El malware Infostealer representa uno de los riesgos más significativos y a menudo subestimados para las defensas de seguridad de la información de las empresas. Estos ciberdelincuentes especializados en la obtención de datos infectan computadoras y proceden a robar todas las credenciales almacenadas en los navegadores, así como las cookies de sesiones activas y otros datos relevantes. Posteriormente, exportan esta información a la infraestructura de control y comando (C2), a menudo antes de finalizar su operación de manera automática.
En este artículo nos adentraremos en las diferentes tácticas empleadas por los actores de amenazas para utilizar estas credenciales y comprometer la infraestructura de tecnología de la información, lo que puede desembocar en violaciones de datos y la distribución de ransomware. Sin embargo, no solo los ladrones de información representan una amenaza para las credenciales. Las filtraciones de credenciales provenientes de fuentes tradicionales siguen siendo un riesgo significativo y constante para las organizaciones.
No es sorprendente que la mayoría de los usuarios utilicen las mismas contraseñas en numerosas aplicaciones, lo que brinda una oportunidad perfecta para que los actores de amenazas intenten acceder por fuerza bruta a servicios SaaS y aplicaciones locales.
Podría interesarte leer: Contraseñas Seguras vs Ataques de Fuerza Bruta
¿Cómo se obtienen las credenciales robadas?
Existen varias formas de obtener credenciales robadas, pero las más comunes son las siguientes:
- Phishing: Se trata de enviar correos electrónicos falsos que simulan ser de una entidad o servicio legítimo, y que solicitan al usuario que introduzca sus credenciales en una página web fraudulenta. De esta forma, el ciberdelincuente consigue capturar los datos y usarlos para acceder a la cuenta real del usuario.
- Malware: Son programas maliciosos que se instalan en el dispositivo del usuario, ya sea mediante la descarga de un archivo adjunto, la visita a una página web infectada, o el uso de una unidad extraíble. Estos programas pueden registrar las pulsaciones del teclado, capturar las pantallas, o robar los datos almacenados en el navegador o en otras aplicaciones. Así, el ciberdelincuente puede obtener las credenciales que el usuario usa para acceder a diferentes servicios en línea.
- Fuerza bruta: Se trata de probar diferentes combinaciones de nombres de usuario y contraseñas hasta dar con la correcta. Para ello, se usan programas automatizados que aprovechan las debilidades de los sistemas de autenticación, como la falta de límites de intentos, la ausencia de verificación en dos pasos, o el uso de contraseñas débiles o comunes.
- Brechas de datos: Se trata de aprovechar las vulnerabilidades de los sistemas de seguridad de las empresas o servicios en línea, para acceder a sus bases de datos y extraer las credenciales de sus usuarios. Estas brechas pueden ser causadas por ataques externos o por errores internos, y pueden afectar a millones de usuarios.
Conoce más sobre: 5 Tácticas Anti-Relleno de Credenciales
Categorías de Credenciales Filtradas
Para comprender con mayor claridad las credenciales filtradas, resulta útil clasificarlas en diferentes categorías según el método de filtración y el riesgo que representan para la organización.
Jason Haddix introdujo este enfoque con el propósito de permitir a los profesionales de la seguridad comunicar de manera efectiva los riesgos asociados con las filtraciones de credenciales de una manera sencilla y accesible para gerentes y ejecutivos corporativos.
Credenciales Filtradas de Nivel 1
Las credenciales filtradas de nivel 1 son el resultado de violaciones en aplicaciones o servicios de terceros, donde las contraseñas de todos los usuarios de dicho servicio se ven comprometidas y posteriormente se distribuyen en un volcado de datos en la web oscura (Dark Web). Esto es lo que generalmente viene a la mente cuando se habla de "credenciales filtradas".
Por ejemplo, supongamos que la empresa ficticia SecureTwo cuenta con cientos de miles de inicios de sesión de consumidores. Los atacantes logran vulnerar SecureTwo y acceder al sistema de gestión de acceso e identidad, robando así estas credenciales y filtrándolas en la web oscura.
Aunque SecureTwo puede aplicar fácilmente un restablecimiento de contraseñas para todos los usuarios afectados, es probable que estos usuarios hayan reutilizado la misma contraseña en múltiples servicios. Esta filtración permite a los actores de amenazas emplear herramientas de fuerza bruta o pentesting para intentar acceder a las cuentas de miles de usuarios en otros servicios donde pudieran haber utilizado la misma contraseña.
Te podrá interesar leer: Pentesting: Desafiando y Fortaleciendo tus Sistemas
Defensa contra Credenciales Filtradas de Nivel 1
Existen diversas defensas ampliamente investigadas que las organizaciones pueden utilizar para reducir este riesgo. En primer lugar, es crucial monitorear una base de datos de credenciales filtradas en busca de las direcciones de correo electrónico de los trabajadores de la empresa. Esto, por sí solo, puede marcar una gran diferencia, ya que los actores de amenazas suelen buscar contraseñas asociadas con correos electrónicos corporativos para facilitar la filtración de datos.
