Reportan considerable incremento en el derrame de credenciales

Los derrames de credenciales son como un vertido de petr贸leo, una vez que se producen, son muy dif铆ciles de limpiar.

Seg煤n el informe聽Credential Stuffing Report 2021 de F5 Labs, los incidentes de derrame de credenciales se duplican a medida que aumenta la sofisticaci贸n de los ciberdelincuentes. El relleno de credenciales, que implica la explotaci贸n de grandes vol煤menes de nombres de usuario y / o correo electr贸nico y contrase帽a comprometidos, es un problema global creciente que se ha duplicado en el periodo 2016-2020, seg煤n la 煤ltima edici贸n del informe. En 2020 se vieron afectados 2 millones de registros, lo que supone un 234% m谩s con respecto a 2019.聽

Un informe del FBI publicado recientemente advierte de que el relleno de credenciales ha sido la principal amenaza de seguridad para el sector financiero durante el periodo 2017-2020, al representar el 41% del total de incidentes. 

Los ciberdelincuentes han estado recopilando miles de millones de credenciales durante a帽os. Los derrames de credenciales son como un vertido de petr贸leo, una vez que se producen, son muy dif铆ciles de limpiar, porque los usuarios no cambian sus datos y contrase帽as y las empresas a煤n no han adoptado de forma masiva soluciones que impidan el relleno de credenciales. Este tipo de ataque tiene un impacto a largo plazo sobre la seguridad de las aplicaciones鈥, afirma Sara Boddy, Directora Senior de F5 Labs. “Si est谩 siendo pirateado en estos momentos, lo m谩s probable es que se deba a un ataque de relleno de credenciales“. 

Por su parte, Sander Vinberg, Evangelista de Investigaci贸n de Amenazas en F5 Labs y coautor del informe, pide a las organizaciones no bajar la guardia. 鈥Los ataques de acceso, que incluyen pr谩cticas de relleno de credenciales y phishing, ya son la principal causa de las infracciones. Es muy poco probable que los equipos de seguridad de las organizaciones est茅n ganando la guerra contra la exfiltraci贸n de datos y el fraude, lo que estamos viendo es una estabilizaci贸n de un mercado cada vez m谩s maduro“. 

Deficiente almacenamiento de contrase帽as 

Seg煤n el informe de F5, el deficiente almacenamiento de contrase帽as sigue siendo uno de los problemas m谩s recurrentes. Aunque la mayor铆a de las organizaciones no divulgan sus algoritmos de contrase帽as, F5 ha tenido la oportunidad de estudiar 90 incidentes espec铆ficos que dan una idea de las causas m谩s probables del derrame de credenciales. 

As铆, en el 42,6% de los derrames de credenciales de los 煤ltimos tres a帽os se ha comprobado que se carec铆a de protecci贸n para unas contrase帽as almacenadas en texto sin formato.  

Otra observaci贸n de este informe es el incremento detectado en t茅cnicas de fuzzing con el objetivo de mejorar la tasa de 茅xito a la hora de explotar las credenciales robadas. El fuzzing es un proceso que busca encontrar vulnerabilidades analizando los c贸digos de entrada, probando repetidamente con entradas modificadas. F5 ha probado que es una pr谩ctica muy com煤n entre los atacantes m谩s avanzados. 

En la edici贸n de 2018 del informe Credential Stuffing Report, F5 se帽alaba que un derrame de credenciales tardaba una media de 15 meses en hacerse p煤blico. En estos momentos, ese periodo ha bajado a 11 meses. Por su parte, el tiempo medio para detectar un incidente de este tipo es de 120 d铆as.  

Cinco fases del abuso de credenciales 

El anuncio de un derrame suele coincidir con las credenciales que aparecen en los foros de la Dark Web. Para el Informe de relleno de credenciales de 2020, F5 analiz贸 espec铆ficamente el per铆odo crucial entre el robo de credenciales y su publicaci贸n en la Dark Web. 

Se estudiaron cuatro clientes de Fortune 500: dos bancos, un minorista y una empresa de alimentos y bebidas, que representan 72 mil millones de transacciones de inicio de sesi贸n durante 21 meses. Con la tecnolog铆a Shape Security, los investigadores pudieron “rastrear” las credenciales robadas a trav茅s de su robo, venta y uso. 

Seg煤n el estudio de las cuatro organizaciones, F5 identifica cinco fases del abuso de credenciales:  

鈥 Sigiloso: las credenciales comprometidas se usaron de manera sigilosa hasta un mes antes de un anuncio p煤blico. En promedio, cada credencial se usaba de 15 a 20 veces al d铆a en ataques en los cuatro sitios web. 

鈥 El aumento: en los 30 d铆as antes del anuncio p煤blico, F5 vio las credenciales circulando en la Dark Web. M谩s atacantes obtuvieron acceso a las credenciales, raz贸n por la cual la cantidad de ataques por d铆a aumenta constantemente. 

鈥 El bombardeo: a medida que las credenciales se hicieron p煤blicas, los aficionados empezaron a utilizarlas en las principales propiedades web. La primera semana fue particularmente activa, y cada cuenta fue atacada en promedio m谩s de 130 veces al d铆a. 

鈥 La ca铆da / nuevo equilibrio: despu茅s del primer mes, F5 identific贸 un nuevo equilibrio de aproximadamente 28 ataques por nombre de usuario por d铆a. Esto se debe a un subconjunto de atacantes novatos que todav铆a apuntan a empresas de alto valor con credenciales “obsoletas”. 

鈥 Reencarnaci贸n: despu茅s de realizar ataques de relleno de credenciales en una variedad de sitios web, un subconjunto de delincuentes se dispuso a reempaquetar credenciales v谩lidas para extender su vida 煤til y seguir explot谩ndolas. 

El relleno de credenciales seguir谩 siendo una amenaza mientras se siga exigiendo a los usuarios que inicien sesi贸n en sus cuentas online. Los atacantes continuar谩n adaptando sus ataques a las nuevas t茅cnicas de protecci贸n del fraude. Es imposible detectar de forma instant谩nea el 100% de los ataques, pero s铆 es posible lograr que los ataques resulten m谩s caros para intentar que los estafadores se den por vencidos鈥, concluye Boddy.聽

El informe completo Credential Stuffing Report 2021 est谩 disponible para lectura y descraga en el sitio de F5. No requiere registro.




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.