Tema 9

Ataques a credenciales: fuerza bruta, password spraying, credential stuffing y robo de sesiones

La identidad se convirtió en uno de los principales perímetros de seguridad. Esta unidad analiza cómo los atacantes comprometen cuentas, abusan de contraseñas débiles o reutilizadas y secuestran sesiones ya autenticadas.

Objetivo Entender ataques contra identidades
Enfoque Contraseñas, sesiones y defensa
Resultado Reconocer riesgos de autenticación
Clave Una cuenta comprometida puede abrir toda la red

9.1 Introducción

En muchos ataques modernos, el objetivo inicial no es explotar directamente un servidor o una aplicación, sino tomar control de una identidad válida. Si el atacante obtiene acceso a una cuenta legítima, evita parte de las barreras técnicas, se mezcla con actividad normal y puede avanzar con menos fricción.

Esto hace que las credenciales y las sesiones autenticadas sean activos de altísimo valor. Una sola cuenta comprometida puede exponer correo, archivos, sistemas internos, herramientas de administración, procesos financieros y relaciones de confianza con terceros.

9.2 Qué son las credenciales

Las credenciales son los elementos que permiten verificar una identidad ante un sistema. Tradicionalmente se piensa en usuario y contraseña, pero en la práctica incluyen mucho más:

  • Contraseñas.
  • PIN y códigos de acceso.
  • Tokens o llaves de API.
  • Códigos de autenticación multifactor.
  • Certificados y claves privadas.
  • Cookies o identificadores de sesión.
Para un atacante, comprometer una credencial válida suele ser más rentable que desarrollar una explotación compleja. El sistema ya confía en esa identidad.

9.3 Por qué las credenciales son un objetivo prioritario

Las credenciales tienen alto valor porque representan acceso autorizado. A diferencia de una vulnerabilidad técnica que puede requerir contexto especial, una cuenta válida suele ofrecer una entrada inmediata al entorno.

  • Permiten acceder sin explotar fallas visibles.
  • Facilitan movimiento lateral y escalada de privilegios.
  • Reducen señales evidentes de intrusión.
  • Hacen posible abusar de funciones legítimas.
  • Pueden venderse o reutilizarse en otros ataques.

9.4 Fuerza bruta

Un ataque de fuerza bruta consiste en probar muchas combinaciones posibles de contraseña hasta acertar la correcta. Puede ser totalmente ciego o apoyarse en diccionarios, patrones comunes y reglas basadas en hábitos humanos.

Su viabilidad depende de varios factores:

  • Fortaleza de la contraseña.
  • Límites de intentos fallidos.
  • Capacidad de automatización del atacante.
  • Existencia o no de MFA.

Las contraseñas simples, cortas o previsibles siguen siendo vulnerables a este tipo de ataques, sobre todo cuando no existen controles de bloqueo y monitoreo.

9.5 Ataques de diccionario

Una variante muy frecuente de la fuerza bruta es el ataque de diccionario. En lugar de probar todas las combinaciones posibles, el atacante prueba listas de palabras y patrones comunes: nombres, fechas, temporadas, combinaciones con números, secuencias previsibles o claves históricamente filtradas.

Es más eficiente que la fuerza bruta pura porque explota la tendencia humana a elegir contraseñas memorizables y repetitivas.

9.6 Password spraying

El password spraying invierte la lógica del ataque tradicional. En lugar de probar muchas contraseñas sobre una sola cuenta, prueba una misma contraseña común sobre muchas cuentas diferentes. Esto reduce el riesgo de bloqueo automático por demasiados intentos en un único usuario.

  • Ejemplos de claves probadas: variantes obvias, temporadas, nombres de la empresa, patrones simples.
  • Ventaja para el atacante: pasa más desapercibido si el sistema solo observa fallos por cuenta individual.
  • Riesgo mayor en organizaciones con contraseñas débiles o predecibles.

9.7 Credential stuffing

El credential stuffing consiste en probar credenciales obtenidas de filtraciones anteriores en otros servicios. Se basa en un hecho muy común: muchas personas reutilizan la misma contraseña en múltiples plataformas.

Si un usuario sufrió una filtración en un sitio externo y reutilizó la misma combinación en correo, banca o aplicaciones corporativas, el atacante puede automatizar miles de intentos contra esos servicios hasta encontrar coincidencias válidas.

El problema central del credential stuffing no es la fuerza de una contraseña aislada, sino la reutilización entre servicios distintos.

9.8 Diferencias entre fuerza bruta, password spraying y credential stuffing

Técnica Qué prueba Principal debilidad explotada
Fuerza bruta Muchas combinaciones para una cuenta Contraseñas débiles y falta de límites
Password spraying Pocas contraseñas comunes en muchas cuentas Uso de claves previsibles a escala organizacional
Credential stuffing Credenciales reales filtradas en otros servicios Reutilización de contraseñas

9.9 Robo de credenciales por phishing y malware

Además de los intentos automáticos, las credenciales se roban mediante engaño o software malicioso. Un atacante puede obtenerlas a través de:

  • Páginas falsas de autenticación.
  • Keyloggers o spyware.
  • Captura de formularios o cookies.
  • Ingeniería social telefónica o por mensajería.
  • Aplicaciones falsas o actualizaciones maliciosas.

Estas técnicas son especialmente peligrosas porque no dependen de adivinar la contraseña: la víctima la entrega o el malware la captura directamente.

9.10 Robo de sesiones

El robo o secuestro de sesión ocurre cuando el atacante obtiene un identificador de sesión válido y lo utiliza para hacerse pasar por el usuario ya autenticado. En este escenario puede no necesitar la contraseña, porque aprovecha el estado de autenticación existente.

