de cuentas humanas o de servicio sobre las que el atacante ejecutará el ataque, como una lista de 500 direcciones de correo electrónico de empleados de LinkedIn.

Elige un conjunto pequeño de contraseñas

A continuación, los atacantes eligen una lista muy pequeña de contraseñas probables, como:

Contraseñas predeterminadas
Contraseñas débiles comunes
Combinaciones de temporada/año
Variantes de empresa/mascota

Las campañas de spray suelen usar solo un pequeño conjunto de intentos de contraseña, comúnmente de 3 a 10. Mantener el conjunto de contraseñas pequeño minimiza los fallos por cuenta, lo que previene bloqueos.

Ola de pulverización #1 (lenta y constante)

El atacante intenta una contraseña en muchas cuentas, como probar "Winter2024!" en las 500 cuentas. Espacian los intentos para mantenerse por debajo de los umbrales de bloqueo y detección (por ejemplo, 1 a 2 intentos por cuenta dentro de la ventana de bloqueo). Este bajo volumen por cuenta apenas activa alertas mientras el atacante continúa buscando credenciales débiles o reutilizadas.

Rotar y evadir

Para evitar aún más la detección, los atacantes rotan su infraestructura y huellas digitales.

Ciclan por diferentes direcciones IP usando proxies, VPNs, Tor o botnets distribuidos.
Aleatorizan las cadenas de user-agent para imitar el tráfico legítimo de varios dispositivos y navegadores.
El tiempo entre intentos de autenticación varía para mantenerse por debajo de los umbrales de límite de tasa.
Los ataques se distribuyen en múltiples ubicaciones geográficas para parecer un acceso global normal.

Estas tácticas combinadas hacen que la campaña sea más difícil de detectar y bloquear. Los atacantes también a veces apuntan a sistemas heredados o endpoints que usan protocolos de autenticación básicos, ya que carecen de controles de seguridad modernos como la autenticación multifactor (MFA) y un robusto límite de tasa. Esto facilita la explotación sin activar alarmas.

Ola de spray #2

Si la primera oleada no produce ningún éxito, los atacantes lanzan oleadas posteriores usando la siguiente contraseña del pequeño conjunto contra la misma lista de nombres de usuario (o una ampliada). Emplean herramientas de automatización para controlar el ritmo de los intentos, rotar las IP, reintentar según sea necesario y analizar las respuestas de inicio de sesión. Esto permite que las campañas escalen mientras se mantienen por debajo de los umbrales de detección.

Primer éxito (punto de apoyo)

Cuando una cuenta acepta una contraseña adivinada, el atacante obtiene acceso. Luego se mueve rápidamente para establecer persistencia y ampliar el acceso antes de que se detecte la violación.

El atacante crea mecanismos de acceso alternativos como contraseñas específicas para aplicaciones o tokens API, recopila credenciales adicionales, registra tokens OAuth para aplicaciones de terceros o configura reglas de reenvío de buzón para mantener el acceso incluso si se cambia la contraseña original.
Luego enumeran el entorno interno, explorando aplicaciones accesibles, recursos compartidos, servicios en la nube y repositorios de datos sensibles para entender a qué puede acceder la cuenta comprometida.
Intentan escalar privilegios explotando los procedimientos de helpdesk (por ejemplo, haciéndose pasar por el usuario para restablecer contraseñas de cuentas con mayores privilegios), iniciando flujos de restablecimiento de contraseña para cuentas de administrador o lanzando ataques de fatiga MFA (donde bombardean repetidamente a los usuarios legítimos con notificaciones push MFA hasta que aprueban el acceso).

Esta etapa transforma una única credencial comprometida en una presencia persistente dentro de la infraestructura de la organización.

Resultados

Con el acceso establecido, los atacantes persiguen sus objetivos finales. Pueden:

Exfiltrar datos sensibles
Lanzar fraude de compromiso de correo electrónico empresarial (BEC) a través de buzones comprometidos
Utilice el punto de apoyo para el movimiento lateral a través de la red

De este modo, la brecha inicial se convierte en ataques más graves como el despliegue de ransomware, la escalada de privilegios a cuentas de administrador o el acceso persistente a largo plazo para espionaje continuo. Lo que comienza como un simple ataque de spray de contraseñas puede resultar en pérdidas financieras significativas, filtraciones de datos y interrupciones operativas.

Diagrama del flujo de ataque

Aquí hay un flujo visual simple del ataque de password spraying y un ejemplo de historia desde la perspectiva de una organización que muestra cómo una campaña de password spraying avanza desde el reconocimiento hasta el impacto.

El directorio de empleados de una empresa de logística está parcialmente expuesto a través de LinkedIn y una antigua filtración de credenciales. Un atacante crea una lista de direcciones de correo electrónico válidas y prueba una contraseña común en todas las cuentas, espaciando los intentos con días de diferencia para mantenerse por debajo de los umbrales de bloqueo.

Una cuenta acepta la suposición: un coordinador de almacén que nunca había actualizado una contraseña predeterminada de incorporación. El atacante configura el reenvío de buzón, mapea recursos compartidos internos y luego utiliza una llamada de suplantación de helpdesk para restablecer la contraseña de un administrador de TI y obtener acceso a AD. Para cuando la actividad inusual de inicio de sesión genera una alerta, han pasado 11 días, se han exfiltrado registros de nómina y el ransomware está preparado en varios servidores.

