¿Qué es el Password Spraying y cómo puede detectar y bloquear ataques?

En 2019, un robo de datos en Citrix sacudió el mundo de la ciberseguridad. Los atacantes robaron documentos empresariales de una unidad de red compartida y de una unidad asociada con una herramienta basada en la web utilizada en la práctica de consultoría de Citrix. Los hackers obtuvieron este acceso a la infraestructura de TI de Citrix a través de un ataque de pulverización de contraseñas, una técnica que explota contraseñas débiles, lo que llevó a críticas de que el gigante del software comprometió innecesariamente a sus clientes al no establecer una estrategia de contraseñas sólida.

Citrix está lejos de ser la única empresa que no cumple con la seguridad de contraseñas. Cuando un equipo de investigación de amenazas escaneó todas las cuentas de usuario de Microsoft a principios de 2019, descubrieron que 44 millones de usuarios estaban utilizando los mismos nombres de usuario y contraseñas que ya habían sido filtrados en línea después de brechas de seguridad en otros servicios en línea. Esta tendencia es alarmante, ya que el 2020 Data Breach Investigations Report revela que más del 80 por ciento de las brechas relacionadas con hackeos involucran credenciales robadas (o perdidas) o ataques de fuerza bruta.

Los ataques de password spraying no se pueden prevenir, pero sí se pueden detectar e incluso detener en seco. En este artículo, explicamos cómo se desarrolla este tipo de ataque, cómo puedes identificar ataques en curso y cómo puedes mitigar el riesgo de convertirte en la próxima víctima.

¿Qué es un ataque de rociado de contraseñas?

Los ataques de fuerza bruta típicos se dirigen a una sola cuenta, probando múltiples contraseñas para intentar obtener acceso. Los protocolos modernos de ciberseguridad pueden detectar esta actividad sospechosa y bloquear una cuenta cuando ocurren demasiados intentos fallidos de inicio de sesión en un corto período de tiempo.

El rociado de contraseñas invierte la estrategia convencional intentando iniciar sesión en múltiples cuentas de usuario utilizando muchas contraseñas comunes. Probar una sola contraseña en diferentes cuentas antes de intentar otra contraseña en las mismas cuentas elude los protocolos de bloqueo normales, permitiendo al atacante seguir probando más y más contraseñas.

Lamentablemente, los ataques de pulverización de contraseñas son frecuentemente exitosos porque muchos usuarios no siguen las password best practices. De hecho, las 200 contraseñas más comunes filtradas en violaciones de data breaches en 2019 incluían combinaciones de números obvias como “12345”, nombres comunes de mujeres y la palabra “password” en sí. Cualquier atacante que se dirija a un número suficientemente grande de nombres de usuario y trabaje con un banco lo suficientemente grande de contraseñas comunes está destinado a poder comprometer algunas cuentas.

Aunque lanzar una red amplia probablemente devolverá al menos algunos éxitos, los hackers astutos de hoy dependen de un enfoque más preciso. Fijan su mirada en usuarios que utilizan autenticación de single sign-on (SSO), con la esperanza de adivinar credenciales que les darán acceso a múltiples sistemas o aplicaciones. También suelen tener como objetivo usuarios que utilizan servicios y aplicaciones en la nube que emplean autenticación federada. Este enfoque puede permitir a los atacantes moverse lateralmente, ya que la autenticación federada puede ayudar a ocultar el tráfico malicioso.

Una vez que una cuenta ha sido comprometida en un ataque de password spraying, la víctima puede sufrir una pérdida temporal o permanente de información sensible. Para las organizaciones, un ataque exitoso también podría significar operaciones interrumpidas, pérdidas significativas de ingresos y daño a la reputación.

Cómo detectar un ataque de rociado de contraseñas

Aunque las contramedidas convencionales podrían no detectar automáticamente los ataques de password spraying, hay varios indicadores confiables que buscar. El más obvio es un alto número de intentos de autenticación, especialmente intentos fallidos debido a contraseñas incorrectas, en un corto período de tiempo. Naturalmente, un indicador estrechamente relacionado es un aumento en los bloqueos de cuentas.