Esto puede ocurrir mediante robo de cookies, malware, XSS, equipos comprometidos, proxies maliciosos o acceso a dispositivos sin supervisión.

9.11 Por qué el secuestro de sesión es tan crítico

Una sesión válida puede eludir parte de los controles aplicados al momento del login. Si el atacante roba una cookie o token aún vigente, puede heredar el contexto autenticado del usuario.

  • Puede evitar reingreso de contraseña.
  • Puede operar como si fuera el usuario legítimo.
  • Puede persistir hasta que la sesión expire o sea revocada.
  • Puede afectar incluso entornos con MFA si el robo ocurre después de la autenticación.

9.12 Fuentes comunes de exposición de sesiones

  • Cookies robadas por malware o scripts maliciosos.
  • Sitios vulnerables a XSS.
  • Sesiones persistentes en equipos compartidos o robados.
  • Interceptación en entornos inseguros o mal configurados.
  • Tokens almacenados sin protección adecuada.

El problema no se limita al navegador. También puede afectar APIs, aplicaciones móviles, escritorios remotos y plataformas SaaS.

9.13 Ataques contra MFA

Aunque la autenticación multifactor reduce notablemente el riesgo, no elimina por completo los ataques contra identidades. Los atacantes pueden intentar:

  • Phishing en tiempo real que captura usuario, contraseña y código.
  • Fatiga de notificaciones para inducir aprobación accidental.
  • Robo de sesión posterior al login.
  • Abuso de factores más débiles, como SMS, en algunos contextos.

Esto no reduce el valor del MFA; al contrario, muestra la necesidad de implementarlo junto con monitoreo, higiene de sesión y educación del usuario.

9.14 Impacto de una cuenta comprometida

Las consecuencias dependen del tipo de identidad comprometida:

  • Cuenta personal: exposición de correo, redes, banca y datos privados.
  • Cuenta corporativa estándar: acceso a documentación, contactos y aplicaciones internas.
  • Cuenta privilegiada: control de servidores, políticas, backups o infraestructura crítica.
  • Cuenta de servicio: acceso automatizado a aplicaciones, bases de datos y procesos internos.
No todas las cuentas valen lo mismo. Cuanto mayor es el privilegio o la capacidad de pivotear hacia otros sistemas, mayor es el riesgo asociado a su compromiso.

9.15 Señales de alerta

Algunos indicadores que pueden sugerir ataque a credenciales o secuestro de sesión:

  • Múltiples intentos fallidos desde un mismo origen o contra muchas cuentas.
  • Accesos desde ubicaciones, horarios o dispositivos inusuales.
  • Cambios inesperados de contraseña o métodos MFA.
  • Notificaciones de login no reconocidas por el usuario.
  • Sesiones simultáneas geográficamente improbables.
  • Uso anómalo de cuentas privilegiadas.

9.16 Prevención técnica

  • Exigir contraseñas robustas y únicas por servicio.
  • Implementar MFA en accesos sensibles.
  • Bloquear o ralentizar intentos repetidos de autenticación.
  • Monitorear patrones anómalos de login.
  • Aplicar acceso condicional según riesgo, ubicación o dispositivo.
  • Proteger cookies y tokens con configuraciones seguras.
  • Reducir duración de sesiones y exigir reautenticación en acciones críticas.

9.17 Prevención organizacional y humana

  • Capacitar sobre phishing, verificación y robo de sesiones.
  • Prohibir reutilización de contraseñas en sistemas corporativos.
  • Usar gestores de contraseñas cuando corresponda.
  • Separar cuentas administrativas de cuentas de uso diario.
  • Revisar periódicamente privilegios y cuentas huérfanas.
  • Definir procedimiento rápido para reportar actividad sospechosa.

9.18 Respuesta ante compromiso de credenciales

Si se sospecha que una cuenta fue comprometida, la respuesta debe ser inmediata:

  1. Bloquear o limitar temporalmente la cuenta afectada.
  2. Forzar cambio de contraseña y revocar sesiones activas.
  3. Revisar dispositivos, ubicaciones y acciones recientes.
  4. Rotar tokens, claves o factores asociados.
  5. Evaluar si hubo movimiento lateral o abuso de permisos.
  6. Notificar a usuarios y áreas afectadas si corresponde.

En cuentas privilegiadas, el análisis debe ser más amplio porque el alcance potencial del compromiso es mayor.

9.19 Errores comunes

  • Creer que una contraseña compleja pero reutilizada es suficiente.
  • Asumir que MFA resuelve por completo el problema.
  • No monitorear sesiones ya autenticadas.
  • Permitir accesos privilegiados permanentes sin revisión.
  • No revocar sesiones después de un incidente o cambio de credenciales.
  • Usar la misma cuenta para tareas administrativas y cotidianas.

9.20 Qué debe quedar claro

  • Las credenciales son uno de los activos más valiosos para un atacante.
  • Fuerza bruta, password spraying y credential stuffing explotan debilidades diferentes.
  • El robo de sesión permite actuar sin necesidad de conocer la contraseña.
  • La reutilización de contraseñas multiplica el riesgo entre servicios.
  • La defensa efectiva combina contraseñas robustas, MFA, monitoreo y gestión de sesiones.

9.21 Conclusión

Atacar identidades se volvió una estrategia central porque ofrece acceso legítimo aparente y reduce la necesidad de explotar vulnerabilidades técnicas visibles. Proteger credenciales y sesiones es, en consecuencia, una prioridad estructural para cualquier organización y también para usuarios individuales.

En el próximo tema se estudiarán los ataques a redes, incluyendo sniffing, spoofing, man-in-the-middle, DoS y DDoS.

Volver al índice