Ejemplos de ataques de password spraying

Los ataques de password spraying se han utilizado en varias brechas reales contra grandes organizaciones. A continuación, algunos ejemplos notables.

Case	Impact
Microsoft (2024)	In January 2024, Microsoft disclosed that beginning late November 2023, a nation-state actor (Midnight Blizzard, also known as APT29/NOBELIUM) used a password spray attack to compromise a legacy non-production test tenant account, one that lacked MFA. Using that foothold, the attacker gained access to a very small percentage of Microsoft’s corporate email accounts, including senior leadership, cybersecurity, legal, and other functions. They then exfiltrated emails and attachments from some of those mailboxes, exposing high-value communications.
Citrix (2019)	In March 2019, Citrix announced that the FBI had alerted them to a likely password spraying attack by international cybercriminals. By July, Citrix confirmed that attackers had indeed gained access to its internal network using this method. The attackers accessed a shared network drive storing business documents and a web-tool consulting drive between October 2018 and March 2019. The compromise went undetected for months, during which attackers accessed files containing sensitive personal information of employees, including names, social security numbers, and financial data. Approximately 24,000 individuals were affected, including current and former employees, interns, job candidates, contractors, and beneficiaries. The breach resulted in a class-action lawsuit that led to a $2.275 million settlement to provide victims with credit monitoring and identity theft recovery services. It also led to regulatory scrutiny and reputational damage.
Peach Sandstorm (2023)	Starting February 2023, Peach Sandstorm (an Iranian state-backed threat group) launched a series of password spraying campaigns targeting the defense, satellite, and pharmaceutical sectors in the United States, Saudi Arabia, South Korea, Australia, and the United Arab Emirates. According to Microsoft, the group used anonymized infrastructure, including Tor networks, to hide their activity while attempting to compromise many accounts with common passwords. Once successful, the attackers established persistent access, enabling long-term cyber-espionage and intelligence collection within high-value environments.

Case

Impact

Microsoft (2024)

In January 2024, Microsoft disclosed that beginning late November 2023, a nation-state actor (Midnight Blizzard, also known as APT29/NOBELIUM) used a password spray attack to compromise a legacy non-production test tenant account, one that lacked MFA.

Using that foothold, the attacker gained access to a very small percentage of Microsoft’s corporate email accounts, including senior leadership, cybersecurity, legal, and other functions. They then exfiltrated emails and attachments from some of those mailboxes, exposing high-value communications.

Citrix (2019)

In March 2019, Citrix announced that the FBI had alerted them to a likely password spraying attack by international cybercriminals. By July, Citrix confirmed that attackers had indeed gained access to its internal network using this method. The attackers accessed a shared network drive storing business documents and a web-tool consulting drive between October 2018 and March 2019.

The compromise went undetected for months, during which attackers accessed files containing sensitive personal information of employees, including names, social security numbers, and financial data. Approximately 24,000 individuals were affected, including current and former employees, interns, job candidates, contractors, and beneficiaries. The breach resulted in a class-action lawsuit that led to a $2.275 million settlement to provide victims with credit monitoring and identity theft recovery services. It also led to regulatory scrutiny and reputational damage.

Peach Sandstorm (2023)

Starting February 2023, Peach Sandstorm (an Iranian state-backed threat group) launched a series of password spraying campaigns targeting the defense, satellite, and pharmaceutical sectors in the United States, Saudi Arabia, South Korea, Australia, and the United Arab Emirates. According to Microsoft, the group used anonymized infrastructure, including Tor networks, to hide their activity while attempting to compromise many accounts with common passwords. Once successful, the attackers established persistent access, enabling long-term cyber-espionage and intelligence collection within high-value environments.

Consecuencias del password spraying

Los incidentes de password spraying destacan cómo una sola contraseña débil puede abrir la puerta a una compromisión a gran escala, lo que conduce a consecuencias graves y de gran alcance para una organización. Aquí se muestra cómo se manifiestan los efectos en las áreas clave de impacto.

Impact area	Description
Financial	Organizations face direct financial losses from fraudulent transactions, unauthorized fund transfers, and incident response efforts including forensic investigations and system remediation. Regulatory fines under frameworks like GDPR and HIPAA can reach millions of dollars, while cyber insurance premiums can increase. Publicly traded companies can also be hit by stock price volatility and loss of market capitalization.
Operational	The operational impact of password spraying ripples through an organization. Emergency measures such as forced account lockouts and password resets can temporarily halt business operations. During investigations and recovery, critical services may experience downtime, and employees can lose productive work hours. All this adversely affects efficiency and revenue.
Reputational	Public disclosure of a breach erodes customer trust, leading to customer attrition and difficulty in acquiring new clients. Media coverage amplifies the damage by keeping security failures in the public eye. Partner organizations tend to reconsider business relationships due to loss of brand credibility.
Legal/regulatory	Attacks that result in data breaches trigger legal and regulatory consequences. Organizations must meet breach notification requirements, with missed deadlines resulting in penalties. Regulators investigate whether proper security controls were in place, from HIPAA in healthcare to SOX, PCI-DSS, and GDPR in finance and data protection. These incidents can also spark class-action lawsuits for breach of privacy. Contracts with business partners can stand violated, resulting in liability for partner losses.

