Cómo detectar, prevenir y mitigar un ataque de adquisición de cuenta (ATO)

Como empresa, puede defenderse fácilmente contra el tipo de estafa más común, un ataque de adquisición de cuenta (ATO), con algunos conceptos básicos bien realizados.

La tarde del 30 de agosto de 2019 fue extraña para los seguidores de Jack Dorsey en Twitter (ahora X). “Él” estuvo en una ola imprudente, que duró unos 20 minutos, tuiteando insultos raciales y otros mensajes ofensivos.

Sus fanáticos podrían haberlo tomado como un colapso mental inusual por parte del director ejecutivo del sitio web de microblogging más grande. Sin embargo, Chuckling Squad, el grupo detrás de esta «aventura», había dejado enlaces a su canal de discordia en los tweets engañosos de la cuenta de Jack.

Posteriormente, Twitter (ahora X) confirmó el incidente.

Somos conscientes de que @Jacobo estaba comprometida e investigando lo sucedido.

– Comunicaciones de Twitter (@TwitterComms) 30 de agosto de 2019

Este fue un ataque clásico de toma de control de cuenta (ATO), uno de intercambio de Sim en particular, en el que los piratas informáticos tomaron control remoto del número de teléfono de Jack y twittearon desde un servicio de tweets de terceros, Cloudhopper.

¿Cuáles son las probabilidades que favorecen a un usuario medio si el director ejecutivo de una empresa tecnológica de primer nivel puede ser una víctima?

Únase a mí para hablar sobre las diversas formas de ATO y cómo mantener segura su organización.

¿Qué es un ataque ATO?

Un ataque de apropiación de cuenta (ATO), como sugiere su nombre, emplea varias técnicas (que se analizan más adelante) para secuestrar la cuenta en línea de una víctima para numerosos fines ilícitos, como estafas financieras, acceso a información confidencial, defraudar a otros y más.

¿Cómo funciona la ATO?

El quid de un ataque ATO es el robo de credenciales de cuentas. Los malos actores hacen esto por varios medios, tales como:

  • Ingeniería social: consiste en forzar o persuadir psicológicamente a una persona para que revele sus datos de inicio de sesión. Esto se puede hacer con el pretexto de obtener soporte técnico o inventar una situación de emergencia, dando poco tiempo a la víctima para pensar racionalmente.
  • Relleno de credenciales: un subconjunto de la fuerza bruta, el relleno de credenciales significa que un estafador intenta hacer que funcionen datos de inicio de sesión aleatorios, a menudo obtenidos de una violación de datos o comprados en la web oscura.
  • Malware: Los programas peligrosos y no deseados pueden hacerle muchas cosas a su computadora. Uno de esos casos es robar las cuentas iniciadas y enviar los detalles al ciberdelincuente.
  • Phishing: la forma más común de ciberataque, el phishing, normalmente comienza con un simple clic. Esta acción aparentemente inofensiva lleva al usuario a una falsificación en la que la futura víctima ingresa sus credenciales de inicio de sesión, allanando el camino para un próximo ataque ATO.
  • MITM: El ataque de intermediario representa una situación en la que un hacker experto «escucha» el tráfico de red entrante y saliente. Todo, incluidos los nombres de usuario y las contraseñas que ingresa, es visible para un tercero malintencionado.
  • Estas eran las formas estándar que emplean los ciberladrones para adquirir credenciales de inicio de sesión de forma delictiva. Lo que sigue es apropiación de cuentas, actividad ilegal y un intento de mantener el acceso «activo» el mayor tiempo posible para victimizar aún más al usuario o llevar a cabo ataques contra otros.

    La mayoría de las veces, los malos intentan bloquear al usuario indefinidamente o configurar puertas traseras para un ataque futuro.

    Aunque nadie quiere pasar por esto (¡Jack tampoco!), ayuda muchísimo si podemos atraparlo desde el principio para evitar daños.

    Detectando un ataque ATO

    Como propietario de una empresa, existen algunas formas de detectar un ataque ATO contra sus usuarios o empleados.

