Cómo proteger sus cuentas en línea de los ataques de suplantación de credenciales

Con tantos sitios web y aplicaciones que requieren credenciales de usuario únicas, es decir, nombre de usuario y contraseña, puede ser tentador usar las mismas credenciales en todas estas plataformas.

De hecho, según el informe de divulgación de identidad anual de Spycloud 2022, que analizó más de 15 mil millones de credenciales comprometidas disponibles en sitios subterráneos criminales, descubrió que el 65 por ciento de las contraseñas comprometidas se usaban para al menos dos cuentas.

Para los usuarios que reutilizan las credenciales en diferentes plataformas, esto puede parecer una forma ingeniosa de evitar olvidar las contraseñas, pero en realidad es un desastre pendiente.

Si se piratean un sistema y se capturan sus credenciales, todas las demás cuentas que usan las mismas credenciales corren el riesgo de verse comprometidos. Dado que las credenciales comprometidas son baratas en la web oscura, puede convertirse fácilmente en una víctima del relleno de credenciales.

El secuestro de credenciales es un ataque cibernético en el que los atacantes usan credenciales robadas para una cuenta o sistema en línea para tratar de obtener acceso a otras cuentas o sistemas en línea no relacionados.

Un ejemplo de esto es cuando un atacante obtiene acceso a su nombre de usuario y contraseña para su cuenta de Twitter y utiliza esas credenciales comprometidas para intentar acceder a su cuenta de PayPal.

Si usa las mismas credenciales de Twitter y PayPal, su cuenta de PayPal será secuestrada debido a la violación de sus credenciales de Twitter.

Si usa sus credenciales de Twitter para múltiples cuentas de red, esas cuentas de red también pueden verse comprometidas. Este ataque se conoce como inserción de credenciales y aprovecha el hecho de que muchos usuarios reutilizan las credenciales en múltiples cuentas en línea.

Los atacantes que realizan ataques de falsificación de credenciales generalmente usan bots para automatizar y escalar el proceso. Esto les permite utilizar una gran cantidad de credenciales comprometidas y apuntar a múltiples plataformas en línea. Con las credenciales comprometidas que se filtran a través de violaciones de datos y se venden en la web oscura, los ataques de relleno de credenciales se han vuelto comunes.

Cómo funciona el relleno de credenciales

Un ataque de relleno de credenciales comienza con la obtención de credenciales comprometidas. Estos nombres de usuario y contraseñas se pueden comprar en Darknet, a los que se accede desde los sitios de volcado de contraseña u obtenidos a través de infracciones de datos y ataques de phishing.

El siguiente paso implica configurar bots para verificar las credenciales robadas en diferentes sitios web. Los bots automatizados son una herramienta para ataques de relleno de credenciales porque los bots pueden realizar subrepticiamente la sustitución de credenciales utilizando una gran cantidad de credenciales para muchos sitios web a altas velocidades.

El problema del bloqueo de la dirección IP después de varios intentos de inicio de sesión fallidos también se resuelve mediante bots.

Cuando se lanza un ataque de relleno de credencial, los procesos automáticos para rastrear inicios de sesión exitosos también se lanzan en paralelo con el ataque de relleno de credenciales. De esta manera, los atacantes pueden obtener fácilmente credenciales que funcionan en ciertos sitios en línea y usarlas para hacerse cargo de la cuenta en las plataformas.

Una vez que los atacantes han obtenido acceso a la cuenta, lo que pueden hacer con ella se deja a su discreción. Los atacantes pueden vender las credenciales a otros atacantes, robar información confidencial de la cuenta, verificar la identidad o usar la cuenta para realizar compras en línea si una cuenta bancaria está comprometida.

Por qué los ataques de relleno de credenciales son efectivos

El relleno de credenciales es un ataque cibernético con una tasa de éxito muy baja. De hecho, según el informe de la economía de los ataques de relleno de credenciales de Insikt Group, que es el brazo de investigación del futuro registrado, la tasa de éxito promedio de los ataques de relleno de credenciales es entre un y tres por ciento.

A pesar de la baja tasa de éxito, Akamai Technologies señaló en su informe de Internet y de seguridad de 2021 que Akamai registró 193 mil millones de ataques de falsificación de credenciales en todo el mundo en 2020.

La razón de la gran cantidad de ataques de falsificación de credenciales y por qué se están volviendo más frecuentes es el número de credenciales comprometidas disponibles y el acceso a herramientas de bots avanzadas que hacen que los ataques de credenciales sean más efectivos y casi indistinguibles de los intentos de inicio de sesión humanos.

