Resultados 1 al 2 de 2

Qu es un ataque de password spraying: pocas contraseas para muchos usuarios

  1. #1 Qu es un ataque de password spraying: pocas contraseas para muchos usuarios 
    Iniciado Avatar de yisuscraist
    Fecha de ingreso
    Feb 2017
    Mensajes
    49
    Descargas
    0
    Uploads
    0
    Password spraying es una tcnica utilizada por un atacante para obtener credenciales de acceso vlidas que consiste en probar una misma contrasea de uso comn en varias cuentas de usuario, para luego probar con otra contrasea.

    Los ataques de fuerza bruta hacen referencia a una de las tcnicas utilizadas por los atacantes para obtener credenciales de usuarios legtimos para realizar acciones fraudulentas. El tpico ataque de fuerza bruta puede ir desde la prueba de muchas contraseas sobre un nombre de usuario, hasta el uso de otras tcnicas como credential stuffing o password spraying. En todos los casos el objetivo es el mismo: obtener credenciales de acceso vlidas para servicios legtimos. En esta oportunidad, explicamos en qu consiste la tcnica conocida como password spraying.

    Qu es password spraying?


    A diferencia del ataque tpico en el que se prueba una gran cantidad de contraseas para una misma cuenta de usuario, en un ataque de password spraying el atacante obtiene distintas cuentas de usuarios y va probando con una pequea cantidad de contraseas para intentar acceder a uno o varios servicios.

    Como funciona un ataque de password spraying?

    Por medio de herramientas de cdigo abierto o utilizando sitios legtimos, un atacante busca hacerse con un montn de nombres de cuentas de usuarios, por ejemplo, cuentas de correo electrnico. Por otro lado, genera un pequeo listado de contraseas (en algunos casos usan una sola) y va probando cada contrasea sobre todas las cuentas obtenidas. En general, estas contraseas son aquellas que se han visto entre las ms utilizadas. Este listado puede ser creado manualmente o utilizar uno ya existente en Internet. Una vez que tiene la lista de cuentas de usuario y de contraseas, el funcionamiento es el siguiente:

    • Tomar una contrasea
    • Tomar toda la lista de cuentas de usuarios
    • Probar si en alguna cuenta la contrasea es valida
    • Repetir el proceso


    Hoy en da muchos sistemas implementan una medida de seguridad, conocida como bloqueo de cuentas, que hace que luego de cierta cantidad de intentos fallidos de inicio de sesin (puede variar entre tres o ms intentos) se bloquee la cuenta de la persona. Si esta medida de seguridad esta activada en una aplicacin web, un sistema empresarial, etc., el tpico ataque de fuerza bruta puede llegar a ser poco til, ya que son altas las probabilidades de bloquear la cuenta del usuario. Sin embargo, mediante password spraying es posible evitar esto, ya que al tener una gran cantidad de usuarios el tiempo en el que se van realizando los intentos sobre la misma cuenta puede variar de tal forma que no se bloquea ninguna cuenta y pueda seguir probando ms contraseas.

    Figura.1 Ataque clsico de fuerza bruta



    Figura.2 Ataque Password Spraying

    Como se ha mencionado anteriormente, el ataque de password spraying posee una ventaja contra el tradicional ataque de fuerza bruta, por un lado, si se prueba con una poca cantidad de contraseas se puede evitar el bloqueo de cuentas o con ayuda de herramientas automatizadas se puede poner un temporizador para que permanezca inactivo por cierto tiempo y luego continuar el ataque para evitar el bloqueo de cuentas, como se mencion anteriormente.

    Este tipo de ataque se puede diferenciar de otros como credential stuffing, el cual utiliza combinaciones de usuarios/contraseas que un atacante tiene en su poder y que fueron obtenidas principalmente de filtraciones de brechas de seguridad. En caso de que un atacante tenga en su poder este tipo de combinaciones podra buscar otras cuentas que estn asociadas a ese usuario en particular, generar una lista con esas cuentas y llevar a cabo un ataque password spraying para detectar si el usuario reutiliza o no esa contrasea en otros sitios.
    Muchas veces se ofrecen en el mercado clandestino paquetes con credenciales de acceso para un servicio que no se obtuvieron debido a un fallo de seguridad en el mismo, sino que los cibercriminales probaron combinaciones que obtuvieron de otras brechas y armaron listas de combinaciones que funcionaban en otro servicio debido a que los usuarios reutilizaron la misma combinacin nombre de usuario/contrasea.

