Probablemente hayas oído hablar de al menos un ataque de relleno de credenciales últimamente, ya que las principales empresas se convierten en objetivos de esta nueva técnica de piratería. El relleno de credenciales no es realmente nuevo como parte del repertorio de los piratas informáticos, pero últimamente, el método comenzó a emplearse con más frecuencia. Explicaré las razones de este aumento de popularidad a continuación.
Cuando las empresas parecen desconocer la violación de datos, lo más probable es que el culpable sea un ataque de relleno de credenciales. Si los piratas informáticos están imitando las identidades de los usuarios, es difícil para los administradores del sistema darse cuenta del ataque hasta que sea demasiado tarde.
Dado que muchos nos habéis preguntado sobre el relleno de credenciales, hemos elaborado esta guía de protección sobre todo lo que necesitas saber sobre estos ataques y cómo proteger mejor tus datos confidenciales.
Indice
¿Qué es el relleno de credenciales?
En todas las violaciones importantes de datos, cuando los piratas informáticos entran con éxito en los sistemas de una empresa importante, obtienen acceso a una base de datos de combinaciones de usuarios y contraseñas. Algunas de estas credenciales de inicio de sesión se publican para que todo el mundo las vea, como en la violación de datos de RockYou de 2009, que publicó más de 30 millones de registros.
Otras veces, estos datos confidenciales (las credenciales para iniciar sesión) no se obtienen al irrumpir en los sistemas de una empresa, sino a través de ataques de phishing. Independientemente de cómo se obtengan exactamente los datos, el relleno de credenciales o credential stuffing se refiere a los intentos del pirata informático de tomar las cuentas y contraseñas ya expuestas e intentar usarlas para iniciar sesión en otros sitios web.
El acto de intentar iniciar sesión con una cantidad tan grande de credenciales robadas contra otros sitios web se describe mejor como intentar meterlas en todas partes, de ahí el nombre de esta técnica de piratería.
La premisa de los atacantes resulta ser correcta: los usuarios de Internet continúan usando las mismas contraseñas para múltiples cuentas una y otra vez, y no desarrollan una estricta higiene de contraseñas. Esto facilita que los actores malintencionados obtengan acceso no autorizado a cuentas importantes después de abrir una menos importante. Al final, como en la mayoría de los otros ataques de piratería, los atacantes pueden robar tu dinero o tu identidad.
Desde los últimos meses de 2018, los ataques de relleno de credenciales aparecieron en los titulares una y otra vez. Los primeros meses de 2019 no mostraron ningún freno a la propagación de estas amenazas cibernéticas.
Por un lado, las herramientas que los piratas informáticos necesitan para este tipo de ataques se han vuelto mejores y más baratas de utilizar. Por otro lado, realizar otros tipos de ataques se ha vuelto más laborioso y costoso para los piratas informáticos.
¿Cómo funcionan estos ataques?
Hay varias herramientas populares que se utilizan para los ataques de relleno de credenciales, y la mayoría de ellas se pueden descargar de forma gratuita. Sentry MBA, Vortex y Account Hitman son los ejemplos más conocidos.
Cualquier pirata informático puede configurar una de estas herramientas de malware y comenzar a intentar ingresar a nuevas cuentas utilizando credenciales antiguas.
Si crees que la autenticación de dos factores puede protegerte, lamento decepcionarte. Sentry MBA afirma poder sortear los desafíos de Captcha, así como la autenticación en dos factores. Los datos de inteligencia también indican múltiples casos de ataques en los que los atacantes eludieron la autenticación de dos factores.
Si bien el software que se utilizará para el relleno de credenciales es gratuito, las credenciales deben descargarse por un precio. Dependiendo de cuántas credenciales quiera usar el pirata informático, un intento de piratear varias cuentas puede comenzar por tan solo 10 dólares. Para obtener el paquete de datos más exhaustivo, se puede solicitar a los piratas informáticos que paguen alrededor de 3.000 dólares. Se informa que esta suma les da acceso a más de 3.800 millones de credenciales.
No obstante, siempre existe la opción gratuita de utilizar las credenciales divulgadas en las recopilaciones de datos masivas mencionadas anteriormente. Como puedes ver, realizar un ataque de relleno de credenciales se está volviendo cada vez más simple y asequible.
Cuantas más personas reutilicen las mismas contraseñas, más gratificante puede ser el relleno de credenciales, lo que significa que el comportamiento del usuario sigue siendo la principal fuente de poder para este tipo de ataques.
¿Por qué está aumentando el relleno de credenciales?
