Explicación de los ataques de Credential Stuffing (y cómo prevenirlos)

Actualizado: 2022-07-29 / Artículo por: Gene Fay
Cómo funcionan los ataques de relleno de credenciales

La clave para saber cómo prevenir los ataques de Credential Stuffing es entender qué son, cómo se llevan a cabo y cómo pueden afectar su negocio y sus datos.

En pocas palabras, un ataque de relleno de credenciales es una coincidencia automática de nombres de usuario y contraseñas robados que los delincuentes pueden usar para encontrar combinaciones válidas de credenciales de inicio de sesión. Este enfoque impulsa los ataques de apropiación de cuentas y, por lo general, tiende a precederlos. Los delincuentes deben acceder primero a las cuentas antes de que puedan apoderarse de ellas y utilizarlas para sus propios fines.

Los ataques de relleno de credenciales representan un porcentaje significativo de todos los tipos de ataques en línea. De hecho, casi el 5% de todo el tráfico digital se relaciona con estos ataques.

El aumento reciente de los ataques de Credential Stuffing se debe a un robo continuo y, en algunos casos, altamente rentable de la información personal de los consumidores a través de filtraciones de datos periódicas. Los consumidores que reutilizan y reciclan contraseñas en sus cuentas en línea corren un riesgo particular.

Esencialmente, esto significa que si un atacante puede acceder a una única combinación válida de nombre de usuario y contraseña en uso por una sola persona en varias cuentas en línea, todas estas cuentas pueden verse comprometidas fácilmente y en un período de tiempo relativamente corto.

¿Cómo funcionan los ataques de relleno de credenciales?

Hay tres fases principales en cualquier ataque de relleno de credenciales:

  1. Recolección de datos
  2. Coincidencia de credenciales
  3. Monetización de un ataque

Los atacantes suelen utilizar bots para automatizar el proceso de validación de credenciales y encontrar combinaciones válidas de nombres de usuario y contraseñas. Estos poderosos bots pueden hacer coincidir miles de contraseñas con nombres de usuario para encontrar combinaciones válidas que puedan usarse para obtener acceso no deseado a cuentas digitales. Este enfoque permite a los atacantes escalar sus esfuerzos y aumentar su ROI mientras causan un daño considerable tanto a las empresas como a las personas.

¿Qué tan comunes son los ataques de Credential Stuffing?

Estos ataques digitales son muy comunes y prevalecen en una amplia gama de industrias y dominios en línea. A veces, incluso los llevan a cabo bots automatizados en lugar de personas. Los bots altamente avanzados con capacidades de inteligencia artificial están fácilmente disponibles para los atacantes, quienes incluso pueden acceder a los servicios de soporte para ayudarlos en sus ataques. Esta tecnología facilita que los atacantes ejecuten ataques a gran escala utilizando bots a un costo mínimo para ellos.

Muchos atacantes también conocen las técnicas básicas de defensa contra el fraude y pueden usar este conocimiento para circunnavegar y explotar los sistemas tecnológicos en su beneficio. Una vez que han violado una red, pueden usar bots para explorar internamente, robar datos privados e interrumpir las operaciones y los sistemas de seguridad de las empresas.

Comprender las estadísticas

Plataforma gratuita de notificación de violación de datos HaveIBeenPwnd.com rastrea más de 8.5 millones de credenciales comprometidas de más de 400 eventos de violación de datos. El servicio solo rastrea las credenciales de los conjuntos de datos que están abiertos al público o que se distribuyeron ampliamente utilizando plataformas clandestinas. Muchos volcados de bases de datos son privados y solo pequeños grupos de hackers pueden acceder a ellos.

Los ataques de Credential Stuffing están respaldados por una economía clandestina completa centrada en la venta de credenciales robadas y herramientas de soporte personalizadas para ayudar a los atacantes en sus esfuerzos. Estas herramientas utilizan "listas combinadas" que se recopilan a partir de diferentes conjuntos de datos después de que se descifran las contraseñas cifradas que se encuentran en los conjuntos de datos filtrados. Esencialmente, lanzar ataques de relleno de credenciales no requiere ningún conocimiento o habilidad especializada. Cualquiera que tenga suficiente dinero para comprar los datos y las herramientas que necesita puede ejecutar un ataque.

