Cuantificación de la amenaza de la identidad: Una quinta parte de las solicitudes de autenticación son maliciosas

La investigación de F5 Labs revela que el 19,4% de las solicitudes de autenticación se deben probablemente a ataques de relleno de credenciales;

Las mitigaciones reducen la prevalencia en más de dos tercios, pero aumentan la sofisticación de los ataques posteriores;

El 75% de las credenciales robadas proceden de orígenes desconocidos.

SEATTLE - Las identidades digitales se han convertido en un campo de batalla de la ciberseguridad, con una quinta parte de las solicitudes de autenticación procedentes de sistemas automatizados maliciosos, según ha revelado una nueva investigación de F5 Labs.

En Informe 2023 sobre la amenaza de la identidad: Los Unpatchables analizó 320.000 millones de transacciones de datos ocurridas en los sistemas de 159 organizaciones entre marzo de 2022 y abril de 2023. 

Cuando no se aplicaban medidas de mitigación, la tasa media de automatización -un claro indicador de la suplantación de credenciales- era del 19,4%. Este porcentaje se redujo en más de dos tercios, hasta el 6%, cuando el tráfico malicioso se mitigó de forma proactiva.  

Los ataques de usurpación de credenciales consisten en que los delincuentes aprovechan los nombres de usuario y contraseñas robados de un sistema para violar otros. Las herramientas automatizadas están en el centro de esto, permitiendo a los atacantes maximizar el número de intentos que realizan.

"Las identidades digitales han sido durante mucho tiempo una prioridad para los atacantes, y la amenaza está creciendo a medida que aumenta la prevalencia de identidades no humanas", dijo Sander Vinberg, Evangelista de Investigación de Amenazas en F5 Labs. "Nuestra investigación muestra hasta qué punto las identidades digitales están siendo atacadas, y la importancia de una mitigación eficaz. Significativamente, encontramos un patrón consistente en que el uso de la automatización maliciosa disminuyó inmediatamente a un nivel más bajo cuando las protecciones están en su lugar, con los atacantes tendiendo a renunciar en busca de objetivos más fáciles."

Mitigación: antes y después

Una parte clave del estudio exploró el impacto de las mitigaciones en los ataques de relleno de credenciales. Éstas tendieron a alterar el comportamiento de los atacantes y a provocar un descenso en el uso de la automatización maliciosa. 

F5 Labs descubrió que, sin mitigaciones, los ataques eran más frecuentes contra los terminales móviles que contra los web. Tras la introducción de las medidas de mitigación, el descenso de los ataques a móviles fue mayor, y la mayoría de los ataques posteriores se produjeron a través de terminales web.

Las mitigaciones también influyeron en la sofisticación de los ataques.

Contra puntos finales de autenticación no protegidos, el 64,5% del tráfico malicioso comprendía ataques clasificados como "básicos", lo que significa que no intentan emular el comportamiento humano ni contrarrestar la protección contra bots. La proporción de estos ataques se redujo significativamente al 44% tras la aplicación de medidas de mitigación.

En cambio, los ataques "intermedios", que intentan manipular las soluciones anti-bot, aumentaron del 12% al 27% tras la implantación de la mitigación. Los ataques avanzados, que utilizan herramientas capaces de emular fielmente la navegación de un usuario humano (incluidos los movimientos del ratón, las pulsaciones de teclas y las dimensiones de la pantalla), aumentaron del 20% al 23%. 

"Nuestro análisis muestra que muchos atacantes simplemente siguen adelante cuando se implantan las protecciones", afirma Vinberg. "Los atacantes que siguen atacando un sistema que cuenta con medidas de mitigación son claramente más decididos y sofisticados, y utilizan herramientas que les permiten replicar fielmente el comportamiento humano o trabajar más para ocultar sus actividades. 

"Por ejemplo, observamos un ataque que emulaba 513.000 interacciones de usuario únicas a través de 516.000 solicitudes, reciclando características identificables en menos del 1% de los casos. Con los ataques más sofisticados, a veces es necesaria la observación manual para identificar el comportamiento malicioso y crear una nueva firma."

Aumentan los retos para los defensores

F5 Labs también examinó la cadena de suministro de las credenciales comprometidas. Preocupantemente, los defensores parecen tener mucha menos visibilidad de lo que pensaban. Hasta el 75% de las credenciales enviadas durante los ataques no se sabía previamente que habían sido comprometidas.

Además, los defensores están teniendo que responder a amenazas de identidad diseñadas para superar las mitigaciones. Por ejemplo, las organizaciones pueden tratar de controlar los ataques de relleno de credenciales buscando una tasa de éxito anormalmente baja de las solicitudes de autenticación. El estudio descubrió que los atacantes se adaptaron a esta situación con cuentas "canarias". Se puede acceder a ellos de forma continua para aumentar artificialmente la tasa de éxito global. En un ejemplo, una campaña de relleno de credenciales se conectó a la misma cuenta canaria 37 millones de veces en la misma semana con este fin.

En el caso de los ataques de phishing, otra de las principales áreas de interés de los análisis de F5 Labs, se observó una vez más una clara intensificación de los esfuerzos por combatir las contramedidas. En particular, el mayor uso de la autenticación multifactor está alimentando el aumento del phishing de proxy inverso, mediante el cual los atacantes crean páginas de inicio de sesión falsas que animan a los usuarios a introducir sus credenciales. 

Además, los atacantes utilizan cada vez más capacidades de detección-evasión como AntiRed. Se trata de una herramienta JavaScript diseñada para superar el análisis de phishing basado en navegador, como Google Safe Browsing (que muestra al usuario un mensaje de alerta cuando se encuentra con un sitio potencialmente inseguro).

Nuevas amenazas en el horizonte

En un contexto de entornos en continua evolución, F5 Labs también observó cómo está surgiendo una nueva generación de amenazas. 

A modo de ejemplo, en agosto de 2022 se observó en la Dark Web un anuncio que promocionaba un sistema de phishing por voz que utilizaría inteligencia artificial para automatizar las llamadas de phishing. La creciente sofisticación y la disminución de los costes de la IA hacen que estos enfoques vayan a ser más comunes y eficaces con el tiempo.

"De cara al futuro, los proveedores de identidad deben emplear una solución anti-bot para mitigar la automatización maliciosa, como el relleno de credenciales. Incluso las soluciones anti-bot más sencillas pueden mitigar la mayor parte de los casos de relleno de credenciales poco sofisticados", añadió Vinberg.

"Las organizaciones pueden reforzar aún más sus defensas mediante el uso de soluciones de AMF basadas en criptografía, como las basadas en los protocolos WebAuthn o FIDO2. En última instancia, no existe una solución milagrosa para combatir los ataques basados en la identidad. Los defensores deben vigilar y detectar los ataques, cuantificar la tasa de error de su detección y adaptarse en consecuencia. Cuanto más estudiemos estos ataques y su naturaleza en constante cambio, mejor podremos gestionar el riesgo de las vulnerabilidades inherentes a cualquier sistema al que los usuarios deban demostrar su identidad para acceder".