El password spraying es una variante de fuerza bruta distribuida donde el atacante prueba pocas contrasenas comunes (como "Verano2025!" o "Empresa123") contra miles de cuentas, en lugar de atacar una sola cuenta con muchas contrasenas. Esta tecnica de credential spray esquiva los bloqueos por intentos fallidos y se ha convertido en el ataque contrasenas preferido para comprometer entornos corporativos. El spraying cuentas funciona porque basta con que una persona de la organizacion use una contrasena predecible para abrir la puerta. Microsoft Threat Intelligence lleva anos documentando campanas de fuerza bruta distribuida contra Microsoft 365, especialmente desde grupos vinculados a Midnight Blizzard (APT29) y Peach Sandstorm. Si gestionas IT en una pyme y crees que esto solo afecta a multinacionales, te toca leer hasta el final.
Que es exactamente el password spraying y por que funciona tan bien
Un ataque tradicional de fuerza bruta lanza miles de intentos contra una cuenta. El sistema lo detecta, bloquea la IP y cierra el chiringuito. El password spraying hace lo contrario: prueba una contrasena contra miles de cuentas, espera unas horas, y prueba la siguiente.
El atacante consigue listas de emails corporativos (LinkedIn, fugas previas, OSINT basico) y construye un diccionario corto pero efectivo. Los clasicos: el nombre de la empresa mas el ano, estaciones del ano con simbolo, "Welcome1", "Password1", o el tipico "Madrid2025!". Funciona mas de lo que la industria reconoce publicamente.
La gracia del metodo es que evade los umbrales de bloqueo. Si la politica dice "5 intentos fallidos por cuenta en 30 minutos", el atacante prueba 1 contrasena por cuenta cada hora. Ningun contador salta. Ningun SIEM se entera, salvo que este correctamente configurado para correlacionar fallos por origen IP o user-agent.
Casos reales que deberian quitarte el sueno
El incidente mas sonado fue el ataque a Microsoft en enero de 2024, atribuido a Midnight Blizzard. Los atacantes comprometieron una cuenta de prueba sin MFA mediante password spray y desde ahi escalaron hasta correos de la direccion. Microsoft lo confirmo en su comunicado oficial del 19 de enero de 2024.
La CISA (Cybersecurity and Infrastructure Security Agency) y el NCSC britanico publicaron en agosto de 2023 un aviso conjunto alertando sobre campanas de Peach Sandstorm contra los sectores defensa, satelital y farmaceutico, todas iniciadas con credential spray. En Espana, el INCIBE ha emitido alertas similares dirigidas a operadores de servicios esenciales bajo el marco de la directiva NIS2.
Muchas pymes espanolas asumen que estan fuera del radar. No lo estan. Los bots escanean rangos enteros de Office 365 sin discriminar el tamano del objetivo. Si tu dominio MX apunta a outlook.com, ya estas en la cola.
Como se ejecuta un ataque de spraying paso a paso
Entender la cadena del ataque ayuda a defenderse. Estas son las fases tipicas que documenta el framework MITRE ATT&CK bajo la tecnica T1110.003:
- Reconocimiento: el atacante recopila usuarios validos. Herramientas como MailSniper, o simplemente scraping de LinkedIn mas el formato de email corporativo (nombre.apellido@empresa.com).
- Validacion de cuentas: prueba que emails existen contra endpoints de autenticacion. Microsoft Graph y los antiguos endpoints de ADFS responden distinto si el usuario existe o no.
- Construccion del diccionario: 5-20 contrasenas maximo. Cuanto mas corto, menos ruido genera.
- Distribucion temporal: el ataque se reparte en horas o dias. A veces semanas.
- Distribucion geografica: usan redes proxy residenciales o Tor para que cada intento parezca venir de un sitio distinto. Aqui esta la "fuerza bruta distribuida" del nombre.
- Persistencia: una vez dentro, registran un dispositivo MFA propio o crean reglas de buzon para exfiltrar correo.
El paso 6 es el que convierte un compromiso menor en un desastre. Por eso revisar las reglas de buzon y los dispositivos MFA registrados forma parte de cualquier auditoria de ciberseguridad seria.
Senales de que estas siendo victima de password spraying
El spraying cuentas es sigiloso, pero deja huellas si sabes donde mirar:
- Picos de fallos de autenticacion distribuidos entre muchos usuarios, no concentrados en uno.
- Logs de Azure AD Sign-In (ahora Microsoft Entra) con error code 50053 (cuenta bloqueada) o 50126 (credenciales invalidas) repetidos.
- Intentos desde paises donde no opera tu empresa.
- User-agents extranos o repetidos en los logs (a veces python-requests sin disimular).
- Logins exitosos seguidos de creacion inmediata de reglas de buzon "ocultas" (carpetas que empiezan por punto, RSS Feeds, etc.).
Si detectas alguno de estos patrones, asume compromiso y trabaja hacia atras. La tecnica de "asumir brecha" (assume breach) es ya doctrina estandar en frameworks como Zero Trust del NIST (SP 800-207).
