Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    Las cuentas comprometidas están siendo utilizadas como armas - Detenga ya el compromiso de credenciales

    by Christian Wimpelmann

    Key Points

    • Reforzar los métodos de autenticación y educar a los usuarios es fundamental para combatir el compromiso de las credenciales en un panorama digital cada vez más complejo.
    • La detección temprana a través de la visibilidad de los puntos finales y las líneas de base de comportamiento, combinada con respuestas rápidas e informadas, reduce significativamente las consecuencias de las cuentas comprometidas. 

    Compromiso de credenciales: lo que necesita saber

    Las cuentas de usuario comprometidas siempre han sido el riesgo de ciberseguridad más importante -y más sencillo- en la empresa. Las credenciales robadas fueron el vector elegido para más del 40% de los ataques en 2022, según el Informe de Verizon sobre investigaciones de filtraciones de datos en 2022. Las credenciales de usuario también constituyen el 63% de los datos robados, lo que demuestra claramente que su organización no es la única que comprende su valor.

    Al fin y al cabo, la forma más fácil de "entrar" en un sistema o acceder a datos o activos valiosos es disponer de la "llave" proporcionada por unas credenciales de usuario legítimas. Pero esta es la parte alarmante: La incidencia de credenciales comprometidas y cuentas de usuario comprometidas va en aumento.

    Cómo se ponen en peligro las credenciales

    El robo de credenciales no siempre comienza con exploits avanzados: la mayoría de los ataques con credenciales comprometidas empiezan con simples errores, una higiene digital deficiente o contraseñas reutilizadas. Los atacantes saben que es más fácil entrar con credenciales válidas que forzar la entrada.

    Entre las vías más comunes se incluyen:

    • Phishing e ingeniería social: El método más frecuente de robo de credenciales de inicio de sesión, a menudo disfrazado de solicitudes legítimas de restablecimiento de contraseña o de invitaciones a colaborar.
    • Ataques de fuerza bruta y de diccionario: Las herramientas automatizadas adivinan contraseñas comprometidas débiles o reutilizadas hasta conseguir el acceso.
    • Infostealers y keyloggers: El malware recopila de forma silenciosa las contraseñas almacenadas o los datos de autorrelleno de los navegadores y gestores de contraseñas.
    • Abuso de OAuth y tokens: Los atacantes engañan a los usuarios para que concedan permisos de acceso excesivos a aplicaciones maliciosas.
    • Reventa en la web oscura: Los vertidos masivos de credenciales de anteriores violaciones alimentan nuevas oleadas de abuso de credenciales en múltiples servicios

    Cada uno de estos puntos de entrada apunta al eslabón más débil -la confianza humana- y lo aprovecha para infiltrarse en los sistemas sin hacer saltar las alarmas de inmediato.

    Comprender el compromiso de credenciales en un mundo pospandémico 

    Según Microsoft, los ataques dirigidos a contraseñas y credenciales de usuario aumentaron un 74% en 2022, a un ritmo de 921 ataques por segundo. Un asombroso 75% de los ataques de ransomware operados por humanos también se ejecutaron con cuentas de usuario comprometidas que tenían acceso elevado. De hecho, las credenciales comprometidas son ahora la fuente más común de ciberataque a la que se enfrentan las organizaciones.

    ¿Qué hay detrás del aumento de cuentas comprometidas? Los empleados fueron la causa de 22% de las filtraciones de datos, de las cuales 36% fueron realizadas por empleados descontentos.  Y como señaló Verizon, uno de los tipos de datos más populares que engullen los ciberdelincuentes son las credenciales. La mayoría de las organizaciones se están adaptando a la idea de una fuerza de trabajo híbrida, y han ido a toda máquina con políticas en torno a BYOD, aplicaciones basadas en la nube para la productividad y el intercambio, y mucho más. En la era post-pandémica, todo esto se suma a un panorama digital mucho más amplio, o paisaje de amenazas. Más cuentas y más credenciales de usuario. Más actividad a distancia y fuera de la red.  Todo ello culmina en un mayor riesgo de infracción porque la seguridad de la identidad no puede seguir el ritmo con la suficiente rapidez. Tomemos esta estadística, por ejemplo: sólo el 40% de las empresas no disponen de MFA o disponen de un MFA débil, lo que deja muchos dispositivos y cuentas sin protección.

