Las credenciales comprometidas demuestran que el abuso ocurre en …



La tercera etapa, cuando los actores de amenazas se apresuran a usar nombres de usuario y pares de contraseñas robados en ataques de relleno de credenciales, es la más dañina para las organizaciones, dice F5.

Mucho antes de que una violación de credenciales se haga pública, los actores de amenazas en muchos casos ya han estado usando el nombre de usuario y las contraseñas robados de diferentes maneras, reveló un nuevo estudio.

F5 Networks analizó recientemente información de fuente abierta sobre incidentes de derrame de credenciales en los últimos años y descubrió que las credenciales robadas pasan por cinco fases separadas de abuso desde el momento en que un actor de amenazas adquiere las credenciales por primera vez hasta que posteriormente se difunden entre otros actores de amenazas. El análisis de la compañía mostró que la mitad de todas las organizaciones tardan unos 120 días, o cuatro meses, en descubrir una violación de credenciales. E incluso entonces, es solo después de que un tercero les haya informado sobre el descubrimiento de sus datos en la Darkish World-wide-web.

Los investigadores de F5 descubrieron que, en el ínterin, ocurren muchas cosas con las credenciales. Durante la primera etapa, en los días y semanas inmediatos posteriores a una violación de credenciales, los criminales responsables del robo de datos tienden a usar la información robada de manera sigilosa y resuelta, dice Sander Vinberg, evangelista de investigación de amenazas en F5.

A menudo, la atención se centra en utilizar las credenciales para intentar establecer la persistencia en una pink o para intentar hacerse cargo de cuentas clave, realizar reconocimientos y recopilar toda la información adicional que puedan. «Están monetizando los datos, pero los están monetizando con mucho cuidado y con objetivos claros en mente». Aquí es cuando el potencial de daño a largo plazo es mayor, dice Vinberg.

La segunda etapa comienza cuando los atacantes originales comienzan a compartir las credenciales robadas con otros miembros de la comunidad. A medida que los datos se vuelven más disponibles en la Dark Net, los ataques de relleno de credenciales comienzan a aumentar drásticamente. El aumento de la actividad suele durar sólo alrededor de un mes porque generalmente resulta en el descubrimiento del robo de credenciales.

A medida que comienza a correr la voz de la infracción y los usuarios comienzan a cambiar las contraseñas en la tercera etapa, los script kiddies y otros actores de amenazas aficionados se apresuran a usar los pares de nombre de usuario y contraseña robados en ataques de relleno de credenciales en grandes propiedades web. «Esta es la etapa en la que se make el mayor daño económico», dice Vinberg. «El mayor riesgo para las organizaciones son las sanciones regulatorias y financieras».

En la cuarta fase, las credenciales robadas ya no tienen un valor excellent, pero todavía se utilizan en ataques a una tasa más alta que durante la primera fase. La quinta etapa es cuando los atacantes vuelven a empaquetar las credenciales derramadas e intentan continuar usándolas.

Como parte de su investigación, F5 realizó un análisis histórico utilizando datos de un gran conjunto de credenciales derramadas que estarán disponibles para la venta en un foro de la Darkish World wide web a principios de 2019. Los investigadores de F5 compararon las credenciales en ese conjunto de datos con los nombres de usuario utilizados en los ataques de relleno de credenciales contra cuatro de sus Fortune 500 clientes, dos de los cuales eran bancos, uno minorista y el otro una empresa de alimentos y bebidas.

El análisis de F5 mostró que cuando los atacantes tuvieron acceso por primera vez a las credenciales derramadas, las usaron en promedio entre 15 y 20 veces por día en ataques contra las cuatro organizaciones. En la tercera etapa, las credenciales se usaban hasta 130 veces al día, y en la cuarta etapa había vuelto a bajar a alrededor de 28 veces al día. «La conclusión typical es que el relleno de credenciales es un problema muy grande», dice Vinberg. «Se manifiesta de diferentes maneras, pero en esta etapa, nadie puede permitirse minimizar el riesgo que representa».

Un problema ampliamente reconocido
Varios otros también han documentado el creciente peligro de ataques de relleno de credenciales, especialmente en los meses transcurridos desde que comenzó la pandemia global de COVID-19. En un estudio, publicado en noviembre pasado, los investigadores de Arkose Labs encontraron que de los 1.300 millones de intentos de ataques de fraude que observó en el tercer trimestre de 2020, unos 770 millones involucraron técnicas de relleno de credenciales. Otro estudio, realizado por Digital Shadows, encontró más de 15 mil millones de credenciales robadas o expuestas disponibles para la venta en los mercados de la Dim Net. La compañía encontró credenciales para todo, desde cuentas de administrador de dominio hasta cuentas bancarias, inicios de sesión en sitios para adultos y cuentas de videojuegos y transmisión de video clip disponibles a precios que van desde unos pocos miles de dólares hasta alrededor de $ 2 para acceder a sitios para compartir archivos.

Un lado positivo que descubrió el estudio de F5 fue una disminución constante en el número promedio y mediano de credenciales expuestas por incidente en comparación con 2016. Aunque el número complete de incidentes de compromiso de credenciales en sí se duplicó con creces, de 51 en 2016 a 117 el año pasado, el promedio el número de registros por incidente se redujo de más de 63,4 millones a alrededor de 17 millones. Cuando las mega infracciones se excluyeron del cálculo, los incidentes típicos de compromiso de credenciales involucraron alrededor de 2 millones de registros en 2020 en comparación con 2,7 millones en 2016.

Vinberg dice que los datos sugieren que las organizaciones más grandes, aquellas con la mayor cantidad de credenciales, han mejorado en la protección de los datos. «Las infracciones enormes son cada vez menos comunes, pero las organizaciones medianas siguen siendo infringidas», señala.

Los datos de F5 muestran que las malas prácticas de protección con contraseña continúan contribuyendo en gran medida al problema. Alrededor del 13,3% de los incidentes de compromiso de credenciales y más del 42% de las credenciales expuestas entre 2018 y 2020 involucraron contraseñas almacenadas en texto sin formato. Cuando las organizaciones intentaron proteger las contraseñas, a menudo usaban hash MD5, un método que F5 explain como ampliamente desacreditado.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial