¿CONOCES EL PASSWORD SPRAYING Y SUS CONSECUENCIAS?

El cibercriminal utiliza una lista de las claves de acceso más utilizadas y a través de un software prueba cada una de las claves en la plataforma al que está buscando acceder

Sí, son demasiadas contraseñas las que tiene que recordar el usuario. Una realidad que le lleva a usar pocas claves o a crearlas con datos de su vida personal o combinaciones fáciles de recordar, pero también de adivinar. Y es aquí donde puede afectarle el Password Spraying.

Cada vez son más las plataformas y servicios online que advierten al usuario de esta situación y solicitan contraseñas más elaboradas aunque ello sigue sin evitar la debilidad en seguridad que representa para los usuarios la elección de su clave, pues la atención dedicada a esta tarea no s la necesaria.

Uno de los mecanismos que más utilizan los cibercriminales para acceder a las cuentas de los usuarios –sea de la plataforma que sea– es la técnica conocida como Password Spraying.

¿Qué es el Password Spraying?Según explican desde Check Point, la gran mayoría de los usuarios a nivel mundial no se percata de este tipo de tácticas. Y por ello se solicita que las contraseñas sean configuradas de forma compleja, con la intención de evitar que los cibercriminales puedan usar el Password Spraying.


La técnica consiste en un ataque a la seguridad del usuario en el que se aprovecha el extendido uso de contraseñas muy comunes (como las lamentablemente celebres 123456 o la propia palabra “password”) para aplicar lo que se llama una estrategia de ‘fuerza bruta’.

Para ello, el cibercriminal utiliza una lista de las claves de acceso más utilizadas y a través de un software prueba cada una de las claves en la plataforma (como redes sociales o bancos)  o servicio al que está buscando acceder.

Se trata de una práctica habitual, y no es de extrañar, pues como señala una reporte del Centro Nacional de Ciberseguridad de Reino Unido, “el 75% de las empresas emplea contraseñas catalogadas entre las 1.000 más utilizadas y fácilmente hackeables” lo que muestra lo expuesta que puede estar la seguridad de los datos que se necesita preservar.

¿Cómo protegerse?Para evitar ser víctima de esta situación, las medidas son sencillas –y seguramente el usuario las conoce–, pero para que sean efectivas, deben ponerse en práctica. En este sentido Check Point recomienda tres fundamentales para protegerse ante el Password Spraying:


1.      Evitar las contraseñas adivinables: “Es necesario dejar de lado nombres, fechas o palabras comunes. En su lugar, lo más recomendable es crear una contraseña única de al menos ocho caracteres que combine letras (tanto mayúsculas como minúsculas), números y símbolos.”

2.      Utilizar un gestor de contraseñas: “También es fundamental evitar utilizar la misma contraseña para varios perfiles. Para ello, se puede utilizar un gestor de contraseñas, que permiten tanto administrar como generar claves de acceso robustas para cada servicio basadas en las pautas que el usuario decida.”

3.      Habilitar la autenticación en dos pasos: “Si tenemos una contraseña débil y no queremos cambiarla, e incluso aunque sea robusta, es recomendable optar por habilitar la autenticación de dos pasos. Esta capa de seguridad extra, que algunos servicios como Gmail o Outlook ya ofrecen a sus usuarios, pide al usuario que introduzca una segunda clave, que por lo general llega a través de un SMS. De esta forma, se evita el acceso a nuestra cuenta incluso aunque tengan el usuario y la contraseña.”

Más allá de contar con toda la tecnología que garantice la seguridad de los datos de los usuarios, éstos deben también contribuir –a través de aquellas acciones posibles– a evitar riesgos innecesarios, que se pueden prevenir en gran medida.