Los ataques de relleno de credenciales se han vuelto rentables, por tan solo $ 200 por cada 100,000 adquisiciones de cuentas (fuente).

La empresa de entrega de contenido y seguridad Akamai descubrió 193 2020 millones de ataques de Credential Stuffing a escala mundial solo en XNUMX. Este número llegó como un 360% de aumento sobre las cifras de 2019. Aunque parte de este aumento se puede atribuir a un seguimiento más extenso de más clientes. Algunas industrias, como la industria de servicios financieros, fueron atacadas con especial frecuencia. El informe de Akamai de mayo de 2021 citó varios picos en los volúmenes de estos ataques, incluido un solo día a fines de 2020 en el que se lanzaron más de mil millones de ataques.

Cómo detectar ataques

Los ataques de relleno de credenciales se lanzan a través de herramientas automatizadas y botnets que permiten el uso de proxies que distribuyen solicitudes no autorizadas a través de varias direcciones IP diferentes. Los atacantes también suelen configurar sus herramientas preferidas para imitar agentes de usuario auténticos: los encabezados que identifican los sistemas operativos y navegadores en los que consisten las solicitudes web.

Todo esto hace que sea difícil distinguir entre los ataques y los verdaderos intentos de inicio de sesión. Especialmente en sitios web con altos niveles de tráfico en los que una ola repentina de solicitudes de inicio de sesión no se destaca del comportamiento habitual de inicio de sesión. Dicho esto, un aumento en las tasas de fallas de inicio de sesión durante un período corto de tiempo puede indicar que se ha lanzado un ataque de relleno de credenciales contra un sitio web.

Hay muchas aplicaciones web cortafuegos y servicios similares que utilizan diagnósticos de comportamiento avanzados para detectar comportamientos de inicio de sesión sospechosos. Más, los propietarios de sitios web pueden tomar sus propias medidas para prevenir futuros ataques.

Leer más

Cómo prevenir ataques de relleno de credenciales

¿Eres un robot?

Los ataques de relleno de credenciales son una de las amenazas más importantes para las cuentas digitales de los usuarios de Internet en la actualidad, y esto también se aplica a las empresas. Las organizaciones, las pequeñas empresas y todos los demás deben tomar medidas de protección contra estas amenazas para garantizar que sus datos personales y organizacionales estén seguros.

Algunos de los más populares. prevención del relleno de credenciales Las técnicas incluyen:

  • CAPTCHA
    Los CAPTCHA son una forma de bot común que se utiliza para evitar ataques impulsados ​​por otros bots. Requieren que los usuarios de Internet resuelvan acertijos al iniciar sesión para asegurarse de que son humanos. Los CAPTCHA están disponibles en una variedad de versiones, que incluyen imágenes, texto, audio, suma matemática y más.
  • Inicios de sesión biométricos de comportamiento
    Algunas empresas han recurrido a analizar el comportamiento típico de los usuarios y los patrones de tráfico web para detectar amenazas. Pueden usar estos datos para detectar comportamientos anómalos y una posible explotación de sus sistemas.
  • Bloqueo de direcciones IP
    Muchas empresas han bloqueado las direcciones IP debido a actividades sospechosas y otras optan por poner en cuarentena las solicitudes sospechosas hasta que puedan revisarse y verificarse.
  • Autenticación de dos factores y multifactor
    2FA y MFA brindan capas adicionales de seguridad y autenticación utilizando información adicional que solo el usuario debe conocer o tener acceso. Esta autenticación puede venir en forma de PIN únicos, SMS, preguntas de seguridad o lecturas biométricas, como una huella digital o un escaneo facial.
  • Inteligencia de dispositivos y huellas dactilares
    La inteligencia del dispositivo consiste en datos como sistemas operativos, direcciones IP, tipos de navegador y más. Estos datos ayudan a crear una identidad única que se puede vincular a un dispositivo específico. La desviación de estos datos típicos puede señalar comportamientos sospechosos y permitir que las empresas y las personas actúen de manera proactiva e introduzcan más medidas de autenticación.
  • Higiene de contraseñas y seguridad
    La higiene de las contraseñas debe ser parte de la capacitación de concientización sobre seguridad de cada empresa para los miembros del personal. La reutilización de contraseñas es el principal habilitador de los ataques de relleno de credenciales, por lo que las empresas deben desalentar esta práctica y asegurarse de que su personal sepa lo importante que es usar contraseñas seguras y únicas, tanto en el trabajo como en sus propias capacidades personales.
    Los usuarios de la web pueden usar gestores de contraseñas seguras para generar contraseñas complejas e impredecibles para cada cuenta en línea que tengan. Los administradores de contraseñas almacenarán automáticamente estas contraseñas y también pueden notificar a los usuarios si sus direcciones de correo electrónico aparecen en volcados de datos públicos.