En pocas palabras, el relleno de credenciales se está volviendo más popular entre los piratas informáticos porque la técnica es bastante sencilla. A medida que las soluciones de seguridad aumentan en complejidad con las principales características, la piratería en un sistema con métodos sofisticados se ha vuelto cada vez más difícil.
Es mucho más rentable y fácil para los piratas informáticos ingresar en un sistema utilizando métodos básicos y confiando en el eslabón más débil: las personas.
Las personas son siempre uno de los principales pasivos de seguridad en cualquier empresa o grupo. No importa lo avanzadas que sean sus soluciones de detección y protección antivirus de próxima generación si un usuario se comporta de manera peligrosa, esto crea una brecha de seguridad que terceros malintencionados pueden explotar rápidamente.
En el caso de los ataques de relleno de credenciales, el comportamiento deficiente del usuario significa establecer las mismas contraseñas para varias cuentas, o incluso variar los caracteres solo ligeramente. Las contraseñas débiles son uno de los errores más comunes que comete la gente, según los principales expertos en seguridad.
Ejemplos
Aquí tienes una serie de ejemplos de ataques de relleno de credenciales:
HSBC fue blanco de un importante ataque de relleno de credenciales hacia fines de 2018, lo que puso en riesgo la seguridad financiera de sus clientes. DailyMotion, el gigante del alojamiento de vídeos, se vio obligado a cerrar su sitio web temporalmente en enero de 2019, debido a un ataque masivo de relleno de credenciales.
En febrero de 2019, Dunkin Donuts fue el objetivo de un segundo ataque de relleno de credenciales en el transcurso de solo tres meses. La compañía estaba empezando a contener el daño del incidente del relleno de credenciales del otoño pasado. Informaron ese ataque a fines de noviembre de 2018, aunque la brecha ocurrió a fines de octubre. Ese es el tiempo que puede tardar un equipo de seguridad en darse cuenta de que algo anda mal cuando los piratas informáticos están utilizando credenciales legítimas pero robadas.
El comienzo de 2019 también trajo ataques similares a otras compañías importantes. Los usuarios de Reddit se encontraron bloqueados de sus cuentas mientras los piratas informáticos robaban sus datos. Los clientes de Deliveroo también se encontraron pagando por pedidos que no habían realizado, debido a que los piratas informáticos obtuvieron acceso a sus cuentas a través del relleno de credenciales.
Basecamp también estuvo bajo ataque, al ver un aumento dramático en los intentos de inicio de sesión en el transcurso de solo unas pocas horas. La gigante empresa de publicidad Sizmek también fue violada a principios de marzo de 2019. Un hacker ruso estaba vendiendo controles a sus campañas publicitarias a través de una casa de subastas virtual de sombrero oscuro.
La tendencia de aumento de escala de los ataques de relleno de credenciales no parece estar disminuyendo en el corto plazo. Las herramientas para la recopilación de datos violados se han vuelto cada vez más poderosas y los piratas informáticos están más capacitados para hacerlo.
Los expertos de todo el mundo creen que esta llamada ‘Colección # 1’, como se denomina la carpeta raíz de esta compilación de datos, es la más grave hasta ahora. Las listas de credenciales pirateadas anteriores, como Anti Public Combo List o Exploit.in, son modestas en comparación.
De las 773 millones de cuentas comprometidas, ya no todas tenían las mismas credenciales, lo cual es una buena noticia. Aún así, la mayor parte de la información en la violación de datos probablemente todavía sea válida o pueda ser utilizada por piratas informáticos para inferir los datos válidos basados en ella.
Solo podemos asumir que hay colecciones similares flotando por ahí que aún no se han subido en línea de forma gratuita.
Cómo protegerse del relleno de credenciales
Sabemos que hoy en día cada uno de nosotros administra múltiples cuentas en línea. Disfrutar al máximo de los beneficios de la existencia digital también significa crear una cuenta para tantos portales. Además de tus cuentas principales de correo electrónico y redes sociales, tendrás que crear una cuenta para el siguiente tipo de servicio:
- Varios programas de fidelización para las tiendas fuera de línea en las que compras;
- Tiendas minoristas en línea;
- Proveedores de entretenimiento en línea (Netflix)
- Herramientas de almacenamiento o compresión de datos;
- Instituciones públicas que te piden que inicies sesión antes de poder ver los informes;
- Muchas herramientas en línea que requieren registro antes de poder usarlas.
