Con tantos sitios web y aplicaciones que requieren credenciales de usuario únicas, es decir, un nombre de usuario y una contraseña, puede ser tentador usar las mismas credenciales en todas estas plataformas.
De hecho, según el Informe anual de exposición de identidad de 2022 de SpyCloud, que analizó más de 15 mil millones de credenciales comprometidas disponibles en sitios clandestinos criminales, se descubrió que el 65 por ciento de las contraseñas violadas se usaron para al menos dos cuentas.
Para los usuarios que reutilizan las credenciales en diferentes plataformas, puede parecer una forma ingeniosa de evitar el olvido de las contraseñas, pero en realidad es un desastre inminente.
En el caso de que uno de los sistemas se vea comprometido y se capturen sus credenciales, todas las demás cuentas que usan las mismas credenciales corren el riesgo de verse comprometidas. Teniendo en cuenta que las credenciales comprometidas se venden a bajo precio en la web oscura, es fácil que se convierta en víctima del relleno de credenciales.
El relleno de credenciales es un ataque cibernético en el que los actores maliciosos usan credenciales robadas para una cuenta o sistema en línea para intentar acceder a otras cuentas o sistemas en línea no relacionados.
Un ejemplo de esto es un actor malicioso que obtiene acceso a su nombre de usuario y contraseña para su cuenta de Twitter y usa esas credenciales comprometidas para intentar acceder a una cuenta de Paypal.
En el caso de que esté usando las mismas credenciales en Twitter y Paypal, su cuenta de Paypal será tomada debido a una violación de sus credenciales de Twitter.
En el caso de que esté utilizando sus credenciales de Twitter en varias cuentas en línea, esas cuentas en línea también podrían verse comprometidas. Este tipo de ataque se conoce como relleno de credenciales y aprovecha el hecho de que muchos usuarios reutilizan las credenciales en varias cuentas en línea.
Los actores malintencionados que realizan ataques de relleno de credenciales suelen utilizar bots para automatizar y escalar el proceso. Esto les permite usar una gran cantidad de credenciales comprometidas y apuntar a múltiples plataformas en línea. Dado que las credenciales comprometidas se filtran por violaciones de datos y también se venden en la web oscura, los ataques de relleno de credenciales se han vuelto frecuentes.
Tabla de contenido
Cómo funciona el relleno de credenciales
Un ataque de relleno de credenciales comienza con la adquisición de credenciales comprometidas. Estos nombres de usuario y contraseñas se pueden comprar en la web oscura, se puede acceder a ellos desde sitios de volcado de contraseñas o se pueden obtener a partir de filtraciones de datos y ataques de phishing.
El siguiente paso consiste en configurar bots para probar las credenciales robadas en diferentes sitios web. Los bots automatizados son la herramienta de referencia en los ataques de relleno de credenciales, ya que los bots pueden realizar el relleno de credenciales de forma sigilosa utilizando una gran cantidad de credenciales contra muchos sitios a altas velocidades.
El desafío de bloquear una dirección IP después de varios intentos fallidos de inicio de sesión también se evita mediante el uso de bots.
Cuando se lanza un ataque de relleno de credenciales, los procesos automatizados para monitorear los inicios de sesión exitosos también se lanzan en paralelo con el ataque de relleno de credenciales. De esta forma, los atacantes obtienen fácilmente credenciales que funcionan en ciertos sitios en línea y las usan para apoderarse de una cuenta en las plataformas.
Una vez que los atacantes han tenido acceso a una cuenta, lo que pueden hacer con ella queda a su discreción. Los atacantes pueden vender las credenciales a otros atacantes, robar información confidencial de la cuenta, comprometer la identidad o usar la cuenta para realizar compras en línea en caso de que una cuenta bancaria se vea comprometida.
Por qué los ataques de Credential Stuffing son efectivos
Credential Stuffing es un ataque cibernético con tasas de éxito muy bajas. De hecho, según el informe The Economy of Credential Stuffing Attacks de Insikt Group, que es la división de investigación de amenazas de Recorded Future, la tasa de éxito promedio para los ataques de Credential Stuffing es de uno a tres por ciento.
Si bien sus tasas de éxito son bajas, Akamai Technologies, en su informe Estado de Internet/Seguridad de 2021, señaló que en 2020, Akamai vio 193 000 millones de ataques de Credential Stuffing en todo el mundo.
El motivo de la gran cantidad de ataques de relleno de credenciales y por qué son cada vez más frecuentes es la cantidad de credenciales comprometidas disponibles y el acceso a herramientas de bot avanzadas que hacen que los ataques de relleno de credenciales sean más efectivos y casi indistinguibles de los intentos de inicio de sesión humanos.