Algunas empresas más grandes han comenzado a tomar medidas proactivas analizando y monitoreando volcados de datos públicos para ver si las direcciones de correo electrónico afectadas también están presentes en sus propios sistemas. Para las cuentas que se encuentran en sus servidores, requieren restablecimientos de contraseña y sugieren habilitar la autenticación de múltiples factores para proteger a los consumidores cuyos datos ya pueden haberse visto comprometidos.

¿Qué tan efectivas son estas medidas preventivas?

Muchas empresas utilizan uno o varios de los métodos de defensa mencionados anteriormente para protegerse y proteger sus datos de los ataques de Credential Stuffing. Sin embargo, estos enfoques no son 100% efectivos. Presentan deficiencias que demuestran ser solo parcialmente efectivas para brindar protección continua contra ataques en evolución.

Estas medidas preventivas plantean desafíos de integración y aumentan los costos técnicos, al mismo tiempo que complican la toma de decisiones sobre riesgos, lo que puede dificultar aún más los esfuerzos de prevención del fraude. Por ejemplo, la autenticación de múltiples factores es costosa de implementar y propensa a retrasos o pérdidas de SMS y OTP.

Del mismo modo, el bloqueo de direcciones IP en función de cambios de comportamiento puede llevar a que las empresas bloqueen sin darse cuenta a clientes y clientes potenciales legítimos. La inteligencia de dispositivos no se puede usar como una solución de seguridad independiente, ya que la mayoría de los usuarios hoy en día tienen muchos dispositivos y navegadores instalados. Los CAPTCHA se han quedado atrás de las tecnologías de bots en constante cambio. Rápidamente se vuelven ineficaces, ya que a menudo obstaculizan innecesariamente a los usuarios de Internet sin detener los ataques.

La conclusión: la disuasión es la clave

En una era en la que el problema de los ataques de Credential Stuffing es una amenaza creciente, las empresas de todos los tamaños lucharán para equilibrar los crecientes costos de remediación con medidas de seguridad efectivas que produzcan un ROI viable. Estos ataques son extremadamente asequibles para los atacantes. Pero pueden dejar negocios paralizados por pérdidas financieras y daños a la reputación.

En resumen, la mitigación de los ataques de relleno de credenciales puede no ser suficiente para proteger a las empresas contra daños. En su lugar, deben centrarse en disuadir a los delincuentes para mantener sus datos seguros. Se necesita un enfoque innovador para la disuasión del fraude para brindar a las organizaciones una protección duradera a medida que los métodos de ataque continúan evolucionando.

Según el informe Akamai State of the Internet antes mencionado, los ataques de Credential Stuffing no van a ninguna parte. Dado que no se pueden detener por completo, las empresas deben tratar de hacer que el proceso de obtener nombres de usuario y contraseñas coincidentes sea lo más desafiante posible. Reducir la reutilización de contraseñas y fomentar la creación de Contraseñas seguras son algunos de los disuasivos más efectivos y asequibles disponibles para las empresas de todos los sectores.

Leer más

Acerca de Gene Fay

Gene Fay es un ejecutivo experimentado en alta tecnología con un historial demostrado de éxito trabajando en tecnología de la información. Experto en seguridad cibernética, red de área de almacenamiento (SAN), ventas, servicios profesionales y centro de datos. Fuerte profesional de la tecnología de la información con un MBA enfocado en Alta Tecnología de Northeastern University - Graduate School of Business Administration. También es el presentador del eXecutive Security Podcast, un podcast que presenta conversaciones con CISO y otros líderes de seguridad sobre cómo las personas pueden ingresar y desarrollar carreras en seguridad.