Objetivos comunes del password spraying: ¿Quién está en riesgo?

Los ataques de password spraying pueden dirigirse a cualquier organización que tenga cuentas en línea o sistemas de inicio de sesión expuestos. Sin embargo, algunos entornos y usuarios son mucho más atractivos para los atacantes debido al acceso, datos o sistemas que controlan. Algunos objetivos comunes de las campañas de password spraying son:

Organizations with externally facing authentication services

Organizations that expose authentication services to the internet are prime targets. Common attack surfaces include:

VPN gateways
Email portals like Outlook Web Access and Microsoft 365/Entra ID
Cloud applications such as Google Workspace and Salesforce

Single sign-on (SSO) and federated identity systems like AD FS, Okta, and Ping Identity are high-value entry points for credential-based attacks. By compromising them, attackers gain access to multiple internal and third-party apps simultaneously.

Industries handling sensitive data

Sectors that store or process confidential or regulated information are especially appealing to threat actors due to the high value of the data.

Healthcare organizations are targeted for patient data and access to electronic health records systems containing HIPAA-protected data.
Financial institutions face risks to online banking platforms, trading applications, and payment processing systems.
Government and defense entities are prime espionage targets due to classified data, extensive contractor networks, and citizen service portals.
At educational institutions, student information systems often use predictable username formats based on student names. Combined with less mature security controls, this makes it easier for attackers to generate valid credential lists for password spraying campaigns.

Users with high-value or privileged accounts

Attackers love to go after accounts that provide administrative access or financial control.

C-suite executives and board members are valuable because their accounts contain sensitive communications and strategic information.
IT administrators control identity systems, servers, and cloud environments, making them highly valuable targets.
Finance and payroll staff are targeted for potential fraud in payroll processing and wire-transfer manipulation.
Service accounts, which have broad access but weaker monitoring, are another common entry point.

Accounts with weak or default credentials

New or forgotten employee accounts with default passwords are low-hanging fruit. Even active users who follow common, predictable password patterns (like CompanyName2025!) pose a risk. Legacy or inactive accounts that remain enabled in the directory are also dangerous, as they are rarely monitored yet may still provide valid access.

Cloud and remote work environments

With remote work and cloud adoption, many employees log in through VPNs, VDIs, or SSO platforms. This creates a large attack surface, where one compromised password can open access to dozens of connected systems.

Evaluación de riesgos

El password spraying es un ataque de bajo costo y amplia disponibilidad que se aprovecha de contraseñas débiles y superficies de autenticación expuestas. Las organizaciones deben tratarlo como un riesgo de alta prioridad y ajustar los controles en consecuencia.

Factor de riesgo	Nivel
Daño potencial	Alto Un solo compromiso exitoso puede llevar a la toma de control del buzón, robo de documentos sensibles, compromiso del correo electrónico empresarial, movimiento lateral hacia sistemas críticos e incluso preparación de ransomware. Si la cuenta comprometida tiene privilegios elevados o acceso a SSO, el impacto se multiplica.
Facilidad de ejecución	Medio–Alto El password spraying requiere relativamente poca habilidad. Herramientas comunes, listas públicas de contraseñas comunes, scripts automatizados y OSINT básico para recolectar nombres de usuario son suficientes para lanzar un ataque. Los actores de amenazas pueden escalar usando automatización simple y servicios proxy. Por lo tanto, llevar a cabo el ataque no es trivial pero está al alcance de muchos actores de amenazas.
Probabilidad	Alto La técnica de password spraying es barata, efectiva y ampliamente utilizada en ataques. Las campañas automatizadas y botnets facilitan atacar a muchas víctimas rápidamente. Debido a que muchas organizaciones aún tienen contraseñas débiles o reutilizadas, portales de inicio de sesión expuestos o endpoints antiguos sin MFA, la probabilidad de un ataque de password spraying sigue siendo alta.

Factor de riesgo

Nivel

Daño potencial

Alto
Un solo compromiso exitoso puede llevar a la toma de control del buzón, robo de documentos sensibles, compromiso del correo electrónico empresarial, movimiento lateral hacia sistemas críticos e incluso preparación de ransomware. Si la cuenta comprometida tiene privilegios elevados o acceso a SSO, el impacto se multiplica.

Facilidad de ejecución

Medio–Alto
El password spraying requiere relativamente poca habilidad. Herramientas comunes, listas públicas de contraseñas comunes, scripts automatizados y OSINT básico para recolectar nombres de usuario son suficientes para lanzar un ataque. Los actores de amenazas pueden escalar usando automatización simple y servicios proxy. Por lo tanto, llevar a cabo el ataque no es trivial pero está al alcance de muchos actores de amenazas.

Probabilidad

Alto
La técnica de password spraying es barata, efectiva y ampliamente utilizada en ataques. Las campañas automatizadas y botnets facilitan atacar a muchas víctimas rápidamente. Debido a que muchas organizaciones aún tienen contraseñas débiles o reutilizadas, portales de inicio de sesión expuestos o endpoints antiguos sin MFA, la probabilidad de un ataque de password spraying sigue siendo alta.

Cómo prevenir el password spraying

Para prevenir el password spraying, las organizaciones deben adoptar prácticas de autenticación robustas, monitoreo proactivo y concienciación de los usuarios. Las siguientes medidas pueden ser útiles.

