¿Qué es la pulverización de contraseñas?

Un ataque de pulverización de contraseñas se produce cuando un atacante utiliza contraseñas comunes para intentar acceder a varias cuentas en un dominio. Usando una lista de contraseñas comunes débiles, como "123456" o "contraseña1", el atacante puede acceder potencialmente a cientos de cuentas en un solo ataque.

Si un ciberdelincuente consigue irrumpir en una sola de sus cuentas, podría tener acceso a:

  • Información bancaria
  • Datos de tarjetas de crédito
  • Dirección postal
  • Número de la Seguridad Social
  • Y más
La pulverización de contraseñas frente al relleno de credenciales

La pulverización de contraseñas frente al relleno de credenciales

La principal diferencia entre ambos ataques es que la pulverización de contraseñas usa una lista de contraseñas comunes para acceder a varias cuentas en un dominio mientras que el relleno de credenciales utiliza solo un conjunto de credenciales para intentar acceder a diferentes cuentas en varios dominios.

La pulverización de contraseñas se aprovecha del hecho de que muchas personas usan las mismas credenciales de acceso para varias cuentas. Suelen ser credenciales totalmente verificadas (nombre de usuario y contraseña) que normalmente se encuentran en una filtración de datos.

A diferencia del relleno de credenciales, los ataques de pulverización de contraseñas se llevan normalmente a cabo con herramientas de pulverización (un conjunto de herramientas de software o un solo programa) y recopilando nombres de usuario desde un directorio o una fuente abierta. Estas herramientas se usan con comandos para obtener los nombres de usuario y después pulverizar una lista de contraseñas comunes con la intención de irrumpir en las cuentas.

Cómo detectar un ataque de pulverización de contraseñas

Detectar la pulverización de contraseñas como usuario personal

Uso de la MFA: Proteger sus cuentas con la autenticación de varios factores (MFA) añade una capa de protección adicional a su nombre de usuario y contraseña a la hora de acceder a ellas y, además, le notifica cuando el acceso se realiza desde un dispositivo nuevo. Habilitar la MFA puede ayudarle a detectar este tipo de ataques, ya que, cuando alguien intenta acceder a sus cuentas, recibe una notificación para que facilite otra forma de autenticación. Si recibe alertas que no ha provocado usted, es posible que esté siendo objeto de un ataque de pulverización de contraseñas.

Supervisión de la Dark Web: Usar un servicio de supervisión de la Dark Web para proteger sus datos le ayudará a recibir notificaciones en caso de que sus credenciales se hayan filtrado. Las herramientas de supervisión de la Dark Web como BreachWatch® hacen un seguimiento de esta web oscura en busca de cuentas filtradas para después avisarle al instante y que pueda tomar las medidas necesarias para proteger su identidad y sus datos en línea cambiando de inmediato sus contraseñas.

Detectar la pulverización de contraseñas como usuario personal
Detectar la pulverización de contraseñas como empresa

Detectar la pulverización de contraseñas como empresa

Preste atención a los inicios de sesión: La introducción continua de nombres de usuario incorrectos es normalmente un signo de ataque. Asegúrese de que su equipo de TI presta atención a los intentos de acceso de la empresa y recibe notificaciones cuando se introducen constantemente nombres de usuario incorrectos.

Supervise el aumento de bloqueos de cuentas, intentos de autenticación o accesos fallidos:: La pulverización de contraseñas es peligrosa, pero no siempre sale bien. Asegúrese de recibir notificaciones cuando se produzcan intentos de acceso fallidos y haga un seguimiento en busca de patrones. Uno o dos intentos de acceso fallidos no son siempre causa de alarma, pero sí es aconsejable investigar varios intentos fallidos desde diferentes cuentas.

Cómo prevenir la pulverización de contraseñas

Prevenir la pulverización de contraseñas como empresa

Invierta en un gestor de contraseñas para empresas: Los gestores de contraseñas para empresas son herramientas que ayudan a los administradores de TI a aplicar el uso de contraseñas fuertes que cumplan con las políticas de contraseñas. Estos gestores no son solo eficaces porque aseguran que los empleados usan siempre contraseñas fuertes, sino que también facilitan a los administradores de TI la aplicación del uso de la MFA cuando es una opción.

Forme a sus empleados en ciberseguridad: Imparta formación a todos los empleados sobre los peligros de la pulverización de contraseñas y otras amenazas de ciberseguridad y sobre la necesidad de usar mejores contraseñas. Incluya información sobre cómo crear contraseñas fuertes, cómo reconocer amenazas y qué deben hacer los empleados si creen que alguna de sus cuentas ha sufrido una filtración.

Limite los intentos de acceso: Limitar el número de intentos de acceso de los usuarios a sus cuentas ayuda a las organizaciones a protegerse. Por ejemplo, si establece el límite en tres, cuando el usuario intente acceder tres veces sin éxito a su cuenta, esta se bloqueará. A partir de ese momento, necesitará la ayuda del administrador del sistema para acceder, pero solo si puede verificar su identidad.

Prevenir la pulverización de contraseñas como usuario personal

Use la autenticación de varios factores: Como se ha mencionado anteriormente, la MFA requiere credenciales adicionales para acceder a sus cuentas y le notifica sobre los intentos de inicio de sesión. Diversificar los requisitos de la MFA añade una capa adicional de seguridad a sus cuentas en línea. Por ejemplo, no utilice solo contraseñas de un solo uso y de duración limitada (TOTP) y pruebe también la biometría en ciertas cuentas sensibles.

No use contraseñas comunes: Algunas de las contraseñas más comunes incluyen palabras como "contraseña" o "amor" y números consecutivos. Cree contraseñas únicas y complejas para cada cuenta y no las recicle. Un gestor de contraseñas puede ayudarle a generar contraseñas fuertes y únicas, así como a almacenarlas de forma segura para que no tenga que recordarlas todas.

Protéjase en todo momento

Los peligros de la pulverización de contraseñas han aumentado debido al uso frecuente de contraseñas comunes. Según el Informe sobre prácticas con las contraseñas de EE. UU. de 2022, el 56 % de los encuestados admitió haber reutilizado contraseñas en varias de sus cuentas o en todas.

La protección contra los ataques de pulverización de contraseñas comienza con el uso de contraseñas fuertes para todas sus cuentas en línea. Descubra cómo un gestor de contraseñas como Keeper® puede ayudar.

Para uso personal Para empresa pequeña
close
Ventas empresariales
Asistencia
closeSeleccione Idioma
close

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita

Sector público y FedRAMP

Proteja su agencia y su institución educativa frente a los ciberdelincuentes.

Contactar Ventas

MSP

Proteja su organización de MSP y a sus clientes finales y añada nuevas fuentes de ingreso.

Empieze la prueba gratuita

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Protéjase ya
close

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Empieze la prueba gratuita

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita
Español (ES) Llámenos
Descárguela en el App Store Consígala en Google Play