Enumeración de nombres de usuario
¿Qué es Enumeración de nombres de usuario?
Enumeración de nombres de usuarioForma específica de enumeración de cuentas en la que las respuestas confirman si un nombre de usuario existe, lo que permite enfocar mejor ataques posteriores.
La enumeración de nombres de usuario es el caso de la enumeración de cuentas donde el identificador probado es un nombre de usuario, no un correo o teléfono. Páginas de login que distinguen 'usuario desconocido' de 'contraseña incorrecta', recuperaciones que confirman si un handle existe, endpoints API que devuelven 404 para usuarios inexistentes y 401 para contraseñas incorrectas, o formularios de registro que indican si un handle está ocupado, todos exponen este oráculo. Con una lista de nombres válidos, los atacantes pueden hacer password spraying con intentos bajos y lentos, orientar ingeniería social o correlacionar identidades. Las defensas incluyen mensajes uniformes, respuestas genéricas de recuperación, rate limiting, CAPTCHA al detectar abuso y MFA.
● Ejemplos
- 01
API de login que devuelve HTTP 404 para usuarios desconocidos y HTTP 401 para usuarios válidos con contraseña incorrecta.
- 02
Formulario de recuperación que muestra 'revise su correo' para handles válidos y 'no existe el usuario' para los inválidos.
● Preguntas frecuentes
¿Qué es Enumeración de nombres de usuario?
Forma específica de enumeración de cuentas en la que las respuestas confirman si un nombre de usuario existe, lo que permite enfocar mejor ataques posteriores. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Enumeración de nombres de usuario?
Forma específica de enumeración de cuentas en la que las respuestas confirman si un nombre de usuario existe, lo que permite enfocar mejor ataques posteriores.
¿Cómo funciona Enumeración de nombres de usuario?
La enumeración de nombres de usuario es el caso de la enumeración de cuentas donde el identificador probado es un nombre de usuario, no un correo o teléfono. Páginas de login que distinguen 'usuario desconocido' de 'contraseña incorrecta', recuperaciones que confirman si un handle existe, endpoints API que devuelven 404 para usuarios inexistentes y 401 para contraseñas incorrectas, o formularios de registro que indican si un handle está ocupado, todos exponen este oráculo. Con una lista de nombres válidos, los atacantes pueden hacer password spraying con intentos bajos y lentos, orientar ingeniería social o correlacionar identidades. Las defensas incluyen mensajes uniformes, respuestas genéricas de recuperación, rate limiting, CAPTCHA al detectar abuso y MFA.
¿Cómo defenderse de Enumeración de nombres de usuario?
Las defensas contra Enumeración de nombres de usuario combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Enumeración de nombres de usuario?
Nombres alternativos comunes: Enumeración de usuarios, Enumeración de login.
● Términos relacionados
- identity-access№ 008
Enumeración de cuentas
Ataque que abusa de las respuestas de una aplicación para determinar qué cuentas, correos o teléfonos existen en el sistema objetivo.
- attacks№ 800
Pulverización de contraseñas
Ataque "low and slow" que prueba unas pocas contraseñas comunes contra muchas cuentas, manteniéndose por debajo de bloqueos y límites de tasa.
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- network-security№ 904
Limitacion de Tasa
La limitacion de tasa restringe el numero de peticiones que un identificador (IP, usuario, API key o token) puede realizar en una ventana de tiempo, protegiendo APIs y apps frente al abuso, scraping y fuerza bruta.