El efecto dominó de las credenciales en riesgo
Cuando los usuarios aumentan los riesgos para la organización
El riesgo de las credenciales expuestas
Según un estudio, el 44 % de los empleados encuestados utilizaba las mismas credenciales de acceso en sus cuentas personales y profesionales.
Las organizaciones que protegen sus sistemas y datos con combinaciones sencillas de nombre de usuario y contraseña facilitan (y agilizan) que los atacantes puedan vulnerarlos. Del mismo modo, los usuarios que no practican una postura de seguridad adecuada, por ejemplo, utilizando palabras del diccionario como contraseñas, no cambiando las contraseñas en riesgo, etc. pueden estar más expuestos a sufrir un ataque.
Uno de los métodos más comunes para infiltrarse en los sistemas y cuentas protegidos son los ataques de relleno de credenciales. Estos ataques envían spam a los puntos finales de inicio de sesión de las organizaciones con credenciales en riesgo (nombres de usuario y contraseñas que quedaron expuestos en filtraciones de datos ocurridas en otras organizaciones), para luego llevar a cabo otras actividades maliciosas una vez obtenido el acceso.
A menudo, las listas de credenciales robadas se compran y venden en la web oscura, y se pueden utilizar para intentar entrar en toda una serie de organizaciones. Aunque la tasa de éxito de las fugas que utilizan datos robados es baja, es mayor debido al gran volumen de credenciales a las que tienen acceso los atacantes, así como al hecho de que los usuarios tienden a reutilizar las credenciales en varias cuentas o pueden no cambiarlas inmediatamente tras una fuga conocida.
Para poner este dato en perspectiva, durante los intentos por descifrar una contraseña por fuerza bruta, Cloudflare observó solicitudes HTTP que utilizaban credenciales expuestas a un ritmo de más de 12 000 por minuto. Incluso si una parte de esos intentos lograran su objetivo, podrían causar graves daños a una organización una vez que el atacante se infiltrara.
Debido al volumen y la frecuencia de los intentos de ataques de relleno de credenciales, defenderse contra ellos requiere una estrategia de seguridad proactiva y multicapa, que pueda bloquear las solicitudes de inicio de sesión fraudulentas, aplicar requisitos de autenticación sólidos y minimizar el movimiento lateral en caso de fuga.
Por qué sigue funcionando el relleno de credenciales
Un ataque de relleno de credenciales eficaz da lugar a la apropiación de cuentas, lo que permite a los atacantes hacerse con el control total de la cuenta de un usuario y robar datos confidenciales, vulnerar sistemas internos o llevar a cabo ataques de mayor envergadura.
Pensemos en DraftKings, una empresa de apuestas deportivas que sufrió un importante ataque de relleno de credenciales en el que se utilizaron credenciales robadas para acceder a sus sistemas, poniendo en riesgo los datos personales de más de 67 000 usuarios.
Estos datos incluían direcciones físicas y correos electrónicos, números de teléfono, información sobre el saldo de las cuentas, datos parciales de las tarjetas de pago y otra información confidencial, aunque se desconocía el alcance total de la fuga. Como resultado, los atacantes pudieron retirar aproximadamente 300 000 dólares de las cuentas de varios usuarios.
Tras ataques como este, algunos usuarios pueden apresurarse a cambiar sus contraseñas de las cuentas en riesgo. Sin embargo, muchos otros siguen reutilizando contraseñas en varios sistemas, optan por mantener la misma contraseña después de una fuga o la cambian por otra menos segura. En un estudio realizado por la Universidad Carnegie Mellon, solo una de cada tres personas con cuentas en un dominio que se sabía que había sido vulnerado cambió su contraseña después.
Además, debido al elevado número de incidentes de fugas de datos conocidos — solo en 2022 se robaron más de 700 millones de credenciales —, la adquisición de credenciales de usuario robadas suele ser bastante fácil para los atacantes que tienen los recursos para comprarlas.
Una vez que los atacantes han descifrado las credenciales de una cuenta de usuario legítima, pueden utilizar esas combinaciones para atacar a varias organizaciones. Por ejemplo, si las credenciales profesionales de un empleado quedan expuestas en una fuga y se venden en la web oscura, los atacantes pueden utilizar esas credenciales para atacar aplicaciones bancarias populares u otros objetivos de alto valor, lo que puede provocar pérdidas adicionales si la víctima utiliza la misma contraseña para acceder a varias plataformas.