En muchos casos, el rociado de contraseñas conduce a un aumento repentino en los intentos de inicio de sesión que involucran portales SSO o aplicaciones en la nube. Las partes maliciosas pueden usar herramientas automatizadas para intentar miles de inicios de sesión en un breve período de tiempo. A menudo, estos intentos provienen de una única dirección IP o un solo dispositivo.

Cómo mitigar el riesgo de ser víctima de un ataque de rociado de contraseñas

Aunque es crítico poder detectar ataques exitosos de manera pronta, permitir a los atacantes incluso un breve acceso a datos sensibles puede resultar devastador. Una estrategia de ciberseguridad sólida requiere un enfoque integral y proactivo que asegure una protección en capas para bloquear tantos ataques como sea posible. Asegúrate de seguir estas mejores prácticas:

• Requerir autenticación multifactor para todos los usuarios.
• Asegúrese de que todas las contraseñas cumplan con las National Institute of Standards and Technology (NIST) guidelines.
• Establezca políticas sólidas para restablecer contraseñas después de bloqueos de cuenta.
• Desarrolle una estrategia de contraseña defendible para cuentas compartidas.
• Realice capacitaciones regulares a los usuarios para asegurarse de que todos comprendan la amenaza del password spraying y cómo pueden crear y mantener contraseñas seguras.

Cómo Netwrix Solutions puede ayudar

La mejor manera de defender su organización contra los ataques de rociado de contraseñas es invertir en una herramienta de seguridad informática que pueda detectar y bloquear de manera confiable estos ataques con una auditoría completa, alertas e informes.

Netwrix Auditor puede alertarlo sobre una amplia variedad de actividades sospechosas, incluyendo eventos que indican un ataque de rociado de contraseñas, para que pueda responder de inmediato y proteger sus sistemas y datos. Además, proporciona una auditoría y generación de informes potentes. Las características clave incluyen:

• Auditoría y alertas de Active Directory. Netwrix Auditor rastrea inicios de sesión de Active Directory y otra actividad del usuario, incluyendo todos los intentos de inicio de sesión exitosos y fallidos. Puedes configurar alertas sobre actividades que consideres sospechosas, incluyendo acciones individuales como un usuario obteniendo privilegios de administrador o una secuencia de acciones dentro de un marco de tiempo especificado, como más de 4 intentos fallidos de inicio de sesión en 1 minuto. También puedes revisar fácilmente el historial completo de inicio de sesión de cualquier usuario.
• Análisis de comportamiento de usuario. Una vista consolidada de la actividad inusual y clasificación de los actores de riesgo facilita la detección temprana de cuentas comprometidas e insiders maliciosos, para que pueda tomar medidas y evitar la seguridad
• Análisis de comportamiento de usuario y puntos ciegos. Detecte actores maliciosos que se escabullen en su entorno al examinar fácilmente la actividad del usuario fuera del horario estándar, intentos de inicio de sesión de múltiples usuarios desde un único endpoint y intentos de inicio de sesión de un solo usuario desde múltiples endpoints.

Netwrix Auditor también le ayuda a fortalecer su postura de seguridad para que sea menos vulnerable a los ataques de rociado de contraseñas en primer lugar. En particular, usted puede:

• Haga cumplir las mejores prácticas de políticas de contraseñas con total visibilidad en la configuración de políticas y alertas sobre cambios.
• Realice un seguimiento de los Azure AD password resets para mantener una seguridad sólida en la nube.
• Descubra y asegure cuentas que no requieren contraseñas o cuyas contraseñas están configuradas para nunca caducar.
• Identifique y desactive cuentas inactivas antes de que puedan ser explotadas por atacantes.

En resumen, con Netwrix Auditor, es posible detectar a los actores maliciosos desde el principio — y bloquearlos proactivamente para que no entren en su red en primer lugar.