Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 010

Bloqueo de Cuenta

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Bloqueo de Cuenta?

Bloqueo de CuentaControl que bloquea, de forma temporal o permanente, los intentos de inicio de sesion tras un numero configurado de fallos consecutivos para frenar el adivinado en linea.


El bloqueo de cuenta desactiva una cuenta cuando se alcanza un umbral de intentos fallidos de autenticacion, encareciendo los ataques de fuerza bruta y password spraying en linea. Active Directory, Entra ID, Okta y la mayoria de plataformas de autenticacion exponen un trio de parametros: intentos maximos, ventana de observacion y duracion del bloqueo (por ejemplo, 10 fallos en 10 minutos que provocan un bloqueo de 30 minutos).

El bloqueo es un arma de doble filo. NIST SP 800-63B recomienda explicitamente la limitacion de tasa y el throttling inteligente en lugar de bloqueos agresivos, porque un atacante que conoce nombres de usuario validos puede provocar bloqueos de forma deliberada para causar una denegacion de servicio, dejando fuera a usuarios reales de la nomina, el correo o la VPN. Los umbrales agresivos tambien empujan a los atacantes hacia el password spraying: probar una contrasena comun contra miles de cuentas se mantiene por debajo de cualquier contador por cuenta, que es exactamente como los ataques de 2020 atribuidos a grupos APT contra tenants de Office 365 evadieron el bloqueo.

Por eso las implementaciones modernas prefieren controles mas inteligentes: retardos progresivos (exponenciales) entre intentos, throttling por IP de origen y ASN, CAPTCHA tras unos pocos fallos y senales de riesgo. Microsoft Smart Lockout distingue al usuario legitimo del atacante mediante telemetria de ubicacion y dispositivo conocidos, bloqueando solo la fuente maliciosa y preservando los inicios de sesion reales, y registra los ultimos hashes de contrasenas erroneas para que los mismos errores repetidos no consuman el presupuesto. La mitigacion mas solida es eliminar por completo la contrasena como secreto unico: el MFA resistente al phishing o las passkeys hacen irrelevante el adivinado en linea.

flowchart TD
  A[Intento de inicio de sesion] --> B{Credenciales validas?}
  B -->|Si| C[Conceder acceso · reiniciar contador]
  B -->|No| D[Incrementar contador de fallos]
  D --> E{Contador >= umbral<br/>dentro de la ventana?}
  E -->|No| F[Anadir retardo progresivo · CAPTCHA] --> A
  E -->|Si| G{Senal inteligente:<br/>dispositivo / ubicacion conocidos?}
  G -->|Si usuario legitimo| H[Permitir · desafio suave]
  G -->|No fuente atacante| I[Bloquear cuenta o fuente<br/>durante la duracion del bloqueo]
  I --> J[Alerta / motor de riesgo]

Ejemplos

  1. 01

    Microsoft Entra ID Smart Lockout que bloquea la IP del atacante tras 10 intentos fallidos sin afectar al usuario legitimo en otra red.

  2. 02

    Banca en linea que bloquea el acceso del cliente 30 minutos despues de 5 PIN incorrectos.

Preguntas frecuentes

¿Qué es Bloqueo de Cuenta?

Control que bloquea, de forma temporal o permanente, los intentos de inicio de sesion tras un numero configurado de fallos consecutivos para frenar el adivinado en linea. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Bloqueo de Cuenta?

Control que bloquea, de forma temporal o permanente, los intentos de inicio de sesion tras un numero configurado de fallos consecutivos para frenar el adivinado en linea.

¿Cómo defenderse de Bloqueo de Cuenta?

Las defensas contra Bloqueo de Cuenta combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Bloqueo de Cuenta?

Nombres alternativos comunes: Politica de bloqueo, Bloqueo de inicio de sesion.

Términos relacionados