¿Cómo se producen los ataques de relleno de credenciales?

El relleno de credenciales es un tipo de ataque de fuerza bruta en el que los piratas informáticos toman grandes volúmenes de inicios de sesión robados o violados y usan herramientas automatizadas para probarlos en masa para ver si pueden abrir otras cuentas.

Los clientes de organizaciones de diversas industrias, incluida la tecnología, el comercio minorista, los alimentos e incluso las citas en línea, han sido atacados con ataques de relleno de credenciales solo durante los primeros meses de 2019. Estas credenciales expuestas de los clientes representan un riesgo adicional para otras organizaciones donde esas personas podrían tener cuentas y usar los mismos detalles de inicio de sesión.

El relleno de credenciales es posible gracias a tres factores interrelacionados:

Políticas de contraseñas deficientes

Mantener una buena seguridad de contraseñas es fundamental para la seguridad. Permitir que los usuarios sigan usando la misma contraseña durante largos períodos de tiempo funcionó bien en una era anterior a la violación masiva de datos, la automatización sofisticada y la próspera economía de delitos informáticos, un momento en el que los usuarios solo tenían una pequeña cantidad de cuentas en línea para asegurar. Hoy, sin embargo, las probabilidades se apilan cada vez más a favor de los hackers. Si no hay otras barreras de entrada, como MFA, es relativamente sencillo para un atacante desbloquear las cuentas de usuario mediante la obtención de estas credenciales. Hoy, los equipos de seguridad deben hacerlo mejor que confiar completamente en las contraseñas.

Violaciones de credenciales

Los rellenadores de credenciales obtienen sus contraseñas de la web oscura, que alberga una gran colección de datos violados. Algunas de las brechas más grandes jamás registradas ocurrieron en 2018, incluido Marriott International (383 millones de usuarios afectados) y MyFitnessPal (150 millones). La tendencia continúa en 2019. A partir del 5 de febrero, ya se han registrado 86 infracciones que exponen más de 370,000 registros.

El ciberdelito clandestino está lleno de colecciones de datos agregados de tales violaciones. Se dice que un tesoro destacado, denominado «Colección # 1-5», contiene más de 2,2 mil millones de nombres de usuario y contraseñas únicas. Incluso si estas credenciales son robadas de las organizaciones en su forma encriptada, las herramientas automatizadas de craqueo a veces pueden hacer que el descifrado de datos sea bastante sencillo. Ahí es cuando están listos para rellenar.

Reutilización de contraseña

El factor final se relaciona con los propios usuarios. Si cada empleado usara una contraseña segura única para cada cuenta, ayudaría a prevenir un ataque de relleno de credenciales en la compañía a la que se suscriben. En el mundo actual centrado en lo digital, esto simplemente no es posible, ya que la persona promedio maneja al menos 130 cuentas.

Ante este volumen de credenciales, muchos usuarios recurren a inicios de sesión fáciles de adivinar, que reutilizan en varias cuentas. Por lo tanto, cuando se infringe una, todas las cuentas quedan expuestas a la amenaza de relleno de credenciales.

Cómo se hace: red de bots y fuerza bruta.

La fuerza impulsora detrás del relleno de credenciales y otras técnicas de fuerza bruta es la red de bots: una red de computadoras comprometidas. El reciente auge de dispositivos IoT (si no sabes qué es el Internet de las Cosas haz clic en el link anterior) no asegurados ha hecho que sea aún más fácil para los hackers acumular tales redes. Estos ejecutan scripts automatizados para probar grandes volúmenes de credenciales robadas simultáneamente en múltiples servicios y plataformas. Usando un enfoque de «bajo y lento», las redes de bots garantizan que los intentos de cuenta no se realicen con demasiada frecuencia, e incorporan listas de proxy para que las solicitudes provengan de diferentes direcciones IP, tanto para evitar la activación de alarmas internas en el destino.

El tiempo entre una infracción inicial y su notificación pública es una ventana crucial para que los rellenadores de credenciales hagan daño. Antes de que las credenciales se distribuyan en la web oscura, los atacantes suelen quitar las credenciales para cometer tantas tomas de cuentas como sea posible. Una vez que logran este objetivo, venden las credenciales en la web oscura por cualquier valor residual.

Para las organizaciones, observar el mercado de la web oscura para detectar cuándo las credenciales se distribuyen ilegalmente es demasiado tarde. Pero, desafortunadamente, debido a que las compañías no cuentan con las medidas adecuadas para identificar y actuar sobre estos ataques antes de tiempo, se estima que esta ventana es de hasta 15 meses.

¿Cuál es el impacto?

Aunque las tasas de éxito de relleno de credenciales pueden ser poco más del 1%, un pirata informático que intente millones de contraseñas obtendrá un ROI decente. La toma de control de la cuenta resultante podría proporcionar a los atacantes información corporativa valiosa, o la oportunidad de lanzar la siguiente etapa de una infracción más grave al usar la cuenta para apuntar a los titulares de cuentas privilegiados con correos electrónicos de spear-phishing. Un incumplimiento resultante podría afectar la reputación corporativa y la línea de fondo con fuerza.

¿Cómo puedo proteger a mis usuarios?

Las organizaciones deben considerar un mejor enfoque para la autenticación del usuario. Idealmente, esto implicaría deshacerse de las contraseñas por completo y, en su lugar, aprovechar tecnologías como Webauthn. Si esto no es posible, las organizaciones deben emplear un marco de autenticación estricto que incluya una política de contraseña completa y un sistema seguro para la recuperación de la contraseña y la cuenta.

Como una capa de seguridad adicional, la solución Adaptive MFA de Okta controla una amplia gama de datos de inicio de sesión, incluidos el dispositivo, la ubicación geográfica, la hora del día y la dirección IP, para asignar a cada intento un puntaje de riesgo. Una puntuación baja puede permitir la autenticación solo con contraseña, mientras que un número más alto puede requerir un factor adicional, como un código de acceso de una sola vez. De esta manera, los intentos de relleno de credenciales de alto riesgo se bloquean, ya que el pirata informático no tendrá acceso al segundo factor. Esto ayuda a las empresas a mitigar el riesgo de las adquisiciones de cuentas.