La técnica de ciberataquePassword Spraying se aprovecha de las contraseñas débiles o comúnmente utilizadaspara atacar a miles de personas y empresas por todo el mundo.
Según datos del Centro Criptológico de Reino Unido, el 75% de las empresas emplea contraseñas que se encuentran entre las 1.000 más utilizadas y fácilmente hackeables, un riesgo para la seguridad de la información y los datos.
En este sentido, ante estos bajos niveles de ciberseguridad, los cibercriminales aprovechan estas brechas para hacerse con las contraseñas y usuarios de empleados y ciudadanos corrientes para acceder a sus perfiles sin que sean conscientes de este hecho.
“Es frecuente que no se preste laatención necesaria a la hora de establecer una contraseña de garantías, por loque sigue siendo uno de los puntos más débiles en materia de seguridad”,advierten desde la firma de ciberseguridad israelí Check Point.
“A la hora de garantizar los máximos niveles de ciberseguridad, es tan importante contar con las tecnologías más avanzadas como evitar riesgos tan fácilmente evitables como las contraseñas”, advierte Eusebio Nieva, director técnico de Check Point para España y Portugal.
Password Spraying, cuando la contraseña es débil
Al configurar una contraseña, esimportante que sea lo más robusta y compleja posible. Esto, según expertos delsector, es clave para dificultar al cibercriminal que pueda descifrarla. Sinembargo, es común entre los usuarios que no se tenga en cuenta estos hechos ycreen contraseñas sencillas y básicas, como 123456 o incluso la propia palabra ‘password’,que son fáciles de ser memorizadas, pero también fáciles de ser adivinadas porlos ciberatacantes.
Password Spraying es básicamenteun ciberataque de fuerza bruta, que consiste en intentar acceder a una gran cantidadde cuentas (nombres de usuario) utilizando contraseñas de uso común, como lasseñaladas.
Los ciberataques de Password Spraying intentan el acceso a una gran cantidad de cuentas con una sola contraseña de uso común antes de pasar a intentar una segunda contraseña y así de manera sucesiva
Sin embargo, es común que losservidores bloqueen las cuentas objetivo si se intentan numerosas veces elacceso de manera fallida (generalmente se permiten entre tres y cinco). Paraevitar esto, los ciberataques de Password Spraying intentan el acceso a unagran cantidad de cuentas con una sola contraseña de uso común antes de pasar aintentar una segunda contraseña y así de manera sucesiva, con esto el ciberatacantespuede seguir su ataque sin ser detectado al evitar el bloqueo de la cuenta.
¿Cómo protegerse del Password Sprying?
Para protegerse del ciberataque de Password Sprying hay que tener en cuenta la importancia de no utilizar contraseñas fácilmente reconocibles. “El Password Spraying es un tipo de ciberataque que puede remediarse fácilmente configurando contraseñas robustas de 8 caracteres como mínimo que intercalen letras, símbolos y signos de puntuación”, aconseja Nieva.
En concreto, es importante evitarlas contraseñas adivinables. Se recomienda dejar a un lado nombres, fechas opalabras comunes para crear contraseñas más robustas. Además, los gestores decontraseñas permiten emplear de manera sencilla varias contraseñas para lasdistintas cuentas y perfiles, permitiendo administrar y generar claves deacceso robustas para cada servicio basadas en las pautas que decida el usuario.
Asimismo, si la contraseña es débily aún así no se quiere cambiar, o incluso siendo una contraseña robusta, deberíahabilitarse la autenticación de dos pasos, puesto que supone una capa deseguridad extra, algo que algunos servicios como Gmail o Outlook ya ofrecen alos usuarios, que pide al usuario que introduzca una segunda clave, que por logeneral llega a través de SMS, para evitar así el acceso a la cuenta inclusoaunque tengan el usuario y la contraseña.
Siguiendo estos consejos, “loscibercriminales tendrán mucho más difícil adueñarse de las claves ygarantizaremos un primer nivel de ciberseguridad óptimo”, concluye Nieva.