Password Spraying: detección y prevención en Active Directory y Entra ID

¿Qué es Password Spraying?

Password spraying es una técnica de fuerza bruta que prueba una contraseña, o una lista muy pequeña de contraseñas comunes, contra muchas cuentas en lugar de intentar muchas contraseñas contra una sola cuenta. MITRE la clasifica como T1110.003 dentro de Brute Force.

Ese modelo operativo importa porque está diseñado para evitar los efectos más obvios de la fuerza bruta clásica. En lugar de bloquear una cuenta concreta tras muchos intentos fallidos, el atacante reparte unas pocas conjeturas sobre muchas identidades y espera encontrar la más débil.

El alcance de este artículo es la identidad híbrida: Active Directory, Microsoft Entra ID y los caminos cloud o de acceso remoto que todavía aceptan autenticación basada en contraseña. Password spraying no es solo un problema on-prem. Tanto CISA como Microsoft lo describen como un patrón frecuente de acceso inicial contra servicios de identidad federados, cloud y expuestos a Internet.

---

Cómo funciona Password Spraying

La definición de MITRE es el punto de partida correcto: el adversario usa una contraseña, o una lista muy pequeña de contraseñas comunes, contra muchas cuentas distintas para evitar los bloqueos que normalmente ocurrirían si bruteforceara repetidamente una sola cuenta.

En la práctica, los atacantes primero construyen una lista de objetivos y después rocían sobre ella unos pocos candidatos débiles.

Fuentes habituales de usuarios objetivo:

• nombres de usuario o direcciones de correo expuestas públicamente
• convenciones de nombres obtenidas de LinkedIn, webs corporativas o libretas de direcciones filtradas
• Global Address Lists una vez que una primera cuenta cloud ya ha sido comprometida
• identidades híbridas sincronizadas que existen tanto en AD como en Microsoft Entra ID

Caminos objetivo frecuentes:

• endpoints de inicio de sesión de Microsoft 365 / Entra
• flujos de autenticación federados
• portales VPN
• Outlook Web u otras interfaces de correo expuestas
• RDP u otros flujos de acceso remoto publicados externamente
• LDAP, Kerberos, SMB u otros protocolos internos cuando el atacante ya está dentro de la red

MITRE también añade una matización importante para detección: los atacantes pueden preferir intentos LDAP y Kerberos porque a veces son menos visibles que fallos SMB que suelen generar el evento 4625.

---

Por qué Password Spraying sigue funcionando

Password spraying sigue siendo eficaz porque explota escala y previsibilidad, no solo una debilidad técnica aislada.

Las contraseñas débiles siguen existiendo a escala empresarial

La documentación de Microsoft Entra Password Protection es explícita: Microsoft bloquea contraseñas débiles usando telemetría real de spraying porque las contraseñas débiles y sus variantes siguen siendo lo bastante comunes como para importar operativamente.

Siguen expuestos caminos password-only

La alerta de CISA sobre brute force y los informes más recientes de Microsoft sobre intrusiones cloud señalan el mismo problema: si el objetivo todavía expone acceso de factor único basado en contraseña, un único acierto puede bastar para iniciar reconocimiento, persistencia o movimiento lateral.

Los caminos legacy y federados aumentan la superficie de ataque

CISA advierte explícitamente que las campañas de password spraying suelen apuntar a aplicaciones SSO y cloud con autenticación federada. Los informes recientes de Microsoft también muestran el spraying como paso inicial antes de ampliar el reconocimiento de tenants Entra y los intentos de persistencia.

El low-and-slow evita bloqueos ruidosos

El objetivo del spraying no es la velocidad sobre una sola cuenta. El objetivo es la fiabilidad sobre muchas cuentas sin cruzar demasiado rápido los umbrales por identidad.

---

Requisitos previos para que un ataque de Password Spraying tenga éxito

Password spraying suele funcionar cuando se superponen varios problemas.

1. El atacante puede enumerar usuarios válidos

Una campaña de spraying es mucho más fácil cuando los nombres de usuario siguen patrones predecibles o son fáciles de descubrir desde fuera. Formatos públicos de correo, alias administrativos previsibles y nombres reutilizados entre cloud y on-prem ayudan mucho.

2. La autenticación basada en contraseña sigue expuesta

Si el tenant o el entorno siguen permitiendo acceso valioso basado en contraseña, el atacante tiene una superficie que rociar. Esto incluye inicio de sesión cloud, VPN, acceso remoto, federación y ciertas superficies internas de autenticación.