Por ejemplo, incluso con una tasa de éxito baja de solo el uno por ciento, si un atacante tiene 1 millón de credenciales comprometidas, puede comprometer alrededor de 10,000 cuentas. Grandes volúmenes de credenciales comprometidas se comercializan en la web oscura, y esos altos volúmenes de credenciales comprometidas se pueden reutilizar en múltiples plataformas.
Estos grandes volúmenes de credenciales comprometidas dan como resultado un aumento en la cantidad de cuentas comprometidas. Esto, junto con el hecho de que las personas continúan reutilizando sus credenciales en múltiples cuentas en línea, los ataques de relleno de credenciales se vuelven muy efectivos.
Relleno de Credenciales vs. Ataques de fuerza bruta
Aunque el relleno de credenciales y los ataques de fuerza bruta son ataques de apropiación de cuentas y el Proyecto de seguridad de aplicaciones web abiertas (OWASP) considera el relleno de credenciales un subconjunto de ataques de fuerza bruta, los dos difieren en la forma en que se ejecutan.
En un ataque de fuerza bruta, un actor malintencionado intenta apoderarse de una cuenta adivinando el nombre de usuario o la contraseña, o ambos. Esto generalmente se hace probando tantas combinaciones posibles de nombre de usuario y contraseña sin contexto ni pista sobre cuáles pueden ser.
Un ataque de fuerza bruta puede usar patrones de contraseña de uso común o un diccionario de frases de contraseña de uso común, como Qwerty, contraseña o 12345. Un ataque de fuerza bruta puede tener éxito si el usuario usa contraseñas débiles o contraseñas predeterminadas del sistema.
Un ataque de relleno de credenciales, por otro lado, intenta apoderarse de una cuenta mediante el uso de credenciales comprometidas obtenidas de otros sistemas o cuentas en línea. En un ataque de relleno de credenciales, el ataque no adivina las credenciales. El éxito de un ataque de relleno de credenciales depende de que un usuario reutilice su credencial en varias cuentas en línea.
Por lo general, las tasas de éxito de los ataques de fuerza bruta son mucho más bajas que las del relleno de credenciales. Los ataques de fuerza bruta se pueden prevenir mediante el uso de contraseñas seguras. Sin embargo, el uso de contraseñas seguras no puede evitar el relleno de credenciales en caso de que la contraseña segura se comparta entre varias cuentas. El relleno de credenciales se evita mediante el uso de credenciales únicas en cuentas en línea.
Cómo detectar ataques de Credential Stuffing
Los actores de amenazas de relleno de credenciales suelen utilizar bots que imitan a los agentes humanos y, a menudo, es muy difícil distinguir un intento de inicio de sesión de un ser humano real y uno de un bot. Sin embargo, todavía hay señales que pueden indicar un ataque de relleno de credenciales en curso.
Por ejemplo, un aumento repentino en el tráfico web debería despertar sospechas. En tal caso, controle los intentos de inicio de sesión en el sitio web y, en caso de que haya un aumento en los intentos de inicio de sesión en varias cuentas desde varias direcciones IP o un aumento en la tasa de fallas de inicio de sesión, esto podría indicar un ataque de Credential Stuffing en curso.
Otro indicador de un ataque de Credential Stuffing es que el usuario se queje de que se le bloqueó el acceso a sus cuentas o de recibir notificaciones sobre intentos fallidos de inicio de sesión que no fueron realizados por ellos.
Además, supervise la actividad del usuario y, en caso de que observe una actividad inusual del usuario, como realizar cambios en su configuración, información de perfil, transferencias de dinero y compras en línea, esto podría indicar un ataque de relleno de credenciales.
Cómo protegerse contra el relleno de credenciales
Hay varias medidas que se pueden tomar para evitar ser víctima de ataques de relleno de credenciales. Esto incluye:
#1. Evite reutilizar las mismas credenciales en varias cuentas
El relleno de credenciales depende de que un usuario comparta las credenciales en varias cuentas en línea. Esto se puede evitar fácilmente usando credenciales únicas en diferentes cuentas en línea.
Con administradores de contraseñas como Google Password Manager, los usuarios aún pueden usar contraseñas únicas y propias sin preocuparse por olvidar sus credenciales. Las empresas también pueden hacer cumplir esto evitando el uso de correos electrónicos como nombres de usuario. De esta forma, es más probable que los usuarios usen credenciales únicas en diferentes plataformas.