    Riesgos y consecuencias de las credenciales comprometidas

    Cuando las credenciales de inicio de sesión caen en las manos equivocadas, el daño va más allá de la pérdida de datos. El verdadero coste reside en el impacto operativo y en la reputación de una violación exitosa.

    • Exposición de datos: Las cuentas comprometidas dan a los atacantes acceso directo a información sensible, desde registros de clientes y propiedad intelectual hasta comunicaciones internas.
    • Perturbación del negocio: Los atacantes pueden explotar las credenciales comprometidas para desplegar ransomware o manipular transacciones financieras.
    • Sanciones reglamentarias: El acceso no autorizado a los datos viola a menudo las leyes de privacidad, lo que da lugar a multas e infracciones de cumplimiento.
    • Apropiación de cuentas (ATO): Los actores de la amenaza utilizan credenciales válidas para hacerse pasar por ejecutivos, restablecer la MFA o iniciar campañas internas de phishing.
    • Puntos ciegos en las operaciones de seguridad: Debido a que estas acciones parecen "legítimas", a menudo eluden las defensas perimetrales tradicionales y los umbrales de alerta.

    En resumen, las credenciales comprometidas no sólo abren una puerta, sino que crean una vía de confianza para que los atacantes operen de forma invisible.

    Tipos de robo de credenciales

    Existen innumerables variedades de ataques, esquemas y complots para cosechar credenciales comprometidas. Pero la mayoría pueden dividirse en tres categorías:

    • Ataques de fuerza bruta: Un ataque de fuerza bruta implica la comprobación o adivinación sistemática de la contraseña de una cuenta objetivo. El atacante utiliza generalmente algoritmos sofisticados para probar todas las combinaciones posibles hasta encontrar la correcta. 51% de los ciberdelincuentes emplean este sencillo método en su arsenal, debido a su comodidad y eficacia para descifrar la débil seguridad de la nube.
    • Relleno de credenciales: Gracias al aumento de las violaciones de datos en los últimos años, ahora hay inmensas cantidades de credenciales comprometidas disponibles para su compra en la web oscura, a menudo por unos céntimos cada una. En un ataque de relleno de credenciales, un ciberdelincuente compra credenciales comprometidas y luego las "rellena" en páginas de inicio de sesión de sistemas, redes y aplicaciones hasta que tropieza con una cuenta de usuario comprometida. Esto también se conoce como reciclaje de credenciales, ya que esencialmente utiliza las credenciales comprometidas robadas en un ataque anterior (normalmente de fuerza bruta). Cybersecurity Insiders informa de que el 34% de las organizaciones sufrieron ataques de relleno de credenciales.
    • Ingeniería social (phishing): Aún más común que adivinar contraseñas o comprar credenciales comprometidas es utilizar esquemas creativos de ingeniería social como el phishing para robar credenciales. IBM informa de que el phishing fue el principal método para hacerse con las credenciales en más del 41% de las organizaciones, y que en el 62% de esos ataques se empleó el spear phishing. Y para demostrarlo, la frecuencia de los ataques de phishing creció un 50% hacia finales de 2022, destacando IBM que los ataques exitosos expusieron las credenciales de los usuarios y costaron una media de 4,91 millones de dólares en daños.

    ¿Cómo puede prevenir las credenciales comprometidas?