Aplicar políticas de contraseñas fuertes

El primer paso es elevar el nivel de fortaleza de la contraseña.

Implemente contraseñas largas y complejas para las cuentas (al menos 14 caracteres).
Utilice listas de contraseñas prohibidas o comprometidas (como Have I Been Pwned) y patrones comunes para bloquear a los usuarios que intenten usar contraseñas comprometidas o débiles.
Asegúrese de que las cuentas nuevas y predeterminadas cambien sus contraseñas en el primer inicio de sesión para eliminar puntos de entrada fáciles.

Implemente la autenticación multifactor

MFA es una de las defensas más efectivas contra el password spraying ya que cierra las rutas comunes de bypass.

Implemente MFA en todos los sistemas expuestos externamente, como correo electrónico, VPN y aplicaciones en la nube.
Siempre que sea posible, utilice opciones de MFA resistentes al phishing como las claves de seguridad FIDO2 o la autenticación basada en certificados.
Bloquee protocolos heredados (como NTLM o autenticación básica) que no admiten MFA. Asegúrese de que sus plataformas de cloud e identity solo permitan autenticación moderna para que los atacantes no puedan infiltrarse usando métodos débiles y obsoletos.

Aplicar bloqueo de cuenta y limitación de tasa

Los atacantes dependen de intentos repetidos de inicio de sesión en ataques de password spraying, por lo que puedes limitar estos intentos para ralentizar o detener su progreso.

Establezca las políticas de bloqueo con cuidado. Hágalas lo suficientemente estrictas para proteger las cuentas, pero lo bastante flexibles para evitar frustrar a los usuarios legítimos.
Agregue retrasos progresivos, solicitudes CAPTCHA y bloqueos temporales después de varios intentos fallidos.
Limite el número de intentos de inicio de sesión desde una única dirección IP o dispositivo para evitar ataques masivos de fuerza bruta.

Fortalecer la detección y el monitoreo

La supervisión continua permite a las organizaciones detectar señales de advertencia temprano.

Rastree intentos fallidos de inicio de sesión en varias cuentas desde la misma IP o región.
Investigue picos en bloqueos de cuentas, solicitudes inusuales de MFA e inicios de sesión desde geografías desconocidas.
Utilice herramientas de security information and event management (SIEM) o user and entity behavior analytics (UEBA) para identificar patrones de “bajo y lento” que se mezclan con el tráfico normal. Detectar estos patrones temprano puede prevenir una brecha a gran escala.

Mantener la higiene del nombre de usuario y la identidad

El primer paso en una cadena de ataque de password spraying es cuando el atacante comienza a recopilar o inferir nombres de usuario válidos en una organización. Por esta razón:

Evite formatos de nombre de usuario predecibles como “firstname.lastname@company.com” o “employeeID@domain.com.”
Limite o asegure cualquier lista accesible públicamente de nombres de usuario, direcciones de correo electrónico o información de empleados que los atacantes podrían usar para crear listas válidas de nombres de inicio de sesión.
Configure sus páginas de inicio de sesión para evitar la enumeración de nombres de usuario: no revele si un nombre de usuario es válido durante intentos fallidos de inicio de sesión.
Como ejercicio rutinario, desactive las cuentas inactivas, de prueba y heredadas que no se usan pero que aún están activas en el directorio.

Adopte Zero Trust y controles de acceso

Un modelo Zero Trust limita el daño de una sola cuenta comprometida.

Aplica el principio de menor privilegio (PoLP), otorgando a los usuarios solo el acceso que realmente necesitan.
Utilice políticas de Acceso Condicional para bloquear IPs riesgosas y aplicar MFA para inicios de sesión de alto riesgo.
Segmenta el acceso entre sistemas para que una brecha no se propague por toda la red.

Trabajar en la concienciación y formación de los usuarios

El error humano suele ser el eslabón más débil. Para abordarlo:

Eduque a los empleados sobre la higiene de las contraseñas, los peligros de reutilizarlas y cómo funcionan los ataques de spraying.
Fomente el uso de gestores de contraseñas para generar y almacenar contraseñas únicas y complejas.
Realice campañas regulares de concienciación y simulaciones de phishing/ataques de contraseña para mantener frescos los buenos hábitos.

Utilice protecciones avanzadas

Las defensas modernas de identidad van más allá de las contraseñas. Las organizaciones deberían:

Implemente herramientas de Identity threat detection & response (ITDR), como las proporcionadas por Netwrix, para detectar y contener actividades sospechosas relacionadas con la identidad antes de que los atacantes escalen.
Habilite funciones de aplicación de contraseñas prohibidas como Microsoft Entra ID Password Protection.
Considere cambiar a la autenticación sin contraseña, como las llaves FIDO2, biometría o tarjetas inteligentes para una mayor seguridad.

Cómo puede ayudar Netwrix

Netwrix ofrece una gama de soluciones de ciberseguridad que permiten a las organizaciones aplicar una autenticación más fuerte, detectar ataques temprano, bloquearlos en tiempo real y mantener la higiene en todas las identidades.

Implemente una autenticación fuerte con Netwrix Password Policy Enforcer

Netwrix Password Policy Enforcer te permite configurar políticas de contraseñas detalladas y personalizadas para bloquear contraseñas débiles y comprometidas. Soporta tanto Active Directory local como entornos en la nube como Microsoft Entra ID. Puede verificar listas de contraseñas filtradas, aplicar diferentes reglas por grupo de usuarios y ayudar a cumplir con plantillas regulatorias como NIST y PCI.