    #1. Inicio de sesión inusual

    Estos pueden ser intentos repetidos de inicio de sesión desde diferentes direcciones IP, especialmente desde ubicaciones geográficamente distantes. De manera similar, puede haber inicios de sesión desde múltiples dispositivos o agentes de navegador.

    Además, la actividad de inicio de sesión fuera del horario activo normal puede reflejar un posible ataque ATO.

    #2. Fallos de 2FA

    Las fallas repetidas en la autenticación de dos factores o la autenticación de múltiples factores también indican una mala conducta. La mayoría de las veces, es un mal actor el que intenta iniciar sesión después de obtener el nombre de usuario y la contraseña filtrados o robados.

    #3. Actividad anormal

    A veces, no hace falta ser un experto para notar una anomalía. Cualquier cosa que se aparte mucho del comportamiento normal del usuario puede marcarse como apropiación de cuenta.

    Puede ser tan simple como una foto de perfil inapropiada o una serie de correos electrónicos no deseados a sus clientes.

    En última instancia, no es fácil detectar este tipo de ataques manualmente y herramientas como Sucurí o acronis puede ayudar a automatizar el proceso.

    Continuando, veamos cómo evitar este tipo de ataques en primer lugar.

    Prevenir un ataque ATO

    Además de suscribirse a herramientas de ciberseguridad, existen algunas prácticas recomendadas que puede tomar nota.

    #1. Contraseñas seguras

    A nadie le gustan las contraseñas seguras, pero son una necesidad absoluta en el panorama de amenazas actual. Por lo tanto, no permita que sus usuarios o empleados se salgan con la suya con contraseñas simples y establezca algunos requisitos mínimos de complejidad para el registro de cuentas.

    Especialmente para organizaciones, 1Password negocio es una buena opción para un administrador de contraseñas que pueda hacer el trabajo duro por su equipo. Además de guardar contraseñas, las herramientas de primer nivel también escanean la web oscura y le avisan en caso de que se filtre alguna credencial. Le ayuda a enviar solicitudes de restablecimiento de contraseña a los usuarios o empleados afectados.

    #2. Autenticación multifactor (MFA)

    Para aquellos que no lo saben, la autenticación multifactor significa que el sitio web solicitará un código adicional (entregado al correo electrónico o al número de teléfono del usuario) además de la combinación de nombre de usuario y contraseña para ingresar.

    Este es generalmente un método sólido para evitar el acceso no autorizado. Sin embargo, los estafadores pueden hacer un trabajo rápido con MFA mediante ingeniería social o ataques MITM. Entonces, si bien es una excelente primera (o segunda) línea de defensa, hay más en esta historia.

    #3. Implementar CAPTCHA

    La mayoría de los ataques ATO comienzan con bots que intentan credenciales de inicio de sesión aleatorias. Por lo tanto, será mucho mejor tener implementado un desafío de inicio de sesión como CAPTCHA.

    Pero si cree que esta es el arma definitiva, piénselo de nuevo porque existen servicios de resolución de CAPTCHA que un mal actor puede implementar. Aún así, es bueno tener CAPTCHA y protegerlos de las ATO en muchos casos.

    #4. Gestión de sesiones

    El cierre de sesión automático para sesiones inactivas puede ser una salvación para las apropiaciones de cuentas en general, ya que algunos usuarios inician sesión desde varios dispositivos y pasan a otros sin cerrar sesión en los anteriores.

    Además, permitir solo una sesión activa por usuario también puede resultar útil.

    Finalmente, será mejor si los usuarios pueden cerrar sesión en los dispositivos activos de forma remota y si hay opciones de administración de sesiones en la propia interfaz de usuario.

    #5. Sistemas de Monitoreo

    Cubrir todos los vectores de ataque como una organización nueva o de nivel medio no es tan fácil, especialmente si no tienes un departamento de seguridad cibernética dedicado.

    Aquí, puede confiar en soluciones de terceros como Cloudflare e Imperva, además de los ya mencionados Acronis y Sucuri. Estas empresas de ciberseguridad son algunas de las mejores para abordar estos problemas y pueden prevenir o mitigar de manera eficiente los ataques ATO.