    1. Pasar a una autenticación sin contraseña y "resistente al phishing

    La forma más eficaz de reducir el riesgo de robo de contraseñas es dejar de utilizarlas como mecanismo principal de autenticación.  Varios proveedores de identidad como servicio (IDaaS) ofrecen ahora mecanismos de autenticación sin contraseña que permiten a los usuarios iniciar sesión sin problemas en los sistemas con su huella dactilar o reconocimiento facial. No sólo es una forma más segura de autenticación, sino que también reduce la fricción, ya que es una forma más fácil de iniciar sesión para sus usuarios finales.

    2. Implemente una política de contraseñas segura

    Si la ausencia de contraseña no es una opción para su organización, otra forma eficaz de mitigar el riesgo de credenciales comprometidas es simplemente hacer que las propias credenciales sean más difíciles de comprometer. Eso significa desarrollar y aplicar una política de contraseñas seguras que exija a todos los usuarios seguir las mejores prácticas establecidas para crear -y cambiar regularmente- contraseñas seguras, así como asegurarse de que las contraseñas no se reutilizan en distintos dispositivos, aplicaciones u otras cuentas.

    3. Forme a sus usuarios

    Las credenciales comprometidas y las cuentas de usuario comprometidas caen bajo el paraguas del riesgo interno, y el riesgo interno es un problema de personas. Una de las formas más eficaces de resolver los problemas de la gente es hablar con su gente. Sin embargo, un tercio de los trabajadores afirma que sus organizaciones no les han proporcionado ninguna formación adicional sobre ciberseguridad desde que la pandemia cambió drásticamente dónde, cuándo y cómo trabajan. Impartir formación periódica sobre las mejores prácticas de gestión de contraseñas y sobre cómo reconocer y evitar las estafas de phishing puede ser de gran ayuda.

    4. Utilice un gestor de contraseñas

    Una de las formas más sencillas de ayudar a sus usuarios a mantener contraseñas seguras es utilizar un gestor de contraseñas. Estas herramientas son omnipresentes y cada vez más económicas y fáciles de usar. Pero las dos cosas que hay que recordar aquí son: 1) asegúrese de que el propio gestor de contraseñas es seguro y está bien protegido contra la piratería informática, y 2) asegúrese de que los usuarios aprovechan la función de autogeneración, disponible en casi todos los gestores de contraseñas actuales, que genera contraseñas (y las recuerda) con una complejidad y aleatoriedad mucho mayores de lo que un humano podría jamás.

    5. Utilice la autenticación multifactor (MFA)

    La AMF puede detener fácilmente a un atacante en seco. Puede que tengan credenciales comprometidas, pero es casi seguro que no tendrán acceso a la forma secundaria (o terciaria) de verificación de la identidad (como un código de acceso de un solo uso enviado al dispositivo móvil del usuario legítimo).  Y las organizaciones están empezando a tratar la AMF como una necesidad, no como un lujo - Yubico informa que más de 24% de las empresas están implementando activamente la AMF de nueva generación resistente al phishing que está en línea con las directivas federales, mientras que otras 32% lo están considerando.

    6. Centrarse en las cuentas privilegiadas

    El objetivo final de los ataques con credenciales comprometidas es obtener acceso a datos o activos valiosos, por lo que no es sorprendente que los empleados de alto rango y otras personas con acceso privilegiado sean los mayores objetivos. La solución es doble: En primer lugar, centrarse en auditar los privilegios de acceso. El informe de Verizon reveló que más del 80% de los empleados abusan de su nivel de acceso, un argumento lo suficientemente sólido como para invocar el principio del menor privilegio. En segundo lugar, intensifique los protocolos de gestión de acceso para sus cuentas privilegiadas (ahora auditadas). Microsoft señala que en el 88% de los ataques de ransomware, no se implementó la AMF para las cuentas sensibles y con privilegios elevados, mientras que el informe de Yubico concluye que sólo los administradores de TI, sus equipos y terceros estaban suficientemente cubiertos con la AMF.

