password-security-guideINFO

Que es el password spraying? Como funciona y como detenerlo (2026)

El password spraying prueba una contrasena comun contra muchas cuentas para esquivar los bloqueos, en lugar de muchas contrasenas contra una sola cuenta. Como funciona, en que se diferencia del brute force y del credential stuffing, y como detenerlo.

Por Eric Gerard · Editor · PwdFortress4 min de lecturaPhoto: Pexels

La mayoria imagina un ataque de contrasenas como un ordenador golpeando una unica casilla de inicio de sesion con millones de intentos. El password spraying es lo contrario, y eso es precisamente lo que lo hace peligroso. En lugar de muchos intentos contra una cuenta, usa una contrasena comun contra muchas cuentas: un enfoque silencioso disenado para colarse directamente por delante de las defensas creadas para frenar el adivinado corriente.

Que es en realidad el password spraying

En un ataque de password spraying, el atacante parte de una lista de nombres de usuario o direcciones de correo, a menudo faciles de reunir porque las organizaciones usan formatos predecibles como nombre.apellido@empresa.com. Luego, en lugar de adivinar muchas contrasenas para una persona, elige una unica contrasena muy comun, como Password2026! o Company@123, y la prueba contra cada cuenta de la lista. Si esa falla, esperan y prueban una segunda contrasena comun contra todos.

El truco es la paciencia. Las politicas de lockout suelen bloquear una cuenta tras un punado de intentos fallidos. Al probar solo una o dos contrasenas por cuenta, el spraying se mantiene por debajo de ese umbral en cada una de las cuentas, de modo que nada se bloquea y saltan pocas alarmas. El atacante apuesta a que, en un grupo de gente lo bastante grande, al menos uno uso esa contrasena debil y obvia. Normalmente, alguien lo hizo.

En que se diferencia del brute force y del credential stuffing

Estos tres ataques se confunden constantemente, pero la diferencia es sencilla una vez que ves la forma de cada uno:

  • Brute force: muchas contrasenas contra una cuenta. Ruidoso, activa los bloqueos y se vence con una contrasena larga y aleatoria.
  • Password spraying: una contrasena contra muchas cuentas. Silencioso, evita los bloqueos y se vence no usando contrasenas comunes (mas MFA).
  • Credential stuffing: pares reales de usuario y contrasena filtrados que se reutilizan en varios sitios. Explota la reutilizacion de contrasenas y se vence con contrasenas unicas por sitio.

La idea clave: el brute force se derrota con la fortaleza de la contrasena, mientras que el spraying y el stuffing se derrotan con la unicidad e imprevisibilidad de la contrasena. Una contrasena fuerte que compartes con un patron comun aun ayuda al atacante; una unica y aleatoria, no.

Fichas de teclado blancas dispuestas para deletrear una contrasena. El password spraying se aprovecha de contrasenas comunes y predecibles: lo contrario de las cadenas largas y aleatorias que crea un gestor de contrasenas.
Fichas de teclado blancas dispuestas para deletrear una contrasena. El password spraying se aprovecha de contrasenas comunes y predecibles: lo contrario de las cadenas largas y aleatorias que crea un gestor de contrasenas.

Por que funciona y donde lo ves

El password spraying prospera en dos condiciones: nombres de usuario predecibles y al menos una contrasena debil entre la multitud. Las grandes organizaciones cumplen ambas casillas, y por eso es una tecnica tan habitual contra los inicios de sesion corporativos: Microsoft 365, gateways VPN y portales single sign-on son objetivos frecuentes. Los atacantes, incluidos grupos con muchos recursos, lo aprecian porque genera poco ruido y escala: rocia una contrasena sobre miles de cuentas y las probabilidades dicen que unas pocas acertaran.

Tambien se relaciona directamente con ataques que tratamos en otros articulos. Si quieres la version vertical, mira que es un ataque de fuerza bruta; si quieres la version de reutilizacion de brechas, mira que es el credential stuffing. El spraying se situa entre ambos: no requiere datos de ninguna brecha, solo contrasenas debiles y una larga lista de nombres.