Por ejemplo, incluso con una baja tasa de éxito del uno por ciento, si un atacante tiene 1 millón de credenciales comprometidas, puede comprometer alrededor de 10, 000 cuentas. Se venden grandes volúmenes de credenciales comprometidas en Darknet, y estos grandes volúmenes de credenciales comprometidas se pueden reutilizar en múltiples plataformas.

Estos grandes volúmenes de credenciales comprometidas conducen a un aumento en el número de cuentas comprometidas. Esto, combinado con el hecho de que las personas continúan reutilizando sus credenciales en múltiples cuentas en línea, los ataques de falsificación de credenciales se vuelven muy efectivos.

Completar credenciales vs. bruta ataques de fuerza

Aunque la inserción de las credenciales y los ataques de fuerza bruta son ataques de adquisición de cuentas, y el Proyecto de Seguridad de Aplicaciones Web Open (OWASP) considera que la inserción de las credenciales es un subconjunto de ataques de fuerza bruta, difieren en cómo se ejecutan.

En un ataque de fuerza bruta, un atacante intenta hacerse cargo de una cuenta adivinando un nombre de usuario o contraseña, o ambos. Esto generalmente se hace probando tantas combinaciones de nombre de usuario y contraseña como sea posible sin contexto o pistas sobre lo que podrían ser.

La fuerza bruta puede usar plantillas de contraseña de uso común o un diccionario de frases de contraseña de uso común como Qwerty, contraseña o 12345. Un ataque de fuerza bruta puede tener éxito si el usuario usa contraseñas débiles o contraseñas de sistema predeterminadas.

Un ataque de credencial, por otro lado, intenta hacerse cargo de una cuenta utilizando credenciales comprometidas obtenidas de otros sistemas o cuentas en línea. En Credencial Fill Attack, el atacante no adivina las credenciales. El éxito de un ataque de credenciales depende de que el usuario reutilice sus credenciales en múltiples cuentas en línea.

En general, los ataques de fuerza bruta tienen una probabilidad de éxito mucho menor que el relleno de credenciales. Los ataques de fuerza bruta se pueden prevenir mediante el uso de contraseñas seguras. Sin embargo, el uso de contraseñas seguras no puede evitar la suplantación de credenciales si múltiples cuentas utilizan una contraseña segura. El relleno de credenciales se evita mediante el uso de credenciales únicas en cuentas de red.

Cómo detectar ataques de parodia de credenciales

Los actores de amenaza de credenciales típicamente usan bots que imitan a los agentes humanos, y a menudo es muy difícil distinguir entre un intento de inicio de sesión de una persona real y un bot. Sin embargo, todavía hay signos que pueden indicar un ataque de falsificación de credenciales continuas.

Por ejemplo, un aumento repentino en el tráfico web debería generar sospechas. Si este es el caso, monitoree los intentos de inicio de sesión en el sitio web, y si hay un aumento en el número de intentos de inicio de sesión para múltiples cuentas de múltiples direcciones IP o un aumento en la frecuencia de los intentos de inicio de sesión fallidos, esto podría indicar un relleno de credencial continuoataque.

Otra indicación de un ataque de relleno de credencial es un usuario que se queja de que su cuenta ha sido bloqueada o recibió notificaciones de intentos de inicio de sesión fallidos que no han hecho.

Además, monitoree la actividad del usuario, y si nota la actividad inusual del usuario, como hacer cambios en su configuración, información de perfil, transferencias de dinero y compras en línea, esto podría indicar un ataque de falsificación de credenciales.

Cómo protegerse de la suplantación de credenciales

Hay varios pasos que puede tomar para evitar convertirse en una víctima de ataques de falsificación de credenciales. Éstas incluyen:

№1. Evite reutilizar las mismas credenciales en múltiples cuentas.

Insertar credenciales depende de las credenciales para compartir el usuario para múltiples cuentas en línea. Esto se puede evitar fácilmente mediante el uso de credenciales únicas para diferentes cuentas en línea.

Con administradores de contraseñas como Google Password Manager, los usuarios aún pueden usar contraseñas únicas sin preocuparse por olvidar sus credenciales. Las empresas también pueden hacer cumplir esto al no permitir el uso del correo electrónico como nombre de usuario. De esta manera, es más probable que los usuarios usen credenciales únicas en todas las plataformas.