Detenga las autenticaciones maliciosas en tiempo real con Netwrix Threat Prevention

Netwrix Threat Prevention supervisa y bloquea accesos riesgosos y cambios no autorizados en tiempo real, como inicios de sesión sospechosos, cambios en grupos privilegiados y autenticación con protocolos heredados. Esto evita que los atacantes establezcan una base o se muevan lateralmente.

Threat Prevention es parte de la solución de Identity Threat Detection & Response (ITDR), que abarca múltiples productos que trabajan juntos. Esta solución permite a las organizaciones detectar ataques centrados en la identidad de forma temprana, incluyendo password spraying, intentos de inicio de sesión lentos y bajos, uso indebido de credenciales, uso de protocolos heredados, inicios de sesión inusuales y escalada de privilegios en Active Directory y Entra ID. Proporciona análisis en tiempo real y alertas cuando ocurre una actividad sospechosa, guiando a los equipos de seguridad para responder antes de que los atacantes escalen.

Mantenga la higiene de la identidad a través de Netwrix Directory Manager

Netwrix Directory Manager automatiza las tareas del ciclo de vida del usuario en el directorio, como deshabilitar cuentas inactivas y heredadas, aplicar credenciales fuertes en las cuentas nuevas y actualizar automáticamente las membresías de grupos según las políticas. Este tipo de limpieza reduce la superficie de ataque disponible para el password spraying.

Detecte y bloquee ataques de password spraying con Netwrix Threat Manager. Descargue la prueba gratuita.

Estrategias de detección, mitigación y respuesta

El password spraying es una amenaza de bajo ruido pero de alto impacto. Para detectar las señales tempranas, las organizaciones necesitan una detección estricta, seguida de una respuesta rápida para contener y remediar el daño.

Detección

Puedes detectar la campaña de password spraying buscando patrones amplios y de bajo volumen en lugar de ráfagas fuertes.

Correlacionar inicios de sesión fallidos en cuentas

Correlacione los intentos fallidos de inicio de sesión en varias cuentas que provienen de la misma dirección IP, red (ASN) o cadena de agente de usuario dentro de una ventana de tiempo (por ejemplo, más de 5 cuentas fallando desde una IP en 30 minutos). Este patrón de “misma contraseña probada en todas partes” es un fuerte indicador de actividad de spraying.

Detectar cadencia baja y lenta

Los atacantes explotan protocolos antiguos porque carecen de funciones avanzadas de seguridad y no admiten MFA. Señale cualquier intento de autenticación que utilice IMAP, POP, SMTP AUTH u otras API obsoletas. También supervise agentes de usuario inusuales, herramientas automatizadas y aplicaciones que rara vez se usan en su entorno. Preste atención a intentos de inicio de sesión lentos y constantes distribuidos en muchas cuentas, ya que están diseñados para mantenerse por debajo de los umbrales de bloqueo y detección.

Monitorear fuentes riesgosas

Monitoree conexiones desde fuentes riesgosas o anonimizadas, como nodos de salida Tor, VPN y proxies abiertos o anónimos. Rastree inicios de sesión desde IPs previamente señaladas por actividad maliciosa o asociadas con ataques de credenciales. Detecte viajes imposibles (por ejemplo, un usuario que inicia sesión desde Nueva York y luego desde Tokio 30 minutos después) y anomalías geográficas, como accesos desde países o regiones donde su organización no tiene presencia. Estas señales ayudan a identificar fuentes de conexión inherentemente sospechosas.

Realice un seguimiento del éxito después de los fallos

Cuando observes un patrón donde múltiples intentos fallidos de inicio de sesión en varias cuentas son seguidos por un inicio de sesión exitoso desde la misma IP o fuente, mantente alerta. Esa transición es un indicador de alta confianza de una brecha.

Reglas SIEM/UEBA

Las líneas base de aprendizaje automático detectan anomalías que los analistas humanos pueden pasar por alto. Configure reglas SIEM o UEBA para detectar inicios de sesión fallidos distribuidos en muchas cuentas, violaciones de límites de tasa y picos repentinos en denegaciones de MFA o bloqueos de cuentas.

Mitigación

Para mitigar los ataques de password spraying, tome medidas para que las cuentas sean más difíciles de adivinar, más difíciles de abusar y más fáciles de proteger. Además de las prácticas listadas en la sección How to Prevent Password Spraying, adopte las siguientes medidas para la mitigación.

Defensas contra bots y anomalías

Haz que sea más difícil para las herramientas automatizadas seguir adivinando contraseñas. Añade desafíos CAPTCHA tras múltiples intentos fallidos de inicio de sesión, utiliza el fingerprinting de dispositivos para reconocer patrones sospechosos y confía en señales de comportamiento (como la velocidad de escritura o el momento del inicio de sesión) para distinguir humanos de bots. Estos pequeños puntos de fricción pueden romper eficazmente la mayoría de los intentos automatizados de ataques masivos.