3. La base de contraseñas es lo bastante débil como para que funcione un pequeño conjunto de candidatos

Ese es exactamente el problema de control que aborda Seguridad de contraseñas AD: malas configuraciones que siguen abriendo el dominio. Un spray funciona porque algunos usuarios siguen eligiendo contraseñas débiles, predecibles o alineadas con la organización.

4. La cobertura MFA es incompleta o evitable en el camino objetivo

Aunque el spraying solo consiga una contraseña válida, la cuenta es mucho menos útil si existe MFA fuerte o controles posteriores resistentes al phishing en el camino correcto. CISA enumera explícitamente la falta de MFA como un rasgo común de los entornos víctimas.

5. El monitoreo es demasiado débil para reconstruir el patrón

Unas pocas tentativas fallidas contra una sola cuenta son fáciles de ignorar. La señal real es una gran cantidad de fallos en muchas cuentas desde la misma fuente, la misma familia de infraestructura o el mismo patrón temporal. Sin esa correlación, password spraying es fácil de pasar por alto.

---

La cadena de ataque

Una cadena típica de intrusión basada en password spraying se parece a esto.

Paso 1 - Construir la lista de cuentas

El atacante recopila usuarios a partir de fuentes públicas, brechas previas, libretas de direcciones o buzones ya comprometidos.

Paso 2 - Elegir una lista pequeña de contraseñas

Las contraseñas elegidas suelen estar ligadas a estaciones del año, al nombre de la empresa o a patrones lo bastante comunes como para cumplir requisitos de complejidad sin dejar de ser previsibles.

Paso 3 - Rociar sobre muchas cuentas

En lugar de golpear una sola identidad, el atacante prueba unas pocas contraseñas contra muchos usuarios y espacia los intentos para evitar umbrales de bloqueo demasiado evidentes.

Paso 4 - Usar la primera cuenta válida para reconocimiento

El informe de Microsoft sobre Peach Sandstorm ilustra el riesgo real: una sola cuenta comprometida puede bastar para descubrimiento de tenant, intentos de persistencia o reconocimiento cloud adicional.

Paso 5 - Expandir el acceso

A partir de ahí, el atacante puede:

• obtener más usuarios y roles
• descargar correo o la Global Address List
• dirigirse después a cuentas privilegiadas
• pivotar hacia aplicaciones, suscripciones o infraestructura ligadas a la identidad comprometida

Por eso password spraying no es solo un problema de fallos de inicio de sesión. Es un problema de acceso inicial que con frecuencia se convierte en un problema de privilegios y persistencia.

---

Password Spraying frente a otras técnicas de fuerza bruta

Estos términos suelen mezclarse, pero no significan lo mismo.

• Password spraying = una o unas pocas contraseñas contra muchas cuentas
• Password guessing = intentos más directos contra una sola cuenta
• Credential stuffing = reutilización de pares usuario/contraseña procedentes de otras brechas
• Fuerza bruta clásica = muchos intentos contra una sola identidad o un solo secreto hasta que funciona

La distinción importa operativamente porque las estrategias de detección y de bloqueo son distintas.

---

Detección

No existe un detector universal único para password spraying porque la técnica cruza superficies cloud, federadas y on-prem. El modelo útil vuelve a ser la correlación.

Señales centradas en cloud y Entra

Para Microsoft Entra ID, las señales más útiles incluyen:

• fallos repetidos de inicio de sesión contra muchos usuarios desde la misma IP, el mismo clúster de infraestructura o el mismo user agent
• el mismo patrón de contraseña candidata probado sobre muchas cuentas a lo largo del tiempo
• comportamientos repetidos de Smart Lockout o bloqueos de inicio de sesión sobre muchas cuentas desde la misma fuente
• actividad de riesgo medio o alto en el inicio de sesión asociada a fallos repetidos de contraseña o a infraestructura sospechosa
• uso de autenticación legacy en caminos de identidad expuestos a Internet

La documentación de Smart Lockout de Microsoft añade varios hechos importantes:

• Smart Lockout está habilitado por defecto en tenants Microsoft Entra
• el umbral por defecto es de 10 intentos fallidos para Azure Public y de 3 para Azure US Government
• la duración inicial del bloqueo es de 60 segundos y aumenta tras errores repetidos
• Smart Lockout realiza seguimiento de los tres últimos hashes de contraseñas erróneas, de modo que repetir la misma mala contraseña no sigue incrementando el contador
• ese seguimiento por hash no está disponible en escenarios de pass-through authentication, porque la autenticación ocurre on-premises

Esos detalles importan porque muchos equipos sobrestiman lo que un lockout por sí solo puede hacer realmente en un entorno híbrido.