    Malas prcticas, concientizacin y seguridad

    Con todo lo ledo hasta ahora, si se aplica una mala poltica de contraseas, ya sea en un sistema empresarial o la eleccin de una contrasea dbil para la registracin en un sitio personal, aumenta la posibilidad de xito cuando un atacante utilice esta tcnica, con lo cual es importante tener una contrasea fuerte para disminuir la probabilidad de que nuestra cuenta sea comprometida y fundamentalmente no usar la misma contrasea en ms de un servicio.

    Lectura relacionada: Cmo crear una contrasea segura (a la manera divertida)

    Por otro lado, existen herramientas gratuitas en sitios legtimos de Internet que automatizan este tipo de ataques, como hydra o CrackMapExec, entre otras. Las mismas fueron creadas con motivos de investigacin o para ayudar a la comunidad al momento de simular ataques y realizar pruebas de penetracin. Estas herramientas estn vinculadas por un contrato legal entre la empresa que pide un servicio de pruebas de seguridad y la que ejecuta estas pruebas.

    Pero esto no significa que esas mismas herramientas que fueron creadas con el fin de ayudar a la comunidad de especialistas en seguridad informtica no puedan llegar a ser utilizadas por otros actores con fines maliciosos. Se ha visto tanto por grupos de APT como en otros ataques de distribucin de malware que cibercriminales hacen uso de esta tcnica para obtener acceso a algn equipo o moverse lateralmente dentro de una red corporativa para propagarse con la finalidad de hacer dao a un individuo o a una empresa.

    Por ende, es importante tener conocimientos de este tipo ataques e implementar medidas de prevencin como las siguientes:

    • Contraseas robustas con un mnimo de 10 caracteres utilizando:
      • Caracteres especiales
      • Mnimo 2 caracteres en maysculas
      • Reemplazar letras por nmeros

    • Implementar el doble factor de autenticacin siempre que sea posible para acceder a sitios online, ya sean empresariales o personales.
    • Realizar un cambio de contraseas peridico tanto a nivel personal como empresarial.
    • Evitar el uso de la misma contrasea en distintos sistemas.
    • Evitar el uso de palabras que tengan algn tipo relacin personal, ejemplo:
      • Nombre de una mascota, familiar, etc.
      • Usar fechas como cumpleaos, casamientos, etc.

    • Evitar el uso de contraseas triviales, por ejemplo:
      • Password
      • password
      • Passw0rd1
      • 123456
      • Qwerty



    Fernando Tavella en https://www.welivesecurity.com/la-es/2021/01/19/que-es-ataque-password-spraying/


    Citar  
     

  2. #2  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicacin
    Barcelona/Metaverso
    Mensajes
    3.272
    Descargas
    1
    Uploads
    0
    Buen aporte
    A veces pienso que la prueba ms fehaciente de que existe vida inteligente en el universo es que nadie ha intentado contactar con nosotros
    Citar  
     

Temas similares

  1. Respuestas: 0
    ltimo mensaje: 07-03-2015, 17:53
  2. Respuestas: 0
    ltimo mensaje: 13-07-2012, 20:42
  3. Respuestas: 1
    ltimo mensaje: 26-03-2010, 13:23
  4. Usuarios y contraseas
    Por nosekeponer en el foro BASES DE DATOS
    Respuestas: 3
    ltimo mensaje: 22-10-2008, 17:55
  5. hackear contraseas de usuarios
    Por mangisch_44 en el foro GENERAL
    Respuestas: 3
    ltimo mensaje: 13-05-2006, 05:13

Marcadores

Marcadores