№ 2. Use la autenticación multifactor (MFA)

La autenticación multifactor es el uso de múltiples métodos para autenticar la identidad de un usuario que intenta iniciar sesión. Esto se puede lograr combinando métodos tradicionales de autenticación de nombre de usuario y contraseña junto con un código de seguridad secreto que se transmite a los usuarios por correo electrónico o mensaje de texto. para confirmar aún más su identidad. Esto es muy efectivo para prevenir el relleno de credenciales, ya que agrega una capa adicional de seguridad.

Incluso puede hacerle saber cuándo alguien intenta comprometer su cuenta, ya que obtiene un código de seguridad sin pedirlo. MFA es tan efectivo que un estudio de Microsoft encontró que las cuentas en línea tienen un 99. 9% menos de probabilidades de verse comprometidas si usan MFA.

№3. Huellas dactilares del dispositivo

Las huellas dactilares del dispositivo se pueden usar para asociar el acceso a una cuenta en línea con un dispositivo específico. Las huellas dactilares del dispositivo identifican el dispositivo utilizado para acceder a una cuenta utilizando información como el modelo y el número de dispositivos, el sistema operativo utilizado, el lenguaje y el país, entre otras cosas.

Esto crea una huella digital de dispositivo única, que luego se asocia con la cuenta del usuario. El acceso a la cuenta usando otro dispositivo no está permitido sin la autorización proporcionada por el dispositivo asociado con la cuenta.

№ 4. Tenga cuidado con las filtraciones de contraseña

Cuando los usuarios intentan crear nombres de usuario y contraseñas para una plataforma en línea, en lugar de solo verificar la fuerza de las contraseñas, las credenciales se pueden verificar con contraseñas filtradas publicadas. Esto ayuda a evitar que se utilicen las credenciales que luego pueden ser explotadas.

Las organizaciones pueden implementar soluciones que rastrean las credenciales de los usuarios contra las credenciales filtradas en Darknet y notifiquen a los usuarios cuándo se detecta una coincidencia. Se puede pedir a los usuarios que confirman su identidad de varias maneras, cambien sus credenciales e implementen MFA para proteger aún más su cuenta.

№ 5. credencial hash

Esto implica cifrar las credenciales del usuario antes de que se almacenen en la base de datos. Esto ayuda a proteger contra el mal uso de las credenciales en caso de una fuga de sistemas, ya que las credenciales se almacenarán en un formato que no se puede utilizar.

Si bien este no es un método seguro, puede dar tiempo a los usuarios para cambiar sus contraseñas en caso de una violación de datos.

Ejemplos de ataques de acolchado de credenciales

Algunos ejemplos bien conocidos de ataques de credenciales incluyen:

• El robo de más de 500, 000 credenciales de zoom en 2020. Este ataque de semilla de credencial se ejecutó utilizando nombres de usuario y contraseñas obtenidas de varios foros web oscuros con credenciales de ataques que datan de 2013. Las credenciales de zoom robadas se pusieron a disposición en foros web oscuros. red y vendida a bajo precio a los compradores dispuestos
• Comprometidos miles de cuentas de usuario de la Agencia de Ingresos Canadienses (CRA). En 2020, aproximadamente 5. 500 cuentas de CRA se vieron comprometidas en dos ataques de credenciales separados, dejando a los usuarios no poder acceder a los servicios ofrecidos por la CRA.
• Comprometidos 194, 095 cuentas de usuario de la cara norte. El North Face es una compañía que vende ropa deportiva. En julio de 2022, sufrió un ataque credencial de falsificación. El ataque robó el nombre completo de un usuario, el número de teléfono, el género, los puntos de lealtad, la dirección de facturación y envío, la fecha de creación de cuentas y el historial de compras.
• Ataque de credenciales de Reddit en 2019. Varios usuarios de Reddit han sido bloqueados de sus cuentas después de que sus credenciales se vieron comprometidas en los ataques de credenciales.

Estos ataques destacan la importancia de la necesidad de protegerse de tales ataques.

Conclusión

Es posible que te hayas encontrado con vendedores de credenciales para sitios de transmisión como Netflix, Hulu y disney+, o servicios en línea como Grammarly, Zoom y Turnitin, entre otros.¿De dónde cree que los minoristas obtienen sus credenciales?

Bueno, estas credenciales probablemente se obtienen a través de ataques de suplantación de credenciales. Si está utilizando las mismas credenciales en varias cuentas en línea, es hora de cambiarlas antes de convertirse en una víctima.

Para protegerse aún más, implemente la autenticación multifactor en todas sus cuentas en línea y evite comprar credenciales comprometidas, ya que esto crea un entorno favorable para los ataques de suplantación de credenciales.