¿Qué es un ataque de relleno de credenciales?
El relleno de credenciales es un tipo de ataque cibernético que implica "rellenar" credenciales robadas en varios sitios web.
Herramientas como los bots han permitido a los piratas informáticos automatizar el relleno, lo que les permite probar millones de credenciales de inicio de sesión en docenas de sitios en un período corto. Esto es lo que necesita saber sobre este ataque y las formas sencillas en que puede protegerse.
¿Qué es el relleno de credenciales?
El relleno de credenciales implica meter una gran colección de contraseñas y nombres de usuario robados en varios sitios web. Dependen de infracciones de monstruos y filtraciones vendidas en la web oscura para obtener sus datos. El objetivo es utilizar los millones de combinaciones de nombres de usuario y de inicio de sesión de filtraciones anteriores para infiltrarse en otros sitios web.
¿Sabías que la reutilización de # contraseñas y la falta de # autenticación multifactor allanan el camino para los ataques de #credentialstuffing ? De hecho, el FBI dice que el 41% de todos los ataques al sector financiero entre 2017 y 2020 se debieron al relleno de credenciales. https://t.co/h99KM6RPL7 pic.twitter.com/4IEEEwbZ2n
– Simon Heslop (@ supersi101) 9 de diciembre de 2020
Dependen de un error humano para que sus ataques tengan éxito: utilizan el mismo nombre de usuario y / o contraseña en varios sitios. Según la investigación, un enorme 85 por ciento de todos los usuarios reciclan sus contraseñas en diferentes cuentas.
Y es este tipo de pensamiento el que permite a los ciberdelincuentes utilizar las credenciales de inicio de sesión de una infracción de un sitio web para acceder a otros servicios.
La tasa de éxito es bastante baja, del 0,1 al 2 por ciento. Esto significa que por cada millón de credenciales de inicio de sesión probadas, solo se pueden usar alrededor de 1000 credenciales para ingresar a otros sitios web. Pero lo que hace que sus esfuerzos valgan la pena es la mina de oro de datos que pueden recopilar de cada cuenta en la que se infiltran.
Digamos que logran piratear alrededor de mil cuentas y estas tienen información bancaria o credenciales de tarjetas de crédito. Pueden desviar fondos o utilizarlos para cometer otras formas de fraude. Otra información de identificación personal (PII), como números de seguro social o información fiscal, se puede utilizar para cometer delitos como el robo de identidad.
Los ciberdelincuentes monetizan todo lo que encuentran en cada cuenta, lo que hace que el ataque valga la pena a pesar de la muy baja tasa de coincidencia de inicio de sesión.
¿Cómo se realiza un ataque de relleno?
Por supuesto, los piratas informáticos no ingresan manualmente las credenciales de inicio de sesión robadas una por una en diferentes sitios web, ya que necesitan millones (o incluso miles de millones) de credenciales de inicio de sesión robadas para que el ataque valga la pena.
En cambio, las credenciales descifradas de las filtraciones de datos se cargan en redes de bots que lanzan intentos de inicio de sesión automatizados. Luego usan más herramientas para evadir la detección.
Una sola botnet puede realizar miles de intentos de inicio de sesión por hora. Por ejemplo, un ataque de relleno de credenciales en 2016 utilizó una botnet que envió más de 270.000 solicitudes de inicio de sesión en varios sitios por hora.
¿Cómo pueden los ataques de relleno eludir la detección?
Si bien muchos sitios utilizan medidas de seguridad para detectar varios inicios de sesión no autorizados, los piratas informáticos han encontrado formas de eludir estas medidas.
Una lista de proxy se usa para rebotar solicitudes y enmascarar la fuente o, simplemente, hacer que las solicitudes de inicio de sesión parezcan provenir de diferentes ubicaciones. También utilizan otras herramientas para que parezca que los múltiples intentos de inicio de sesión provienen de diferentes navegadores.