Si lo piensas, probablemente tengas más cuentas creadas y pocas veces visitadas de lo que pensabas inicialmente. Los estudios muestran que el usuario doméstico promedio tiene alrededor de 120 cuentas en línea asociadas con la misma dirección de correo electrónico, mientras que el usuario comercial promedio maneja alrededor de 191 cuentas en promedio. Obviamente, nadie puede recordar tantas contraseñas diferentes de memoria, como deberíamos, si queremos que nuestras cuentas sean lo más seguras posible.
La buena noticia es que en realidad no es necesario recordar tantas contraseñas para estar a salvo del relleno de credenciales y otros ataques de malware. Esto es lo que puedes hacer para protegerte mejor (y tu información importante) de estos ciberataques:
Utiliza un administrador de contraseñas seguro
Los ataques de relleno de credenciales se basan en tu previamente inevitable necesidad de establecer la misma contraseña o contraseñas similares para múltiples cuentas. Pero dado que existen los administradores de contraseñas, en realidad no necesitas saber tantas contraseñas diferentes de memoria.
Simplemente elige una buena opción, hay muchos administradores de contraseñas de buena reputación e incluso gratuitos para elegir. Si deseas ser más cauteloso, también existe la alternativa de mantener tus contraseñas almacenadas en dos herramientas de administración de contraseñas separadas. De esa manera, si algo sucede con una de las soluciones que estabas usando, tienes un plan B.
Establece solo contraseñas seguras y únicas para tus cuentas en línea
Resiste la tentación de usar como contraseña de acceso una que tenga un significado personal para ti. Los usuarios muchas veces se ven tentados a utilizar la llamada contraseña de recuerdo.
Debo aconsejarte que te abstengas de hacerlo por motivos de ciberseguridad. Si te preocupa tu seguridad en línea, asegúrate de establecer solo contraseñas sólidas y únicas que serán difíciles de romper para los ciberdelincuentes. Además, recuerda no usar contraseñas predeterminadas, porque son las primeras con las que los atacantes intentarán desbloquear tus cuentas y dispositivos.
Revisa tus cuentas y reestablece todas las contraseñas
Restablecer periódicamente tus contraseñas es una parte esencial de cualquier lista de verificación de higiene de la ciberseguridad. Muchas empresas de alto perfil tienen una política de seguridad interna que obliga a los empleados a cambiar sus contraseñas cada 6 meses. También están obligados a no usar sus contraseñas de trabajo en sus cuentas personales, pero desafortunadamente, algunos de ellos rompen esta regla. Eso es lo que hace que los ataques de relleno de credenciales sigan siendo una técnica de piratería viable.
Restablece todas las contraseñas en una limpieza digital periódica. Asegúrate de usar una diferente para cada cuenta, en caso de que el servidor sea pirateado. Dado que utilizarás un administrador de contraseñas y solo necesitas recordar una contraseña maestra, sigue adelante y usa el generador de contraseñas aleatorias para cada cuenta. De esta manera, puedes estar seguro de tener una contraseña segura.
Habilita la autenticación en dos factores o en varios factores donde puedas
Es posible que el sistema de autenticación de dos factores no sea 100% seguro, pero hará que sea más difícil para los ciberdelincuentes violar tus cuentas digitales.
Los hackers ya han ideado medios creativos para eludirlo. Pero esto no significa que no debas agregarlo siempre que sea posible, ya que múltiples capas de seguridad son mejores que una. La autenticación de múltiples factores siempre es mejor, así que opta por ella cuando puedas para mejorar la seguridad.
Usa un sistema de prevención y detección de amenazas
No necesitamos enfatizar lo importante que es tener múltiples capas de seguridad en todos los dispositivos que se conectan a Internet. Necesitas tanto una solución antivirus como un escudo.
Instamos a nuestros usuarios a que siempre mantengan sus aplicaciones y programas actualizados, ya que estas actualizaciones incluyen parches de seguridad y funciones, y mejorarán los programas de software utilizados. Un actualizador de software automático también es muy recomendable para mejorar la seguridad.
No te conectes a redes WI-FI públicas
Las redes públicas de Wi-Fi son uno de los mayores riesgos de seguridad para tu sistema. Si los usas para iniciar sesión en cualquier cuenta, puedes estar casi seguro de que tus credenciales terminarán en una recopilación de datos tarde o temprano. Si es absolutamente necesario conectarse a uno, utiliza siempre una solución VPN y redirecciona tu tráfico a través de ella.
Para hacer un esfuerzo adicional y asegurarse de que tu contraseña sea segura, lee nuestra guía de seguridad de contraseñas y aprende a administrar tus contraseñas como un profesional. Aún así, siempre que sigas los pasos que destacamos anteriormente, estarás más a salvo de los ataques de relleno de credenciales que nunca.