Acceso condicional

Fortalezca las decisiones de acceso con contexto. Utilice políticas de Acceso Condicional para permitir inicios de sesión solo desde ubicaciones confiables, bloquear inicios de sesión de “viajes imposibles” y activar la autenticación escalonada cuando un inicio de sesión parezca arriesgado. Esto garantiza que, incluso si se adivinan las credenciales, los atacantes aún enfrenten obstáculos adicionales de verificación.

Higiene del proveedor de identidad (IdP)

Asegure sus procesos de autenticación. Active las funciones de protección de contraseñas a nivel de tenant (como listas de contraseñas prohibidas), habilite el bloqueo de extranet en AD FS para limitar los intentos externos de fuerza bruta y configure alertas a nivel de tenant para comportamientos sospechosos de inicio de sesión. Estos controles reducen la ventana de oportunidad para que los atacantes exploten credenciales débiles o reutilizadas.

Higiene del administrador

Trate las cuentas de administrador como las joyas de la corona. Los administradores deben usar cuentas separadas para el trabajo administrativo y diario. Implemente el principio de menor privilegio para que nadie tenga más acceso del necesario y elimine por completo las contraseñas predeterminadas o compartidas. Implemente el acceso just-in-time (JIT) y Just Enough Administration (JEA) para otorgar privilegios elevados temporales solo cuando sea necesario. Esto limita la exposición si alguna vez se compromete una cuenta.

Respuesta

Cuando se active una alerta de detección, responde. Tu objetivo es contener el daño, encontrar cómo persistió el atacante y asegurarte de que no vuelva a ocurrir.

Contenga la amenaza rápidamente

Bloquee rangos de IP o ASN sospechosos (o póngalos en cuarentena en el WAF o en el borde de la red).
Implemente geovallado si los ataques provienen de regiones geográficas inesperadas.
Revoca todas las sesiones activas y los tokens de actualización para las cuentas comprometidas (no solo las sospechosas porque los atacantes pueden haberse movido lateralmente).
Invalidar cualquier token de acceso o clave API vigente asociada con las cuentas afectadas.
Aplica políticas de Conditional Access de emergencia para requerir MFA, bloquear inicios de sesión riesgosos o restringir el acceso a redes confiables.
Endurezca temporalmente los requisitos de autenticación para bloquear rutas de inicio de sesión riesgosas.

Restablecer credenciales específicas

Restablezca las contraseñas de las cuentas que fueron atacadas o comprometidas con éxito. Utilice la puntuación de riesgo y los indicadores confirmados de compromiso para guiar el proceso de restablecimiento de contraseñas.
Aplicar la inscripción en MFA.
Elimine reglas sospechosas de reenvío de buzones, permisos de envío como y delegados de cuentas comprometidas y de alto riesgo.
Revocar los consentimientos de aplicaciones OAuth no autorizadas y los permisos de aplicación para las cuentas objetivo.

Buscar persistencia

Buscar cuentas comprometidas para:

Reglas del buzón (reenvío, eliminación, respuesta automática)
Delegados de buzón y permisos de enviar como/enviar en nombre de
Contraseñas de aplicaciones y tokens de autenticación heredados (IMAP, POP3, SMTP)
Tokens OAuth y consentimientos de aplicaciones
Claves API y credenciales de principal de servicio
Dispositivos MFA registrados (elimine teléfonos u otros autenticadores añadidos por atacantes)
Cambios en los métodos de autenticación registrados
Principal de servicio y registros de aplicaciones con permisos excesivos
Modificaciones en la política de Conditional Access (los atacantes pueden debilitar las políticas de seguridad)
Credenciales guardadas en navegadores o gestores de contraseñas

Elimine todo lo que pueda permitir que el atacante regrese sin volver a autenticarse.

Informática forense y alcance

Recopile registros de autenticación (inicios de sesión de Entra ID, registros del sistema Okta, registros de AD local) y flujos de red (como movimientos laterales este-oeste, indicadores de exfiltración de datos, patrones de tráfico anómalos).
Cree una línea de tiempo de eventos, IPs de origen, agentes de usuario, aplicaciones afectadas y qué intentos de inicio de sesión tuvieron éxito o fallaron.
Determine qué datos o sistemas fueron accedidos.

Notificar a las partes interesadas

Informe inmediatamente a los usuarios afectados y guíelos sobre qué hacer.
A continuación, informe a la dirección, al departamento legal, a seguridad informática y a los equipos de cumplimiento según sea necesario.
Actualice a los socios y proveedores si se ven afectados sistemas o datos compartidos.
Si la violación resulta en incumplimiento normativo, prepare las notificaciones regulatorias si corresponde.

Deshabilitar vectores de ataque

Desactive los protocolos de autenticación heredados si no son necesarios.
Endurezca las políticas de bloqueo de cuentas y los límites de tasa.
Implemente cuentas señuelo (honeypots) con monitoreo para detectar futuros intentos de spraying.
Actualice las fuentes de inteligencia de amenazas con IPs de atacantes, patrones y TTPs.
Refina las reglas de detección SIEM basadas en los indicadores de atacante observados.
Implemente medidas de mitigación en toda la organización.

Lecciones aprendidas

Programe una revisión formal posterior al incidente dentro de una a dos semanas después del cierre del incidente y documente qué funcionó bien y qué necesita mejorar.
Revise los runbooks de respuesta a incidentes con las lecciones aprendidas.
Documente nuevos IOCs, TTPs y firmas de detección.
Realice ejercicios de mesa simulando escenarios de password spraying.
Realice ejercicios de equipo púrpura para validar mejoras en la detección y respuesta.
Realice simulaciones controladas de pulverización de contraseñas (con autorización) para probar los controles.

