¿Qué es el Password Spraying y cómo puedes detectar y bloquear ataques?

En 2019, un robo de datos en Citrix sacudió el mundo de la ciberseguridad. Los atacantes robaron documentos comerciales de una unidad de red compartida y de una unidad asociada a una herramienta basada en la web utilizada en la práctica de consultoría de Citrix. Los hackers obtuvieron este acceso a la infraestructura de TI de Citrix a través de un ataque de pulverización de contraseñas, una técnica que explota contraseñas débiles, lo que llevó a críticas de que el gigante del software comprometió innecesariamente a sus clientes al no establecer una estrategia de contraseñas sólida.

Citrix está lejos de ser la única empresa que no cumple con la seguridad de contraseñas. Cuando un equipo de investigación de amenazas escaneó todas las cuentas de usuario de Microsoft a principios de 2019, descubrieron que 44 millones de usuarios estaban utilizando los mismos nombres de usuario y contraseñas que ya se habían filtrado en línea después de violaciones de seguridad en otros servicios en línea. Esta tendencia es alarmante, ya que el Informe de Investigaciones de Violaciones de Datos 2020 revela que más del 80 por ciento de las violaciones relacionadas con hackeos involucran credenciales robadas (o perdidas) o ataques de fuerza bruta.

Los ataques de pulverización de contraseñas no se pueden prevenir, pero se pueden detectar e incluso detener en seco. En este artículo, explicamos cómo se desarrolla este tipo de ataque, cómo puedes detectar ataques en progreso y cómo puedes mitigar el riesgo de convertirte en la próxima víctima.

¿Qué es un ataque de Password Spraying?

Los ataques típicos de fuerza bruta apuntan a una sola cuenta, probando múltiples contraseñas para intentar obtener acceso. Los protocolos modernos de ciberseguridad pueden detectar esta actividad sospechosa y bloquear una cuenta cuando ocurren demasiados intentos de inicio de sesión fallidos en un corto período de tiempo.

El ataque de password spraying invierte la estrategia convencional al intentar iniciar sesión en múltiples cuentas de usuario utilizando muchas contraseñas comunes. Intentar una sola contraseña en muchas cuentas diferentes antes de intentar otra contraseña en las mismas cuentas elude los protocolos normales de bloqueo, permitiendo al atacante seguir intentando más y más contraseñas.

Desafortunadamente, los ataques de pulverización de contraseñas son frecuentemente exitosos porque muchos usuarios no siguen las mejores prácticas de contraseñas. De hecho, las 200 contraseñas más comunes filtradas en violaciones de datos en 2019 incluían combinaciones numéricas obvias como “12345”, nombres de pila femeninos comunes y la palabra “contraseña” en sí. Cualquier atacante que apunte a un número suficientemente grande de nombres de usuario y trabaje con un banco lo suficientemente grande de contraseñas comunes está destinado a poder comprometer algunas cuentas.

Si bien lanzar una red amplia probablemente devolverá al menos algunos éxitos, los hackers astutos de hoy dependen de un enfoque más preciso. Fijan su atención en los usuarios que utilizan la autenticación de inicio de sesión único (SSO), con la esperanza de adivinar credenciales que les den acceso a múltiples sistemas o aplicaciones. También suelen dirigirse a usuarios que utilizan servicios y aplicaciones en la nube que emplean autenticación federada. Este enfoque puede permitir a los atacantes moverse lateralmente, ya que la autenticación federada puede ayudar a enmascarar el tráfico malicioso.

Una vez que una cuenta ha sido comprometida en un ataque de pulverización de contraseñas, la víctima puede sufrir una pérdida temporal o permanente de información sensible. Para las organizaciones, un ataque exitoso también podría significar operaciones interrumpidas, pérdidas significativas de ingresos y daños a la reputación.

Cómo detectar un ataque de Password Spraying

Aunque las contramedidas convencionales pueden no detectar automáticamente los ataques de pulverización de contraseñas, hay varios indicadores fiables a los que prestar atención. El más obvio es un alto número de intentos de autenticación, especialmente intentos fallidos debido a contraseñas incorrectas, en un corto período de tiempo. Naturalmente, un indicador estrechamente relacionado es un aumento en los bloqueos de cuentas.

