Ambos implican inicios de sesión fallidos. ¿Cómo distinguirías un ataque de fuerza bruta de un password spray en tus registros?
Respuesta breve
La fuerza bruta apunta a una sola cuenta con muchos intentos de contraseña, por lo que se ven muchos fallos concentrados en un mismo usuario. El password spray lo invierte: una o pocas contraseñas comunes probadas en muchas cuentas, de forma lenta y sigilosa, de modo que cada cuenta solo registra un par de fallos. La señal de detección es la proporción de cuentas frente a fallos y el timing, no el número bruto de fallos.
Estos dos ataques se parecen superficialmente —muchos inicios de sesión fallidos—, pero la forma de los datos es opuesta, y también lo es la detección correcta. Los entrevistadores usan esto para comprobar si razonas sobre la intención del atacante y la lógica de detección en lugar de limitarte a contar errores.
Fuerza bruta: a fondo sobre una cuenta
Un ataque de fuerza bruta se centra en una sola cuenta y le lanza muchos intentos de contraseña. En los logs ves un alto volumen de fallos de autenticación todos vinculados a un usuario, a menudo desde una o pocas IP de origen, en una ventana corta. Es ruidoso y suele activar rápido las políticas de bloqueo de cuenta, lo que es a la vez una defensa y un riesgo de denegación de servicio.
Password spray: amplio y superficial
Un password spray invierte la estrategia. El atacante toma una o pocas contraseñas comunes (piensa en «Spring2026!») —del tipo que encabeza cualquier lista de contraseñas comunes— y las prueba contra muchas cuentas, un intento cada una, y luego espera antes de la siguiente ronda. Como cada cuenta solo registra uno o dos fallos, el ataque se mantiene bajo los umbrales de bloqueo y elude las reglas ingenuas de «5 fallos = alerta». La pista es la amplitud: muchos usuarios distintos fallando con la misma contraseña desde la misma fuente a lo largo del tiempo.
Sobre qué detectar
Para la fuerza bruta, alerta sobre un alto número de fallos por cuenta. Para el spray, cambia el enfoque: cuenta las cuentas distintas atacadas por IP de origen en una ventana, y vigila muchas cuentas fallando cada una un pequeño número de veces. En Windows, pivota sobre el event ID 4625 (inicio de sesión fallido) y correlaciona por IP de origen y cuenta; un 4624 exitoso tras un spray es el momento peligroso.
Por qué importa
El MFA mitiga ambos, pero la detección sigue importando porque un solo éxito de spray puede significar la toma de control de una cuenta. Demostrar que ajustas la detección a la forma del ataque —y no solo al volumen de fallos— señala una verdadera madurez analítica.
Posibles preguntas de seguimiento
- ¿Por qué el password spray suele eludir las políticas de bloqueo de cuenta?
- ¿En qué event IDs de Windows pivotarías para una autenticación fallida?
- ¿Cómo cambiaría el MFA el impacto de cualquiera de los dos ataques?