    Cómo identificar el compromiso de credenciales antes de que se dañe la cuenta

    Al igual que otras formas de amenazas y riesgos internos, las credenciales comprometidas se derivan en última instancia de cuestiones relacionadas con el factor humano: una higiene deficiente de las contraseñas, caer en esquemas de phishing, etc. La ventaja es que los pequeños cambios pueden tener un impacto significativo en los riesgos del factor humano; la desventaja es que los humanos siempre serán imperfectos (y los ciberdelincuentes son increíblemente eficientes a la hora de aprovechar los errores de los usuarios), por lo que las cuentas de usuario comprometidas no pueden prevenirse por completo. Así que, aunque invertir tiempo y presupuesto en la prevención merece la pena, también es fundamental invertir en estrategias para detectar las anomalías y anormalidades que señalan las cuentas comprometidas, e investigar y responder con rapidez y eficacia.

    Asegúrese de tener visibilidad de los puntos finales: remotos, en la nube, dentro y fuera de la red

    Las primeras señales de humo de credenciales comprometidas suelen llegar en los dispositivos endpoint de los usuarios. Por lo tanto, los equipos de seguridad necesitan tener visibilidad de los puntos finales, que se extienda tanto a la actividad dentro como fuera de la red, ya que los modelos de trabajo remotos y flexibles implican que los usuarios trabajan cada vez más fuera de la VPN. Si aún no lo ha hecho, automatizar la gestión del inventario de puntos finales es el primer paso para obtener esa visibilidad. También debe tener visibilidad de la actividad en la web y en la nube, ya que el correo electrónico alojado en la web y en la nube es ahora la norma en muchas organizaciones.

    Establezca una línea de base para lo "normal" - Así podrá obtener una señal clara del riesgo real

    Si puede ver toda la actividad de los usuarios y de los archivos, incluso en los puntos finales, en la web y en la nube, es mucho más fácil responder a la pregunta: "¿Qué aspecto tiene lo normal?" Esta línea de base le ayuda a sintonizar el ruido de la actividad diaria -todo el movimiento de archivos y datos que define la cultura de colaboración moderna- y a reconocer con mayor rapidez y precisión cuándo los comportamientos de los usuarios se salen de las normas. En resumen, cuando empiece a ver que los usuarios acceden, mueven, renombran o comparten archivos de formas o en momentos que no se ajustan al patrón, tendrá una señal de riesgo de alta fidelidad que sabrá que requiere un examen más detallado inmediato.

    Acelere su investigación y respuesta - Mitigue los daños

    La misma visibilidad contextual profunda de toda la actividad de usuarios y archivos es un poderoso combustible para acelerar su investigación y respuesta a cuentas de usuarios potencialmente comprometidas. Los equipos de seguridad pueden indagar rápidamente en la información contextual sobre el movimiento de archivos y datos para identificar qué cuentas de usuario se vieron afectadas, a qué sistemas o activos se accedió y qué datos o archivos se vieron afectados, hasta ver cuándo y dónde se movieron estos valiosos datos. La investigación exhaustiva impulsa una respuesta rápida y adecuada, ya sea bloqueando cuentas o dispositivos, emprendiendo acciones legales proactivas para proteger a la empresa o remitiendo el incidente a las autoridades para que respondan. Además, la visibilidad inmediata, profunda y contextual acorta el tiempo desde la "detección de las credenciales comprometidas" hasta la "neutralización de la amenaza", ayudando a mitigar y minimizar los daños de una cuenta de usuario comprometida con éxito.

    Obtenga más información sobre cómo Mimecast Incydr puede ayudarle a detectar credenciales comprometidas y a protegerse contra la pérdida de datos de cuentas de usuario comprometidas.

    Related Articles

    Insider Risk Management Data Protection
    La recuperación del ransomware bien hecha: Una guía de 6 pasos
    Insider Risk Management Data Protection
    5 formas de reforzar su cultura de ciberseguridad
    Insider Risk Management Data Protection
    Las 4 personas humanas de riesgo que sabotean su ciberseguridad

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top