Enumeración de cuentas
¿Qué es Enumeración de cuentas?
Enumeración de cuentasAtaque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo.
La enumeración de cuentas explota diferencias en cómo se comporta la aplicación cuando una cuenta existe frente a cuando no —mensajes de error distintos en login, registro o recuperación, variaciones de tiempo, códigos HTTP diferentes—. Probando muchos identificadores candidatos, el atacante obtiene una lista de cuentas válidas que después puede atacar por phishing, credential stuffing o password spraying. La vulnerabilidad es habitual en formularios de inicio de sesión ('usuario desconocido' frente a 'contraseña incorrecta'), recuperación de contraseña ('revise su correo' frente a 'cuenta no encontrada') y registro ('el correo ya está registrado'). Las defensas incluyen mensajes de error uniformes, respuestas en tiempo constante, notificaciones genéricas, rate limiting por IP y cuenta, CAPTCHA ante abuso y MFA para mitigar ataques posteriores.
● Ejemplos
- 01
Un registro que indica 'este correo ya está en uso', lo que permite cosechar correos válidos.
- 02
Diferentes tiempos de respuesta en /login para usuarios conocidos y desconocidos, usados para construir una lista.
● Preguntas frecuentes
¿Qué es Enumeración de cuentas?
Ataque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Enumeración de cuentas?
Ataque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo.
¿Cómo funciona Enumeración de cuentas?
La enumeración de cuentas explota diferencias en cómo se comporta la aplicación cuando una cuenta existe frente a cuando no —mensajes de error distintos en login, registro o recuperación, variaciones de tiempo, códigos HTTP diferentes—. Probando muchos identificadores candidatos, el atacante obtiene una lista de cuentas válidas que después puede atacar por phishing, credential stuffing o password spraying. La vulnerabilidad es habitual en formularios de inicio de sesión ('usuario desconocido' frente a 'contraseña incorrecta'), recuperación de contraseña ('revise su correo' frente a 'cuenta no encontrada') y registro ('el correo ya está registrado'). Las defensas incluyen mensajes de error uniformes, respuestas en tiempo constante, notificaciones genéricas, rate limiting por IP y cuenta, CAPTCHA ante abuso y MFA para mitigar ataques posteriores.
¿Cómo defenderse de Enumeración de cuentas?
Las defensas contra Enumeración de cuentas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Enumeración de cuentas?
Nombres alternativos comunes: Enumeración de usuarios, Enumeración de identificadores.
● Términos relacionados
- identity-access№ 1196
Enumeración de nombres de usuario
Forma específica de enumeración de cuentas en la que las respuestas confirman si un nombre de usuario existe, lo que permite enfocar mejor ataques posteriores.
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
- attacks№ 800
Pulverización de contraseñas
Ataque "low and slow" que prueba unas pocas contraseñas comunes contra muchas cuentas, manteniéndose por debajo de bloqueos y límites de tasa.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- network-security№ 904
Limitacion de Tasa
La limitacion de tasa restringe el numero de peticiones que un identificador (IP, usuario, API key o token) puede realizar en una ventana de tiempo, protegiendo APIs y apps frente al abuso, scraping y fuerza bruta.