Capacite al personal de helpdesk y TI para reconocer y responder a ataques de credenciales.

Impacto específico de la industria

Los ataques de password spraying tienen diferentes consecuencias según el sector. Al comprender los riesgos específicos de la industria, las organizaciones pueden priorizar las defensas y adaptar la respuesta a incidentes.

Industry	Impact
Healthcare	Password spraying attacks create immediate risks to patient safety and regulatory compliance. Compromised credentials expose electronic health records (EHR) and protected health information (PHI), leading to severe HIPAA violations, mandatory breach notifications, financial penalties, additional audits, and loss of patient trust. Compromised patient or provider portals result in account takeovers that lock providers out of critical systems during emergencies while disrupting care coordination, appointment scheduling, and prescription management.
Finance	Threat actors can initiate wire fraud, BEC, and customer account takeovers to redirect funds or steal sensitive financial data. Breaches can expose PCI or GLBA-regulated information, which triggers heavy fines, legal consequences, and regulatory investigations. The reputational impact tarnishes customer confidence and market credibility.
Government	Compromise of government accounts can lead to exposure of citizen records, data manipulation, and service outages. Attackers may exploit breaches to access sensitive internal systems, posing risks to national security and public trust. Agencies also face Freedom of Information Act (FOIA) implications and heightened oversight following such incidents.

Industry

Impact

Healthcare

Password spraying attacks create immediate risks to patient safety and regulatory compliance. Compromised credentials expose electronic health records (EHR) and protected health information (PHI), leading to severe HIPAA violations, mandatory breach notifications, financial penalties, additional audits, and loss of patient trust.

Compromised patient or provider portals result in account takeovers that lock providers out of critical systems during emergencies while disrupting care coordination, appointment scheduling, and prescription management.

Finance

Threat actors can initiate wire fraud, BEC, and customer account takeovers to redirect funds or steal sensitive financial data. Breaches can expose PCI or GLBA-regulated information, which triggers heavy fines, legal consequences, and regulatory investigations. The reputational impact tarnishes customer confidence and market credibility.

Government

Compromise of government accounts can lead to exposure of citizen records, data manipulation, and service outages. Attackers may exploit breaches to access sensitive internal systems, posing risks to national security and public trust. Agencies also face Freedom of Information Act (FOIA) implications and heightened oversight following such incidents.

Evolución del ataque y tendencias futuras

Los ataques basados en contraseñas han evolucionado desde intentos ruidosos de fuerza bruta hasta campañas sigilosas y automatizadas que forman parte de operaciones de amenaza más amplias. Al analizar la evolución de los ataques y las tendencias actuales, los equipos de seguridad pueden fortalecer las defensas en consecuencia.

Etapa inicial: Fuerza bruta simple

Cambio: Password spraying

A medida que las organizaciones reforzaban sus defensas, los atacantes cambiaron la estrategia. En lugar de probar muchas contraseñas en una cuenta, comenzaron a probar unas pocas contraseñas comunes en muchas cuentas. Este método, conocido como password spraying, les ayudó a evadir las políticas de bloqueo y a mantenerse bajo el radar mientras lograban un impacto amplio.

Ahora: Automatizado y dirigido

Hoy en día, el password spraying está completamente automatizado e integrado en campañas de amenazas persistentes avanzadas (APT) y ransomware. Los atacantes utilizan bots, redes proxy y listas de credenciales robadas para atacar servicios en la nube, plataformas SSO y proveedores de identidad. Estos sistemas otorgan acceso a casi todo lo demás. El resultado son ataques más rápidos, amplios y coordinados con graves consecuencias posteriores.

Futuro: Más inteligente y sigiloso

De cara al futuro, se espera que el password spraying sea impulsado por IA. Usará aprendizaje automático para predecir patrones de contraseñas, priorizar objetivos y ajustar el comportamiento en tiempo real. Los ataques futuros probablemente adoptarán técnicas “bajas y lentas”, distribuyendo los intentos para mantenerse invisibles. Los atacantes también tenderán a usar bypass sin contraseña, donde robarán tokens o sesiones activas en lugar de descifrar contraseñas.

Estadísticas clave e infografías

Los números cuentan la verdadera historia detrás del password spraying y los ataques basados en credenciales. Las siguientes estadísticas destacan por qué la autenticación fuerte y una mejor higiene de contraseñas son más críticas que nunca.

En el 2025 Verizon Data Breach Investigations Report, los analistas encontraron que el 22 % de las brechas confirmadas comenzaron con abuso de credenciales (como contraseñas robadas o reutilizadas), y entre los ataques de “Basic Web Application”, el 88 % involucró credenciales robadas.
Según Microsoft, más del 99,9 % de las cuentas comprometidas no tenían MFA en el momento de la violación. La investigación también encontró que las cuentas sin MFA eran particularmente vulnerables a ataques de password spraying y password replay, especialmente al usar protocolos de autenticación heredados como SMTP, IMAP y POP que no admiten MFA.
Según análisis recientes (por ejemplo, de NordPass y otros en 2025), contraseñas como “123456,” “password,” “qwerty,” “12345,” y “qwerty123” continúan dominando las listas principales de contraseñas más usadas.