Como detenerlo

La buena noticia es que el mismo pequeno conjunto de habitos frena el spraying:

  • Activa la autenticacion multifactor (MFA). Es la mayor defensa por si sola. Aunque una contrasena rociada sea correcta, el inicio de sesion se detiene en el segundo factor. Las campanas de password spraying tienen exito de forma abrumadora contra cuentas sin MFA.
  • Usa contrasenas unicas y poco comunes. El spraying depende de que la gente elija contrasenas de una lista predecible. Un gestor de contrasenas genera contrasenas largas y aleatorias que nunca aparecen en esas listas, asi que no hay nada comun que rociar. Aqui es donde un gestor se gana su lugar.
  • Para las organizaciones: habilita un smart lockout que detecte inicios de sesion fallidos repartidos finamente entre muchas cuentas, bloquea los protocolos de legacy authentication que evitan el MFA y vigila los fallos de inicio de sesion distribuidos en lugar de solo los de cada cuenta.

El password spraying funciona encontrando la unica contrasena debil entre la multitud. La solucion es asegurarte de que no haya ninguna contrasena debil y comun que encontrar, y poner MFA detras de cada inicio de sesion para que incluso un acierto por suerte no llegue a ninguna parte.

Preguntas frecuentes

Que es el password spraying?

El password spraying es un ataque en el que un delincuente toma una contrasena comun -como 'Password2026!' o 'Company@123'- y la prueba contra muchas cuentas distintas, en lugar de probar muchas contrasenas contra una sola cuenta. Al intentar solo una o dos contrasenas por cuenta, el atacante se mantiene por debajo del umbral de lockout que normalmente se activaria tras varios inicios de sesion fallidos, de modo que el ataque pasa desapercibido. Basta con que una sola persona de la organizacion use esa contrasena debil para que el atacante entre.

En que se diferencia el password spraying del brute force?

El brute force funciona en vertical: muchos intentos de contrasena contra una cuenta, hasta que algo funciona. Por eso activa los bloqueos de cuenta y se vence con una contrasena larga y aleatoria. El password spraying funciona en horizontal: una contrasena contra muchas cuentas. Como cada cuenta solo ve un par de intentos, evita por completo los bloqueos. La fortaleza por si sola no salva a una organizacion del spraying: basta con un usuario con una contrasena debil y comun para que todo el intento de inicio de sesion tenga exito.

En que se diferencia el password spraying del credential stuffing?

El credential stuffing reutiliza pares reales de usuario y contrasena que ya se filtraron en una brecha de datos anterior, apostando por la reutilizacion de contrasenas. El password spraying no necesita ningun dato filtrado: simplemente combina una lista de nombres de usuario o correos (a menudo faciles de adivinar o publicos) con un punado de contrasenas muy comunes. El stuffing explota la reutilizacion; el spraying explota contrasenas debiles y predecibles. Ambos se derrotan con las mismas dos cosas: contrasenas unicas y MFA.

Donde se usa el password spraying?

Es una tecnica habitual contra organizaciones, especialmente inicios de sesion en la nube y de acceso remoto como Microsoft 365, portales VPN y single sign-on. Los atacantes, incluidos algunos grupos con muchos recursos, lo prefieren porque es silencioso y eficaz a gran escala: rocia una contrasena comun sobre miles de cuentas corporativas y unas pocas coincidiran. Tambien aparece contra cualquier superficie de inicio de sesion grande donde los nombres de usuario siguen un patron predecible como nombre.apellido.

Como me protejo del password spraying?

Dos defensas hacen casi todo el trabajo. Primero, la autenticacion multifactor (MFA): aunque la contrasena rociada sea correcta, el atacante se detiene en el segundo factor. Segundo, contrasenas unicas y poco comunes: un gestor de contrasenas genera contrasenas largas y aleatorias que nunca aparecen en las listas de contrasenas comunes de las que depende el spraying. Para las organizaciones, anade smart lockout que detecte inicios de sesion fallidos repartidos entre muchas cuentas, bloquea los protocolos de legacy authentication que evitan el MFA y vigila los fallos de inicio de sesion distribuidos.