BLOG | OFICINA DEL CTO

La seguridad sigue siendo responsabilidad de todos

Miniatura F5
F5
Publicado el 28 de abril de 2020


Un amigo mío recibió recientemente un correo electrónico con su contraseña en texto plano en el asunto. El mensaje contenía una demanda de $10,000 en Bitcoin. Para garantizar el cumplimiento, el atacante incluyó planes sobre cómo piratearía y destruiría el receptor. Este mismo amigo mencionó que usaba un software de administración de contraseñas para administrar sus contraseñas y se dio cuenta de que había usado la misma contraseña para más de 140 sitios diferentes.

Claramente necesitaba cambiar su contraseña en todos ellos.

Obtener las credenciales de un usuario siempre ha sido barato y sencillo. La expansión digital acelerada que han experimentado la mayoría de las organizaciones y empleados desde el comienzo de la pandemia de COVID-19 solo ha hecho que sea más barato y fácil.

En la última semana de marzo, la aplicação más descargada fue Zoom. Desafortunadamente para los 3,2 millones de nuevos usuarios (y todos los existentes), los actores maliciosos explotaron inmediatamente su repentina popularidad, lo que permitió a los investigadores de amenazas comprar más de 500.000 nombres de usuario y contraseñas de Zoom por menos de un centavo cada uno .

Zoom encabeza las listas de descargas semanales


En este caso, nadie "hackeó" Zoom. Nadie explotó una vulnerabilidad específica en el software de Zoom. Los atacantes simplemente probaron algunas de los miles de millones de credenciales previamente expuestas de otras violaciones en Zoom y descubrieron que funcionaban perfectamente.

Funcionaron porque la gente reutiliza las credenciales. Y las personas reutilizan credenciales debido al creciente número de actividades digitales en las que participan. Cada cuenta abierta en un servicio de streaming, una plataforma de redes sociales o una aplicação corporativa es otra oportunidad para reutilizar credenciales. Ya en 2015, un análisis de Dashlane de datos de más de 20.000 usuarios descubrió que el usuario promedio tenía 90 cuentas en línea . Sólo en Estados Unidos, ese promedio fue 130. En los últimos cinco años, el uso de servicios digitales no ha hecho más que crecer y, con él, la necesidad de credenciales.

En el mundo corporativo, la cantidad de credenciales requeridas es igualmente preocupante. Una encuesta de LastPass “descubrió que en empresas grandes con más de 1000 empleados, se esperaba que el empleado promedio tuviera alrededor de 25 inicios de sesión únicos. Esa cifra se dispara a 85 en las empresas más pequeñas, demasiados números y símbolos para que una persona promedio pueda llevar un registro de ellos. Los empleados que no disponen de un gestor de contraseñas casi inevitablemente recurrirán a la reutilización de contraseñas o a contraseñas comunes que se descifran fácilmente mediante ataques de diccionario.

La evidencia anecdótica dice que incluso aquellos que usan un administrador de contraseñas pueden reutilizar contraseñas en diferentes propiedades.

Los atacantes lo saben. Su éxito al obtener acceso a cuentas personales y corporativas se debe a la proliferación de la reutilización de contraseñas y a una técnica conocida como "credential stuffing".

El credential stuffing es una técnica de ataque que utiliza listas de credenciales para intentar acceder a aplicações y sitios web. Gracias a la maravilla de la automatización, los atacantes pueden iterar sobre una lista de miles de credenciales en minutos, “rellenando” cada una de ellas en una pantalla de inicio de sesión hasta encontrar las que funcionan.

La expansión de aplicações debido a la transformación digital agrava el problema al ofrecer superficies de ataque adicionales que los actores maliciosos pueden atacar. La pandemia ha empujado a las organizaciones a ofrecer capacidades digitales, ampliando así tanto el conjunto de credenciales como los posibles objetivos de los atacantes.

Existen prácticas recomendadas establecidas que pueden ayudar tanto a las empresas como a los consumidores a protegerse contra ser víctimas de un ataque de credential stuffing .

  • Los usuarios deben prestar mucha atención a la gestión de contraseñas tanto para uso laboral como personal. El uso de técnicas simples, como intercalar una cadena de contraseña compleja común con ciertos caracteres del nombre del sitio web, puede ayudar a reducir la ansiedad por olvidar las credenciales que conduce a la reutilización de la contraseña. Por ejemplo, la contraseña del Bank of America sería B<cadena compleja>A y la de Wells Fargo sería W<cadena compleja>F o variaciones similares.
  • Las contraseñas predeterminadas en la infraestructura, tanto empresarial como doméstica, deben cambiarse de inmediato. En casa, esto significa enrutadores, módems, cámaras, sistemas de automatización del hogar y puntos de acceso inalámbricos. En la empresa, esto incluye infraestructura como enrutadores y conmutadores o aplicações operativas utilizadas por los administradores para gestionar la infraestructura de aplicaciones. (En los años 90, usar SSH para enrutadores que utilizaban configuraciones de administrador predeterminadas era un truco común).
  • Utilice diferentes navegadores para actividades financieras, comerciales y recreativas para minimizar el riesgo de ser víctima de MITB (Hombre en el navegador). Cambie su configuración para borrar su caché y cookies al salir y adquiera el hábito de cerrar su navegador cada vez que cierre sesión.

A medida que la pandemia continúa transformando la forma en que interactuamos entre nosotros y con las organizaciones, la cantidad de aplicações y cuentas de las que dependemos seguirá siendo una oportunidad atractiva para los atacantes. La realidad es que no se puede prevenir ningún ataque. No tienes control sobre las acciones de los malos actores. Pero puedes tomar medidas para prevenir un ataque exitoso .

 

Para obtener más información sobre el credential stuffing, consulte La crisis de credenciales: Realmente está sucediendo desde F5 Labs .