Ataques diarios a la identidad

El siguiente gráfico muestra un aumento pronunciado en los ataques diarios a la identidad, que pasan de alrededor de 300 millones en 2022 a casi 800 millones en la primera mitad de 2025. Destaca la creciente escala de las amenazas basadas en contraseñas e identidad.

Tipos de ataques de identidad

El gráfico circular muestra que en 2025, el 97 % de los ataques de identidad se basaron en contraseñas, principalmente ataques de password spraying y fuerza bruta. Esto confirma que las credenciales débiles o robadas siguen siendo el principal objetivo de los atacantes.

Crecimiento de la adopción de MFA

El gráfico de líneas muestra un crecimiento constante en la adopción de MFA entre los clientes empresariales de Microsoft desde 2014, pero a partir de 2024, el 59 % de las cuentas aún carecen de protección MFA.

Reflexiones finales

Los atacantes rocían credenciales sobre su base de usuarios como la lluvia contra las ventanas. La mayoría de los intentos se deslizan sin causar daño, pero solo necesitan un sello débil para inundar. La belleza del ataque, desde su perspectiva, es su simplicidad: poco esfuerzo, alto rendimiento y casi invisible hasta que se produce el daño. No sea el sello débil. No permita que una sola credencial comprometida deshaga meses de inversiones en seguridad. El password spraying tiene éxito precisamente porque no parece un ataque, hasta que es demasiado tarde. Detecte el rociado temprano, cierre los puntos de entrada y mantenga la inundación a raya.

Preguntas frecuentes

¿Es suficiente MFA para detener los ataques de pulverización de contraseñas?

¿Qué umbrales de bloqueo/tasa son seguros?

¿Cómo pueden las organizaciones detectar y detener los ataques de pulverización de contraseñas “lentos y constantes”?

¿Pueden los ataques de password spraying eludir el SSO?

¿Existen herramientas específicas para ataques de password spraying?

Compartir en

Published: Jun 22, 2026

Darryl Baker

Investigador Principal de Seguridad

Darryl G. Baker es un Investigador Senior de Seguridad en Netwrix y una autoridad reconocida en seguridad de Identity y Active Directory. Con más de una década de experiencia en sistemas de identidad, ha liderado evaluaciones de seguridad empresarial, capacitaciones en seguridad de identidad y emulaciones de amenazas centradas en Active Directory, Entra ID y entornos Azure. Darryl ha impartido capacitaciones y demostraciones muy valoradas en BlueTeamCon, BSidesCT, The Experts Conference y Wild Wild West Hackin’ Fest. Es el arquitecto detrás de numerosos laboratorios prácticos de emulación de ataques, aprovechando las herramientas actuales de red team y blue team para ayudar a los defensores a dominar desde el análisis de rutas de ataque hasta la caza de amenazas. En sus sesiones, Darryl combina un profundo conocimiento técnico con estudios de casos reales, capacitando a los profesionales de blue team para fortalecer su postura de seguridad de identidad y defenderse contra técnicas adversarias en evolución.

Ver ataques de ciberseguridad relacionados

Abuso de permisos de aplicaciones Entra ID – Cómo funciona y estrategias de defensa

Modificación de AdminSDHolder – Cómo funciona y estrategias de defensa

Ataque AS-REP Roasting - Cómo funciona y estrategias de defensa

Ataque Hafnium - Cómo funciona y estrategias de defensa

Ataques DCSync explicados: Amenaza a la seguridad de Active Directory

Explicación de los ataques de explotación gMSA y ataques Golden gMSA

Guía definitiva sobre ataques Golden SAML

Entendiendo los ataques de Golden Ticket

Ataque DCShadow – Cómo funciona, ejemplos del mundo real y estrategias de defensa

ChatGPT Prompt Injection: Comprensión de riesgos, ejemplos y prevención

Explicación de los ataques de extracción NTDS.dit

Ataque de Kerberoasting – Cómo funciona y estrategias de defensa

Comprendiendo los ataques pass-the-hash (PtH)

Explicación del ataque Pass-the-Ticket: Riesgos, ejemplos y estrategias de defensa

Comprendiendo la extracción de contraseñas en texto plano

Explicación de la vulnerabilidad Zerologon: Riesgos, Explotaciones y Mitigación

Una guía completa sobre ataques de ransomware

Ataque Skeleton Key: cómo funciona y cómo detectarlo

Movimiento lateral: Qué es, cómo funciona y prevenciones

Ataques de Hombre en el Medio (MITM): Qué son y cómo prevenirlos

¿Por qué es PowerShell tan popular entre los atacantes?

4 ataques a cuentas de servicio y cómo protegerse contra ellos

Cómo prevenir que los ataques de malware afecten a su negocio

¿Qué es Credential Stuffing?

Comprometiendo SQL Server con PowerUpSQL

¿Qué son los ataques de Mousejacking y cómo defenderse de ellos?

Robo de credenciales con un Proveedor de Soporte de Seguridad (SSP)

Ataques de Rainbow Table: Cómo funcionan y cómo defenderse de ellos

Una mirada exhaustiva a los ataques de contraseñas y cómo detenerlos

Reconocimiento LDAP

Eludir MFA con el ataque Pass-the-Cookie

Ataque de Silver Ticket