Defensas que funcionan de verdad
Las contramedidas no son sofisticadas, pero requieren disciplina. Por orden de impacto:
| Medida | Efectividad | Dificultad |
|---|---|---|
| MFA resistente a phishing (FIDO2/Passkeys) | Muy alta | Media |
| Bloqueo de autenticacion legacy (POP, IMAP, SMTP basico) | Alta | Baja |
| Acceso condicional por geolocalizacion | Alta | Baja |
| Listas de contrasenas prohibidas (banned password list) | Alta | Baja |
| Deteccion de "smart lockout" en Entra ID | Media | Baja |
| Gestor de contrasenas corporativo | Alta | Media |
El MFA sigue siendo la barrera mas eficaz, pero ojo: el SMS y las apps tipo Microsoft Authenticator con notificacion push son vulnerables a MFA fatigue. Las claves FIDO2 o passkeys son el estandar recomendado por el NIST en su SP 800-63B revision 4.
Otra capa imprescindible: imponer contrasenas largas y unicas. Para los empleados esto es imposible sin ayuda, asi que conviene revisar los mejores gestores de contrasenas y desplegar uno corporativo. Bitwarden, 1Password Business y Keeper tienen planes especificos para empresas con SSO incluido.
Si tu organizacion usa Google Workspace en lugar de Microsoft, los principios son identicos. Aqui va una guia especifica para proteger tu cuenta de Google al maximo que aplica tanto a personal como a corporativo.
Herramientas para detectar y prevenir
Algunas opciones reales y comprobables:
- Have I Been Pwned (haveibeenpwned.com): comprueba si los emails de tu dominio aparecen en filtraciones publicas. Tiene API gratuita para dominios verificados.
- Microsoft Entra ID Protection: detecta sign-ins arriesgados y password spray automaticamente. Requiere licencia P2.
- Azure AD Password Protection: bloquea contrasenas comunes y variaciones (incluso "P@ssw0rd" y derivados).
- Sentinel / Defender for Identity: correlacion avanzada para entornos hibridos.
- Wazuh o ELK: alternativa open source para correlacionar logs de autenticacion.
- Kerbrute y Spray: herramientas red team que tu propio equipo puede usar para testear si vuestras politicas aguantan.
Y un consejo no tecnico: forma a tu equipo. Un simulacro de phishing en la empresa bien hecho identifica tambien que empleados tienen contrasenas predecibles, porque suelen ser los mismos que pican en los simulacros. Hay correlacion, lo digo por experiencia.
El marco legal: NIS2, RGPD y la responsabilidad del administrador
La directiva NIS2 (UE 2022/2555) obliga a entidades esenciales e importantes a implantar medidas de gestion de riesgos que incluyen explicitamente politicas de control de acceso y autenticacion robusta. La transposicion espanola se ha tramitado con retraso respecto al plazo europeo de octubre de 2024. El ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) exige lo mismo para administraciones publicas y sus proveedores.
Si una brecha via password spray expone datos personales, el RGPD entra en juego: notificacion a la AEPD en 72 horas y posible sancion. La AEPD ha multado a varias empresas por brechas iniciadas con credenciales debiles, considerando que no aplicar MFA en cuentas administrativas es una falta de medidas tecnicas apropiadas segun el articulo 32.
Preguntas frecuentes
En que se diferencia el password spraying del credential stuffing?
El credential stuffing usa pares usuario-contrasena ya filtrados de otras brechas y los prueba en servicios distintos. El password spraying usa contrasenas comunes contra usuarios que sabemos que existen pero cuyas credenciales reales no conocemos. Ambos comparten objetivo, pero la fuente de datos es diferente.
El MFA me protege completamente del password spraying?
El MFA detiene la mayoria de ataques, pero no es absoluto. Las tecnicas de MFA bombing, SIM swapping y AiTM (adversary-in-the-middle) pueden esquivarlo. Las claves de seguridad FIDO2 y los passkeys ofrecen proteccion resistente a phishing porque estan vinculadas al dominio.
Como se si mi empresa ha sido objetivo de un ataque de spraying?
Revisa los logs de autenticacion de los ultimos 90 dias buscando picos de fallos distribuidos entre multiples cuentas desde IPs variadas. En Microsoft 365 puedes usar la consulta KQL en Sentinel filtrando SignInLogs por ResultType 50126 agrupados por hora y origen.
Cuanto tarda un ataque tipico de password spraying?
Depende del tamano del objetivo y de la paciencia del atacante. Campanas documentadas por Microsoft han durado meses, con intentos espaciados para evitar deteccion. No esperes una alerta inmediata: el dano se descubre cuando ya hay exfiltracion.
Sirve cambiar las contrasenas cada 90 dias para prevenirlo?
No, y de hecho el NIST desaconseja la rotacion obligatoria desde la SP 800-63B de 2017. Forzar cambios frecuentes lleva a contrasenas predecibles tipo "Verano2025!" -> "Otono2025!". Mejor contrasenas largas, unicas, gestor corporativo y MFA fuerte.
El siguiente paso
Entra ahora en el panel de administracion de tu Microsoft 365 o Google Workspace y comprueba que cuentas no tienen MFA activado. Empieza por las cuentas de administracion global. Esa revision de 15 minutos vale mas que cualquier informe de consultoria que te puedan vender.