La responsabilidad del acceso seguro
Cuando se trata de protegerse contra el relleno de credenciales y la apropiación de cuentas, la responsabilidad del acceso seguro recae tanto en los usuarios individuales como en las organizaciones. La práctica de crear contraseñas seguras es importante, pero no basta para defenderse de los ataques si no se aplican otras medidas de seguridad.
Por ejemplo, las organizaciones que confían en la autenticación de un solo factor (p. ej. solo requieren un nombre de usuario/contraseña) pueden exponer involuntariamente a sus usuarios a un mayor riesgo de apropiación de cuentas, ya que los atacantes solo necesitan llevar a cabo una forma de ataque para vulnerar cuentas y sistemas protegidos.
Por el contrario, las organizaciones que aplican la autenticación multifactor, p. ej. que requieren una combinación de nombre de usuario y contraseña, así como un token físico único, que exigen a los usuarios que actualicen periódicamente sus contraseñas y que aplican medidas de seguridad Zero Trust, tienen muchas más probabilidades de afrontar los intentos de relleno de credenciales.
Implementación de medidas defensivas
Hay varios factores que pueden complicar los intentos de una organización de evitar el relleno de credenciales. Dado que estos ataques se basan en datos robados a otras empresas o adquiridos en la web oscura, las organizaciones pueden no ser conscientes de que sus usuarios están reutilizando credenciales en riesgo. Además, los atacantes a menudo automatizan sus intentos mediante software de relleno de credenciales, que utiliza bots maliciosos para bombardear los puntos finales de inicio de sesión con solicitudes.
A pesar de ello, hay varias estrategias que las organizaciones pueden implementar para proteger a sus usuarios y sus datos, tales como:
Exigir autenticación multifactor (MFA)
La mejor protección contra el robo de credenciales es proactiva. Las organizaciones que exigen a los usuarios que proporcionen varias formas de identificación para acceder a los sistemas y datos protegidos, pueden minimizar la probabilidad de que se produzca una fuga, incluso en el caso de usuarios que puedan estar reutilizando credenciales expuestas. Para reforzar aún más su postura de seguridad, también pueden exigir el restablecimiento de las contraseñas a intervalos regulares y especificar la longitud y los caracteres que deben contener las contraseñas de los usuarios.
Bloquea las solicitudes que utilicen credenciales expuestas
Aunque las herramientas de relleno de credenciales pueden enmascarar los intentos de inicio de sesión como legítimos, las organizaciones pueden configurar conjuntos de reglas de firewall de aplicaciones web (WAF) para comprobar estas solicitudes con bases de datos de credenciales robadas disponibles públicamente. Cuando hay una coincidencia, se puede presentar al usuario un desafío interactivo, o se puede denegar automáticamente la solicitud.
Implementa la seguridad Zero Trust
Zero Trust, un modelo de seguridad moderno que asume que las amenazas están presentes tanto dentro como fuera de la red de una organización, verifica continuamente cada usuario, dispositivo y solicitud. Zero Trust va más allá de la autenticación multifactor, ya que aplica el acceso con privilegios mínimos (es decir minimizando la exposición de los usuarios a datos confidenciales), validando la identidad y los permisos del dispositivo, y verificando la identidad del usuario en repetidas ocasiones. Estas prácticas, en su conjunto, ayudan a prevenir la intrusión, reducir la oportunidad de movimiento lateral y disminuir el impacto de una fuga eficaz.
Evita el robo de credenciales
Cloudflare, que se ha desarrollado sobre una red global eficaz que abarca 320 ciudades en más de 120, tiene una visión sin precedentes de los patrones de ataque actuales y emergentes. Esta ventaja ayuda a proteger mejor a los clientes frente a una amplia gama de ataques tanto automatizados como selectivos.
Cloudflare Zero Trust ayuda a las organizaciones a implementar requisitos de acceso estrictos para defender sus puntos finales de inicio de sesión frente a solicitudes no autorizadas. Además, las organizaciones pueden reducir su vulnerabilidad al robo de credenciales utilizando Cloudflare para limitar los intentos de inicio de sesión fallidos, identificar y bloquear el comportamiento de bots malintencionados y filtrar los intentos de acceso de fuentes potencialmente maliciosas mediante reglas de firewall personalizadas.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Consigue el informe sobre el estado de la seguridad de las aplicaciones para descubrir cómo Cloudflare ayuda a proteger las organizaciones contra el robo de credenciales y otras amenazas emergentes.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo los ataques de relleno de credenciales pueden propiciar la apropiación de cuentas
Por qué la autenticación multifactor no es suficiente para detener el relleno de credenciales
Estrategias para proteger tu organización contra ataques volumétricos