Señales AD y on-prem

En monitorización Windows on-prem, las señales útiles incluyen:

• picos de fallos 4625 desde la misma fuente contra muchas cuentas cuando SMB o caminos similares están implicados
• fallos de preautenticación Kerberos 4771 sobre muchos usuarios en una ventana corta
• fallos LDAP o Kerberos que encajan con un patrón multiusuario aunque no se parezcan a una secuencia SMB clásica
• la misma fuente o el mismo camino de relay tocando muchas identidades con una cadencia baja pero sostenida

MITRE advierte explícitamente que los intentos LDAP y Kerberos pueden ser menos propensos a generar los patrones de fallos Windows más visibles en los que suelen apoyarse los defensores. Por eso Supervision Seguridad AD: Event IDs y SIEM es tan relevante aquí.

Cómo se ve una buena correlación

Una detección fuerte de password spraying suele formularse así:

• una IP, un ASN, un user agent o un pequeño conjunto de infraestructura
• muchos nombres de usuario objetivo
• muy pocos intentos por cuenta
• un patrón repetido de contraseña candidata o de temporización
• una o dos cuentas exitosas seguidas de descubrimiento o actividad orientada a privilegios

Por qué Smart Lockout y los logs no bastan por sí solos

Smart Lockout reduce riesgo, pero Microsoft deja claro que no garantiza que un usuario legítimo nunca vaya a quedar bloqueado y que no reemplaza autenticación más fuerte ni una mejor higiene de contraseñas. La detección útil sigue dependiendo de revisión de logs, alertado y conocimiento exacto de los caminos expuestos.

---

Remediation / Remediación

La mitigación de password spraying no es solo una cuestión de política de contraseñas. Es la combinación de contraseñas más fuertes, menos caminos password-only expuestos, controles posteriores al password más robustos y una mejor protección de los bordes de autenticación híbrida.

1. Exigir MFA fuerte en los caminos de identidad expuestos

Tanto CISA como Microsoft recomiendan MFA como mitigación central. En sistemas de identidad expuestos a Internet, especialmente Microsoft 365, portales de administración, VPN y acceso remoto, una contraseña obtenida por spray no debería bastar para continuar.

Por eso Identidad Azure: MFA, metodos y Security Defaults y Acceso condicional Azure: brechas reales que permiten bypass de MFA están directamente al lado de este tema. MFA debe estar presente en los caminos correctos y aplicarse correctamente.

2. Usar Smart Lockout correctamente en Entra

Microsoft documenta Smart Lockout como protección por defecto contra brute force y password spraying, pero los equipos híbridos deben ajustarlo con criterio:

• mantener el umbral de Microsoft Entra por debajo del umbral on-prem de AD DS
• mantener la duración de bloqueo de Entra por encima de la duración de AD DS
• entender que la pass-through authentication cambia parte del comportamiento de Smart Lockout
• revisar si la política on-prem de bloqueo de cuentas está generando más problemas de disponibilidad que reducción real del riesgo de spray

3. Desplegar Microsoft Entra Password Protection

Microsoft Entra Password Protection es uno de los controles anti-spray más claros disponibles, porque está diseñado a partir de telemetría real de spraying y bloquea contraseñas débiles conocidas y sus variantes.

Puntos importantes de implementación según Microsoft:

• los tenants cloud reciben por defecto la lista global de contraseñas prohibidas
• pueden añadirse contraseñas prohibidas personalizadas para términos débiles específicos del tenant
• AD DS on-prem puede usar la misma familia de controles mediante los agentes de Microsoft Entra Password Protection
• Microsoft recomienda empezar la implantación on-prem en modo Audit antes de cambiar a Enforced

Eso importa mucho en entornos híbridos, donde al atacante le da igual rociar contraseñas on-prem o cloud si ambas siguen siendo débiles.

4. Reducir autenticación legacy y superficies password-only expuestas

La autenticación legacy sigue siendo atractiva porque conserva caminos antiguos basados en contraseña y puede dejar fuera parte de los controles más fuertes presentes en flujos modernos. Si sigue habilitada, los defensores todavía dejan al atacante caminos más baratos para probar.

Esto está directamente relacionado con Endurecimiento del tenant Azure: corregir defaults inseguros y con la revisión más amplia de Conditional Access.