En muchos casos, el ataque de password spraying provoca un aumento repentino en los intentos de inicio de sesión que involucran portales SSO o aplicaciones en la nube. Las partes maliciosas pueden utilizar herramientas automatizadas para intentar miles de inicios de sesión en un breve período de tiempo. A menudo, estos intentos provienen de una sola dirección IP o de un solo dispositivo.

Cómo mitigar el riesgo de ser víctima de un ataque de pulverización de contraseñas

Si bien es fundamental poder detectar rápidamente los ataques exitosos, permitir que los atacantes tengan incluso un breve acceso a datos sensibles puede resultar devastador. Una estrategia de ciberseguridad sólida requiere un enfoque integral y proactivo que garantice una protección en capas para bloquear la mayor cantidad posible de ataques. Asegúrate de seguir estas mejores prácticas:

• Requerir autenticación multifactor para todos los usuarios.
• Asegúrese de que todas las contraseñas cumplan con las pautas del Instituto Nacional de Estándares y Tecnología (NIST).
• Establecer políticas sólidas para restablecer contraseñas después de bloqueos de cuenta.
• Desarrolla una estrategia de contraseña defensible para cuentas compartidas.
• Realice capacitación regular para los usuarios para garantizar que todos comprendan la amenaza del ataque de pulverización de contraseñas y cómo pueden idear y mantener contraseñas seguras.

Cómo pueden ayudar las soluciones de Netwrix

La mejor manera de defender a su organización contra ataques de pulverización de contraseñas es invertir en una herramienta de seguridad informática que pueda detectar y bloquear de manera confiable estos ataques con auditoría, alertas e informes completos.

Netwrix Auditor puede alertarle sobre una amplia variedad de actividades sospechosas, incluidos eventos indicativos de un ataque de pulverización de contraseñas, para que pueda responder de inmediato y proteger sus sistemas y datos. Además, ofrece auditoría e informes potentes. Las características clave incluyen:

• Auditoría y alerta de Active Directory. Netwrix Auditor rastrea los registros de Active Directory y otras actividades de los usuarios, incluyendo todos los intentos de inicio de sesión. Puedes configurar alertas sobre actividades que consideres sospechosas, incluyendo acciones individuales como un usuario obteniendo privilegios de administrador o una secuencia de acciones dentro de un marco de tiempo especificado, como más de 4 intentos de inicio de sesión fallidos en 1 minuto. También puedes revisar fácilmente el historial completo de inicio de sesión de cualquier usuario.
• Análisis del comportamiento del usuario. Una vista consolidada de actividades inusuales y clasificación de actores de riesgo facilita la detección temprana de cuentas comprometidas e insiders maliciosos, para que puedas tomar medidas para evitar problemas de seguridad.
• Análisis del comportamiento del usuario y de los puntos ciegos.Identifica a los actores maliciosos que se mueven por tu entorno al examinar fácilmente la actividad del usuario fuera del horario estándar, los intentos de inicio de sesión de múltiples usuarios desde un solo endpoint y los intentos de inicio de sesión de un solo usuario desde múltiples endpoints.

Netwrix Auditor también te ayuda a fortalecer tu postura de seguridad para que seas menos vulnerable a los ataques de pulverización de contraseñas en primer lugar. En particular, puedes:

• Hacer cumplir las mejores prácticas de políticas de contraseñas con visibilidad completa sobre la configuración de políticas y alertas sobre cambios.
• Rastrear restablecimientos de contraseña de Azure AD para mantener una fuerte seguridad en la nube.
• Descubra y asegure cuentas que no requieren contraseñas o cuyas contraseñas están configuradas para no expirar nunca.
• Identificar y deshabilitar cuentas inactivas antes de que puedan ser explotadas por atacantes.

En resumen, con Netwrix Auditor, es posible detectar a los jugadores maliciosos desde el principio y bloquear proactivamente su acceso a su red desde el principio.