#2. Utilice la autenticación multifactor (MFA)
La autenticación multifactor es el uso de múltiples métodos para autenticar la identidad de un usuario que intenta iniciar sesión. Esto se puede implementar mediante la combinación de métodos de autenticación tradicionales de un nombre de usuario y una contraseña, junto con un código de seguridad secreto compartido con los usuarios por correo electrónico o mensaje de texto. para confirmar aún más su identidad. Esto es muy eficaz para evitar el relleno de credenciales, ya que agrega una capa adicional de seguridad.
Incluso puede avisarle cuando alguien intente comprometer su cuenta, ya que obtendrá un código de seguridad sin solicitarlo. MFA es tan eficaz que un estudio de Microsoft estableció que las cuentas en línea tienen un 99,9 % menos de probabilidades de verse comprometidas si usan MFA.
#3. Dispositivo de huellas dactilares
La toma de huellas dactilares del dispositivo se puede utilizar para asociar el acceso a una cuenta en línea con un dispositivo en particular. La huella digital del dispositivo identifica el dispositivo que se utiliza para acceder a una cuenta utilizando información como el modelo y el número del dispositivo, el sistema operativo que se utiliza, el idioma y el país, entre otros.
Esto crea una huella digital de dispositivo única que luego se asocia con una cuenta de usuario. No se permite el acceso a la cuenta usando un dispositivo diferente sin que el dispositivo asociado con la cuenta otorgue permiso.
#4. Supervise las contraseñas filtradas
Cuando los usuarios intentan crear nombres de usuario y contraseñas para una plataforma en línea en lugar de simplemente comprobar la seguridad de las contraseñas, las credenciales pueden contrastarse con las contraseñas filtradas publicadas. Esto ayuda a evitar el uso de credenciales que luego pueden ser explotadas.
Las organizaciones pueden implementar soluciones que controlen las credenciales de los usuarios contra las credenciales filtradas en la dark web y notifiquen a los usuarios cada vez que se encuentre una coincidencia. Luego se puede pedir a los usuarios que verifiquen su identidad a través de una variedad de métodos, cambien las credenciales y también implementen MFA para proteger aún más su cuenta.
#5. Hashing de credenciales
Esto implica codificar las credenciales de los usuarios antes de que se almacenen en una base de datos. Esto ayuda a proteger contra el mal uso de las credenciales en caso de una violación de datos de los sistemas, ya que las credenciales se almacenarán en un formato que no se puede usar.
Aunque este no es un método infalible, puede dar tiempo a los usuarios para cambiar sus contraseñas en caso de una violación de datos.
Ejemplos de ataques de relleno de credenciales
Algunos ejemplos notables de ataques de relleno de credenciales incluyen:
- El robo de más de 500 000 credenciales de Zoom en 2020. Este ataque de relleno de credenciales se ejecutó utilizando nombres de usuario y contraseñas obtenidos de varios foros de la web oscura, con credenciales obtenidas de ataques que datan de 2013. Las credenciales de zoom robadas se pusieron a disposición en la oscuridad web y vendido barato a compradores dispuestos
- Compromiso en miles de cuentas de usuario de la Agencia de Ingresos de Canadá (CRA). En 2020, alrededor de 5500 cuentas de CRA se vieron comprometidas en dos ataques de credenciales separados, lo que provocó que los usuarios no pudieran acceder a los servicios ofrecidos por CRA.
- Compromiso de 194.095 cuentas de usuario de The North Face. The North Face es una empresa que vende ropa deportiva y sufrió un ataque de relleno de credenciales en julio de 2022. El ataque resultó en la filtración del nombre completo del usuario, número de teléfono, sexo, puntos de fidelidad, dirección de facturación y envío, fecha de creación de la cuenta, y el historial de compras.
- Ataque de relleno de credenciales de Reddit en 2019. Varios usuarios de Reddit fueron bloqueados de sus cuentas después de que sus credenciales se vieran comprometidas a través de ataques de relleno de credenciales.
Estos ataques resaltan la importancia de la necesidad de protegerse contra ataques similares.
Conclusión
Es posible que se haya encontrado con vendedores de credenciales para sitios de transmisión como Netflix, Hulu y disney+ o servicios en línea como Grammarly, Zoom y Turnitin, entre otros. ¿Dónde crees que los vendedores obtienen las credenciales?
Bueno, es probable que dichas credenciales se obtengan a través de ataques de relleno de credenciales. Si usa las mismas credenciales en varias cuentas en línea, es hora de que las cambie antes de convertirse en una víctima.
Para protegerse aún más, implemente la autenticación multifactor en todas sus cuentas en línea y evite comprar credenciales comprometidas, ya que esto crea un entorno propicio para los ataques de relleno de credenciales.