El 75% de las empresas británicas usa contraseñas que están entre las 1.000 más utilizadas

¿Qué es el ‘Password Spraying’, el ciberataque que afecta a miles de personas y empresas por el mundo?

325

La técnica de ciberataque Password Spraying se aprovecha de las contraseñas débiles o comúnmente utilizadas para atacar a miles de personas y empresas por todo el mundo.

Según datos del Centro Criptológico de Reino Unido, el 75% de las empresas emplea contraseñas que se encuentran entre las 1.000 más utilizadas y fácilmente hackeables, un riesgo para la seguridad de la información y los datos.

En este sentido, ante estos bajos niveles de ciberseguridad, los cibercriminales aprovechan estas brechas para hacerse con las contraseñas y usuarios de empleados y ciudadanos corrientes para acceder a sus perfiles sin que sean conscientes de este hecho.

Es tan importante contar con las tecnologías más avanzadas como evitar riesgos tan fácilmente evitables como las contraseñas

“Es frecuente que no se preste la atención necesaria a la hora de establecer una contraseña de garantías, por lo que sigue siendo uno de los puntos más débiles en materia de seguridad”, advierten desde la firma de ciberseguridad israelí Check Point.

“A la hora de garantizar los máximos niveles de ciberseguridad, es tan importante contar con las tecnologías más avanzadas como evitar riesgos tan fácilmente evitables como las contraseñas”, advierte Eusebio Nieva, director técnico de Check Point para España y Portugal.

Password Spraying, cuando la contraseña es débil

Al configurar una contraseña, es importante que sea lo más robusta y compleja posible. Esto, según expertos del sector, es clave para dificultar al cibercriminal que pueda descifrarla. Sin embargo, es común entre los usuarios que no se tenga en cuenta estos hechos y creen contraseñas sencillas y básicas, como 123456 o incluso la propia palabra ‘password’, que son fáciles de ser memorizadas, pero también fáciles de ser adivinadas por los ciberatacantes.

Password Spraying es básicamente un ciberataque de fuerza bruta, que consiste en intentar acceder a una gran cantidad de cuentas (nombres de usuario) utilizando contraseñas de uso común, como las señaladas.

Los ciberataques de Password Spraying intentan el acceso a una gran cantidad de cuentas con una sola contraseña de uso común antes de pasar a intentar una segunda contraseña y así de manera sucesiva

Sin embargo, es común que los servidores bloqueen las cuentas objetivo si se intentan numerosas veces el acceso de manera fallida (generalmente se permiten entre tres y cinco). Para evitar esto, los ciberataques de Password Spraying intentan el acceso a una gran cantidad de cuentas con una sola contraseña de uso común antes de pasar a intentar una segunda contraseña y así de manera sucesiva, con esto el ciberatacantes puede seguir su ataque sin ser detectado al evitar el bloqueo de la cuenta.

¿Cómo protegerse del Password Sprying?

Para protegerse del ciberataque de Password Sprying hay que tener en cuenta la importancia de no utilizar contraseñas fácilmente reconocibles. “El Password Spraying es un tipo de ciberataque que puede remediarse fácilmente configurando contraseñas robustas de 8 caracteres como mínimo que intercalen letras, símbolos y signos de puntuación”, aconseja Nieva.

En concreto, es importante evitar las contraseñas adivinables. Se recomienda dejar a un lado nombres, fechas o palabras comunes para crear contraseñas más robustas. Además, los gestores de contraseñas permiten emplear de manera sencilla varias contraseñas para las distintas cuentas y perfiles, permitiendo administrar y generar claves de acceso robustas para cada servicio basadas en las pautas que decida el usuario.

Puede remediarse fácilmente configurando contraseñas robustas de 8 caracteres como mínimo que intercalen letras, símbolos y signos de puntuación

Asimismo, si la contraseña es débil y aún así no se quiere cambiar, o incluso siendo una contraseña robusta, debería habilitarse la autenticación de dos pasos, puesto que supone una capa de seguridad extra, algo que algunos servicios como Gmail o Outlook ya ofrecen a los usuarios, que pide al usuario que introduzca una segunda clave, que por lo general llega a través de SMS, para evitar así el acceso a la cuenta incluso aunque tengan el usuario y la contraseña.

Siguiendo estos consejos, “los cibercriminales tendrán mucho más difícil adueñarse de las claves y garantizaremos un primer nivel de ciberseguridad óptimo”, concluye Nieva.