Esto se hace porque varios intentos de inicio de sesión desde un solo tipo de navegador (mil por hora, por ejemplo) parecen sospechosos y tienen una mayor probabilidad de ser marcados como fraudulentos.
Todas estas técnicas imitan la actividad de inicio de sesión legítima de miles de usuarios en diferentes ubicaciones. Esto hace que el vector de ataque sea simple, pero difícil de detectar.
¿Cuál es la diferencia entre el relleno de credenciales y los ataques de fuerza bruta?
Credential Stuffing es un subtipo de ataque de fuerza bruta que es mucho más potente porque está más dirigido.
Un ataque de fuerza bruta implica esencialmente adivinar contraseñas utilizando diferentes combinaciones de caracteres aleatorios. Usan software automatizado para hacer múltiples conjeturas probando varias combinaciones posibles hasta que se descubre la contraseña. Se hace sin contexto.
#credentialstuffing #cybersecurityminiseries #ntellitechs #infographic #tech pic.twitter.com/IPuiyja79v
– N satellitechs (@ntellitechs) 7 de diciembre de 2020
El relleno de credenciales, por otro lado, usa detalles de inicio de sesión y contraseñas de violaciones de datos anteriores. Usan un par de contraseña y nombre de usuario de una filtración de un sitio web y luego lo prueban en otros servicios.
Si bien el uso de contraseñas seguras puede protegerlo de los ataques de fuerza bruta, esto es inútil si usa la misma contraseña en otros sitios web, cuando se lanza un ataque de relleno.
¿Cuál es la diferencia entre el relleno de credenciales y el dumping de credenciales?
Si bien puede parecer lo mismo, el volcado de credenciales es un tipo diferente de ataque que tiene como objetivo un punto de entrada o máquina para infiltrarse en una red.
Si bien el relleno de credenciales utiliza múltiples credenciales de inicio de sesión de infracciones anteriores para ingresar a otros sitios web, el volcado de credenciales implica ingresar a una máquina y extraer múltiples credenciales de inicio de sesión.
Esto se hace accediendo a las credenciales almacenadas en caché en los muchos registros de la computadora o extrayendo las credenciales de la base de datos del Administrador de cuentas de seguridad (SAM). Este último contiene todas las cuentas creadas con contraseñas guardadas como hashes.
El objetivo del ataque de volcado de credenciales es hacerse un hueco en la red o ingresar a otras computadoras del sistema. Después de extraer las credenciales de inicio de sesión de una máquina, un pirata informático puede volver a ingresar al dispositivo u obtener acceso a toda la red para causar más daño.
A diferencia del relleno, un ataque de volcado de credenciales utiliza un punto de entrada, una máquina con vulnerabilidades sin parche para infiltrarse en una red.
¿Cómo se protege de un ataque de relleno?
Para la mayoría de los usuarios, la mejor y más sencilla forma de protegerse es utilizar contraseñas únicas para cada sitio web o cuenta. Como mínimo, haga esto para aquellos que tengan su información confidencial, como datos bancarios o de tarjetas de crédito.
Habilitar la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) ayuda a que la toma de control de la cuenta sea más difícil para los piratas informáticos. Estos se basan en un medio secundario de validación, es decir, enviar un código a su número de teléfono y solicitar su nombre de usuario y contraseña.
Si le resulta confuso recordar varias contraseñas y nombres de usuario, puede utilizar un administrador de contraseñas confiable. Si no está seguro de su seguridad, consulte los métodos seguros que utilizan los administradores de contraseñas .
O pruebe con un administrador de contraseñas de código abierto .
Proteja sus contraseñas
Tu contraseña es como la llave de tu casa. Debe ser único, fuerte y, lo que es más importante, debe guardarlo en un lugar seguro en todo momento.
Estos también deben ser memorables y seguros. Puede explorar diferentes herramientas de contraseña que pueden ayudarlo a crear otras únicas pero memorables que sean difíciles de descifrar para los piratas informáticos.