5 consejos para combatir ataques de relleno de credenciales


Con las credenciales robadas y una búsqueda fácil en línea, ¿cuáles son algunas medidas para evitar que los piratas informáticos entren en cuentas seguras?

Sumit Agarwal se atribuye el mérito de acuñar el término «relleno de credenciales». Se desempeñó como subsecretario de defensa adjunto bajo el presidente Obama y, en 2011, mientras trabajaba en el Pentágono, comenzó a notar un patrón de ataque de fuerza bruta en sitios web militares de cara al público, donde los actores de amenazas usaban credenciales, como nombres de usuario y contraseñas, robadas de un sitio y para acceder a otros sitios.

Hoy, Agarwal es cofundador y CTO de Shape Protection, y el relleno de credenciales se ha generalizado, haciendo que la vida de los gerentes de seguridad sea miserable en muchos tipos de organizaciones.

«Los ataques de relleno de credenciales son un problema enorme hoy, especialmente con el cambio extremo a servicios solo en línea debido a COVID-19», dice Agarwal. «Algo se vuelve espontáneamente common (vimos esto con Disney + tan pronto como salió) y está abrumado con ataques de relleno de credenciales dirigidos. Cada vez que un servicio recibe una cantidad sustancial de tráfico, ven aumentos repentinos en el relleno de credenciales. Vamos a vea que estos ataques aumentan para tiendas de comestibles en línea, servicios de entrega y proveedores de telesalud «.

En pocas palabras, el relleno de credenciales se lleva a cabo cuando los ciberdelincuentes obtienen credenciales robadas por algún medio, generalmente en la website oscura, y luego usan botnets u otras herramientas de automatización para intentar usar estos nombres de usuario y contraseñas robados para obtener acceso fraudulento a múltiples cuentas de otros usuarios.

«El relleno de credenciales es un tipo de ciberataque en el que el pirata informático intenta iniciar sesión en la cuenta de un usuario utilizando nombres de usuario y contraseñas que se han filtrado durante una violación de datos», dice Charlotte Townsley, directora de ingeniería de seguridad de Auth0. «Durante el ataque, un hacker puede robar las credenciales de un usuario y venderlas en la web oscura para que otros hackers las compren. Otros hackers pueden obtener acceso a miles de millones de credenciales filtradas y usar bots para probar diferentes combinaciones de contraseñas, rápidamente, en cientos de cuentas desde plataformas sociales hasta aplicaciones bancarias «.

«El relleno de credenciales es realmente un subconjunto de ataques de fuerza bruta», agrega Adam Darrah, director de inteligencia de Vigilante. «La principal diferencia es el hecho de que los actores de amenazas están trabajando con contraseñas previamente descifradas o dañadas, y contraseñas que fueron comprometidas por otros vectores de ataque, como keyloggers y otro malware, por lo que ya tienen un conjunto de credenciales listas para el ataque a su disposición. Los actores de amenazas utilizan una letanía de verificadores de fuerza bruta, que varían en sofisticación, para ejecutar campañas de adquisición de cuentas dirigidas contra la infraestructura corporativa y los sitios world-wide-web por igual «.

Una vez dentro, por supuesto, eso significa que los activos confidenciales corporativos podrían filtrarse, o el atacante puede obtener acceso a otras cuentas privadas o engañar a colegas desprevenidos para que compartan información. El potencial de daño es ilimitado.

Los ataques están creciendo y son fáciles de ejecutar.

Desde los primeros días de Agarwal de identificar ataques de relleno de credenciales en sitios gubernamentales, el problema ahora es generalizado. El informe más reciente de Verizon Details Breach Investigations Report (DBIR) de 2019 encuentra que el relleno de credenciales se utilizó en 29% de todas las violaciones de datos. Y actualmente HaveIBeenPwned.com (HIBP), un sitio gratuito que ofrece notificaciones de violación de datos, tiene información sobre casi 9 mil millones de credenciales comprometidas de cientos de playas de datos.

No es sorprendente que los delincuentes se sientan atraídos por el éxito rápido, ya que hoy es bastante fácil obtener credenciales robadas a bajo precio.

«Las habilidades requeridas para comprar credenciales en la cuenta bancaria de una víctima o en una cuenta minorista en línea se pueden aprender en una tarde de búsquedas en Google», dice Darrah. «Hay mercados net aparentemente profundos y oscuros interminables que ofrecen credenciales de cuenta por tan solo $ 2, dependiendo del servicio o del sitio website. En algunos casos, incluso ofrecen reembolsos si las credenciales no funcionan como se anuncia».

Pero hay algunas herramientas y técnicas que los administradores de seguridad pueden implementar para mitigar los ataques de relleno de credenciales. Los investigadores de seguridad con los que hablamos recomiendan lo siguiente.

1. Aumentar la conciencia del usuario sobre la gestión de contraseñas
Con muchos usuarios que todavía reutilizan las contraseñas en las cuentas, Townsley dice: «Mejorar los hábitos de contraseña de los usuarios es un gran comienzo para defenderse de los ataques de relleno de credenciales. Educar a los empleados sobre las mejores prácticas y recordarles que cambien sus contraseñas en una base más regular puede dificultar que los hackers realicen un ataque exitoso «.

2. Implemente la autenticación multifactor
La autenticación de dos factores / multifactor debe estar habilitada en cada cuenta donde esté permitida y disponible. Esto agrega otra capa que dificulta la penetración de un atacante.

3. Use herramientas de detección de anomalías
«Estas podrían ser herramientas de inteligencia de amenazas en línea gratuitas o de nivel empresarial que pueden ayudar a identificar señales de riesgo, como una contraseña violada o un número mayor de intentos de autenticación fallidos de lo habitual», dice Townsley. «También se pueden usar para determinar un aumento repentino o inusual en la cantidad de direcciones IP que visitan un sitio internet esto puede ser un indicio de que está ocurriendo actividad maliciosa».

4. Implemente administradores de contraseñas
Hay varios administradores de contraseñas empresariales disponibles, sin cargo, que pueden ayudar a los usuarios a crear contraseñas únicas y seguras para cada cuenta segura y pueden ayudar a reducir el problema común de reutilización de contraseñas. Una variedad de administradores de contraseñas adecuados tanto para empresas como para pequeñas empresas están disponibles, entre ellos, según una reciente investigación de mercado de Ovum (ahora parte de Omdia), 1Password Business enterprise, Dashlane Business enterprise, Keeper for Business enterprise, LastPass Business, ManageEngine Password Manager Professional, Nice Password Server y RoboForm for Organization son los líderes. Ovum también felicitó a Bluink, Passwork, Bitwarden, TeamPassword y Passbolt por sus características únicas.

5. Incruste la seguridad en el diseño del sitio world-wide-web
«Los profesionales de la seguridad y los desarrolladores world-wide-web pueden hacer que el trabajo de un actor de amenazas sea un poco más difícil al garantizar que los sitios web utilicen cualquier contramedida disponible, incluidos CAPTCHA y MFA», dice Darrah. «También se pueden implementar cambios simples en la funcionalidad del sitio internet, por ejemplo, el aviso dado después de un intento de inicio de sesión»

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Joan Goodchild es una veterana periodista, editora y escritora que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On line. Ver biografía completa

Más thoughts





Enlace a la noticia first