En segundo lugar, se recomienda exigir a los usuarios que cambien sus contraseñas de forma periódica según un cronograma establecido. De esta manera, si una contraseña específica se ve comprometida, otras credenciales corporativas ya habrán sido actualizadas.
Por último, se aconseja la implementación de un administrador de contraseñas con una política que requiera que los trabajadores generen contraseñas aleatorias para varias aplicaciones y las almacenen de forma segura. Esto reduce el riesgo de que los empleados realicen cambios mínimos en las contraseñas, mejorando la seguridad de las cuentas.
Conoce más sobre: Importancia de cambiar regularmente tus contraseñas
Credenciales Filtradas Nivel 2
Las credenciales filtradas de nivel 2 plantean un riesgo especial tanto para las empresas como para los usuarios. Estas credenciales son obtenidas directamente del usuario a través de malware de robo de información que extrae todas las contraseñas almacenadas en el navegador.
Consideramos que las credenciales filtradas de nivel 2 presentan un riesgo significativamente mayor por las siguientes razones, tanto para la empresa como para el usuario:
-
Un solo registro de ladrón puede contener todas las credenciales guardadas por el usuario en su navegador. Esto crea una oportunidad ideal para que los actores de amenazas utilicen la ingeniería social sobre la víctima, el equipo de soporte de TI o incluso la propia empresa que pueda utilizar la información de la víctima.
-
Estos registros incluyen el nombre de usuario, la contraseña y el host en texto plano para las credenciales, a menudo para cientos de inicios de sesión diferentes. Los actores de amenazas obtienen una ventaja significativa al tener acceso a numerosas variaciones de contraseñas utilizadas por el usuario.
-
Estos registros a menudo contienen datos que pueden completar formularios con respuestas a preguntas secretas, lo que puede utilizarse eficazmente para eludir sitios web con preguntas de seguridad.
Podría interesarte leer: Contraseña Perfecta: ¿Cuántos Caracteres para Seguridad Óptima?
Credenciales Filtradas Nivel 3
El nivel 3 de filtración de credenciales también proviene de registros de ladrones, pero representa un riesgo extremadamente alto para la organización. Los registros de ladrones recientes a menudo incluyen cookies de sesión activas que los actores pueden utilizar para llevar a cabo ataques de secuestro de sesión, haciéndose pasar por la víctima y potencialmente eludiendo los controles de autenticación de dos factores (2FA) y autenticación de múltiples factores (MFA).
La detección de un nuevo registro de ladrón que contiene credenciales corporativas debería dar lugar a una investigación inmediata del incidente, ya que es muy probable que las contraseñas sean válidas y que los actores puedan acceder directamente a los recursos corporativos.
Defensa contra Credenciales Filtradas de Nivel 3
Cuando sea posible, se recomienda establecer un tiempo de vida corto (TTL) para las cookies de sesión de aplicaciones corporativas. Esto reduce el riesgo de que las cookies de sesión sigan siendo válidas en caso de que se distribuyan como resultado de una infección de robo de información.
Conoce más sobre: Ventas en la Dark Web: Datos y Riesgos de Pagos
La autenticación multifactor no es una solución infalible
La autenticación multifactor no es una solución milagrosa para ti. Si no estás monitoreando tus credenciales filtradas, es probable que tengas autenticación de un solo factor habilitada para muchos de tus trabajadores, ya que es probable que muchas de sus contraseñas estén expuestas.
Tienes la impresión de que tener la autenticación de dos factores habilitada es suficiente protección contra el robo de credenciales, pero la realidad, como hemos visto muchas veces, es que los actores de amenazas son conscientes de la barrera que impone la 2FA y tienen técnicas y estrategias para superar ese obstáculo.
La mejor defensa contra ese tipo de ataques es para ti usar aplicaciones de autenticación, que cuentan con códigos rotativos temporales en lugar de contraseñas de un solo uso que puedes recibir por correo electrónico o SMS, ya que estas aplicaciones suelen ser mucho más seguras y, hasta cierto punto, garantizan que tengas el control de (normalmente) un segundo dispositivo.
Te podrá interesar leer: Microsoft Authenticator: Seguridad de las Cuentas Microsoft
Conclusión
En resumen, el robo de credenciales sigue siendo un desafío significativo en la seguridad cibernética. La combinación de educación, tecnología avanzada y buenas prácticas puede ayudar a mitigar este riesgo. Es crucial que tanto individuos como organizaciones se mantengan informados y proactivos en la protección de sus credenciales digitales.