5. Proteger identidades privilegiadas de forma distinta al resto

Un spray exitoso sobre un usuario de bajo valor ya es malo. Un spray exitoso sobre una cuenta privilegiada suele ser el incidente real. Eso implica:

• requisitos MFA más fuertes para roles privilegiados
• restricciones de inicio de sesión más estrictas para identidades administrativas
• revisión activa de usuarios privilegiados obsoletos y cuentas de emergencia
• reseteo rápido e investigación inmediata cuando una cuenta privilegiada es objetivo o víctima de spraying

Aquí Azure Identity Protection: Politicas de Riesgo y Cuentas Obsoletas y Sobreprivilegiadas en AD forman parte de la misma historia de mitigación.

6. Tratar una cuenta comprometida por spray como una intrusión, no solo como una contraseña débil

Los informes de amenazas de Microsoft son útiles aquí: una vez que un spray funciona, el actor suele pivotar rápidamente hacia reconocimiento, persistencia y movimiento lateral. Hay que resetear la contraseña, sí, pero también revocar sesiones, revisar cambios MFA, inspeccionar actividad posterior y analizar si la cuenta comprometida expuso más datos o rutas de acceso.

---

Validación tras el endurecimiento

No cierres la remediación de password spraying solo porque Smart Lockout está activado o porque se anunció una nueva política de contraseñas. Hay que validar directamente las superficies expuestas.

• verificar qué caminos expuestos a Internet siguen aceptando autenticación password-only
• confirmar que MFA se aplica en esos caminos, especialmente para administradores y cuentas de alto valor
• probar el comportamiento de Smart Lockout y compararlo con la configuración on-prem de bloqueo de cuentas en entornos híbridos
• revisar logs de inicio de sesión buscando patrones amplios de fallo sobre muchos usuarios, no solo bloqueos individuales
• confirmar que Microsoft Entra Password Protection está activo en cloud y, donde proceda, on-prem
• comprobar si términos débiles específicos del tenant, como nombre de la empresa, nombre del producto o patrones estacionales, están cubiertos en la lista personalizada de contraseñas prohibidas

El criterio real de éxito es simple: una lista pequeña de contraseñas comunes ya no debe producir un punto de apoyo útil, ni en cloud ni on-prem.

---

Cómo EtcSec detecta exposición relacionada

EtcSec no necesita una taxonomía artificial de password spraying para aportar valor aquí. El valor está en los controles alrededor del ataque que determinan si un spray tiene éxito o fracasa.

Los hallazgos subyacentes más cercanos son los que hacen viable una campaña de spray desde el principio: política débil de contraseñas en AD y ausencia de requisitos MFA en caminos expuestos de Entra. No son exactamente la técnica de ataque, pero sí las fallas de control que convierten un spray amplio en un foothold útil.

Los controles relacionados más relevantes son:

• Seguridad de contraseñas AD: malas configuraciones que siguen abriendo el dominio
• Cómo auditar la seguridad de Microsoft Entra ID (Azure AD): guía práctica
• Identidad Azure: MFA, metodos y Security Defaults
• Azure Identity Protection: Politicas de Riesgo
• Acceso condicional Azure: brechas reales que permiten bypass de MFA
• Supervision Seguridad AD: Event IDs y SIEM
• Endurecimiento del tenant Azure: corregir defaults inseguros

En conjunto, esos controles indican si el entorno sigue presentando una superficie fácil para campañas de spraying.

---

Controles relacionados

Password spraying se revisa mejor junto con higiene de contraseñas, enforcement de MFA, Smart Lockout, respuesta a riesgo de identidad y monitorización. Si quieres reducir el éxito real de las campañas de spray y no solo los fallos visibles, revisa este tema junto con Seguridad de contraseñas AD: malas configuraciones que siguen abriendo el dominio, Identidad Azure: MFA, metodos y Security Defaults, Azure Identity Protection: Politicas de Riesgo, Acceso condicional Azure: brechas reales que permiten bypass de MFA, Cómo auditar la seguridad de Microsoft Entra ID (Azure AD): guía práctica y Endurecimiento del tenant Azure: corregir defaults inseguros.

---

Fuentes primarias

• MITRE ATT&CK – Password Spraying (T1110.003)
• Microsoft Learn – Smart Lockout
• Microsoft Learn – Microsoft Entra Password Protection
• CISA – guidance on brute force and password spraying
• Microsoft Security Blog – Peach Sandstorm password spray campaigns