    #6. Geocerca

    Geofencing consiste en aplicar políticas de acceso basadas en la ubicación para su proyecto web. Por ejemplo, una empresa 100% con sede en EE. UU. tiene pocas o ninguna razón para permitir usuarios chinos. Si bien esta no es una solución infalible para prevenir ataques ATO, aumenta la seguridad general.

    Llevando esto un poco más lejos, una empresa en línea se puede configurar para permitir que solo se asignen ciertas direcciones IP a sus empleados.

    En otras palabras, puede utilizar una VPN empresarial para poner fin a los ataques de apropiación de cuentas. Además, una VPN también cifrará el tráfico entrante y saliente, protegiendo los recursos de su empresa de ataques de intermediarios.

    #7. Actualizaciones

    Como empresa basada en Internet, probablemente trabaje con muchas aplicaciones de software, como sistemas operativos, navegadores, complementos, etc. Todos estos quedan obsoletos y deben actualizarse para obtener la mejor seguridad posible. Aunque esto no está directamente relacionado con los ataques ATO, un código obsoleto puede ser una puerta de entrada fácil para que un ciberdelincuente cause estragos en su negocio.

    En pocas palabras: envíe actualizaciones de seguridad periódicas a los dispositivos empresariales. Para los usuarios, tratar de educarlos para que mantengan las aplicaciones en sus últimas versiones puede ser un buen paso adelante.

    Después de todo esto y más, no existe ningún experto en seguridad que pueda garantizar el 100% de seguridad. En consecuencia, usted debe tener un plan de recuperación vigoroso para el día fatídico.

    Luchando contra el ataque ATO

    Lo mejor es contar con un experto en ciberseguridad, ya que cada caso es único. Aún así, aquí hay algunos pasos que lo guiarán en un escenario común posterior a un ataque ATO.

    Contener

    Después de detectar un ataque ATO en algunas cuentas, lo primero que debe hacer es desactivar temporalmente los perfiles afectados. A continuación, enviar una solicitud de restablecimiento de contraseña y MFA a todas las cuentas puede resultar útil para limitar el daño.

    Informar

    Comunicarse con los usuarios objetivo sobre el evento y la actividad maliciosa de la cuenta. A continuación, infórmeles sobre la prohibición momentánea y los pasos de restauración de la cuenta para un acceso seguro.

    Investigar

    La mejor manera de realizar este proceso es mediante un experto experimentado o un equipo de profesionales de la ciberseguridad. El objetivo puede ser identificar las cuentas afectadas y garantizar que el atacante no esté todavía en acción con la ayuda de mecanismos impulsados ​​por IA, como el análisis de comportamiento.

    Además, se debe conocer el alcance de la violación de datos, si la hubiera.

    Recuperar

    Un análisis de malware de todo el sistema debería ser el primer paso de un plan de recuperación detallado porque, en la mayoría de los casos, los delincuentes instalan rootkits para infectar el sistema o mantener el acceso para futuros ataques.

    En esta etapa, se puede impulsar la autenticación biométrica, si está disponible, o MFA, si aún no se utiliza.

    Informe

    Según las leyes locales, es posible que deba informarlo a las autoridades gubernamentales. Esto le ayudará a cumplir y presentar una demanda contra los atacantes si es necesario.

    Plan

    A estas alturas ya conoces algunas lagunas que existían sin tu conocimiento. Es hora de abordarlos en el futuro paquete de seguridad.

    Además, aproveche esta oportunidad para educar a los usuarios sobre este incidente y solicitarles que practiquen una higiene saludable en Internet para evitar problemas futuros.

    En el futuro

    La ciberseguridad es un ámbito en evolución. Las cosas que hace una década se consideraban seguras podrían ser una invitación abierta para los estafadores en la actualidad. Por lo tanto, mantenerse al tanto de los desarrollos y actualizar periódicamente los protocolos de seguridad de su empresa es la mejor manera de avanzar.

    Si está interesado, la sección de seguridad de kirukiru.es es una biblioteca de artículos dignos de favoritos dirigidos a empresas emergentes y PYMES que escribimos y actualizamos periódicamente. Continúe revisándolos y estoy seguro de que podrá verificar la parte de «mantenerse al tanto» de la planificación de seguridad.

    Manténgase a salvo y no permita que se apoderen de esas cuentas.