¿Los ciberdelincuentes hackean
sistemas o el verdadero riesgo
está en el robo de credenciales?

¿Por qué las credenciales son la zona cero de los ciberataques?

 

Según una estimación, más de 3.200 millones de credenciales fueron robadas de empresas globales en 2024, un aumento anual del 33%. Con el acceso que estas proporcionan a las cuentas corporativas, los actores de amenazas pueden deslizarse eficazmente en las sombras mientras planean su próximo movimiento. Esto podría implicar algunas formas más avanzadas de explotación criminal, por ejemplo:

– Llevar a cabo un reconocimiento de la red: buscar datos, activos y permisos de usuario a los que dirigirse a continuación.

– Escalar privilegios, por ejemplo, mediante la explotación de vulnerabilidades, con el fin de moverse lateralmente para llegar a esos almacenes/sistemas de datos de alto valor.

– Establecer comunicaciones encubiertas con un servidor de mando y control (C2) para descargar malware adicional y filtrar datos.

Siguiendo estos pasos, un adversario también podría llevar a cabo con éxito campañas de ransomware y de otro tipo.

 

¿Cómo logran robar las contraseñas?

 

Los cibercriminales han desarrollado varias formas de comprometer las credenciales corporativas de sus empleados o, en algunos casos, incluso sus códigos MFA. Entre ellas se incluyen

– Phishing: Correos electrónicos o mensajes de texto falsos que parecen enviados por una fuente oficial (por ejemplo, el departamento de TI o un proveedor de tecnología). Se anima al destinatario a hacer clic en un enlace malicioso que lo lleva a una página de inicio de sesión falsa (por ejemplo, Microsoft).

– Vishing: Una variación del phishing, pero esta vez la víctima recibe una llamada telefónica del autor de la amenaza. Puede hacerse pasar por el servicio de asistencia de TI y pedir a la víctima que entregue una contraseña o que inscriba un nuevo dispositivo MFA como parte de una historia ficticia. O podrían llamar al servicio de asistencia diciendo ser un ejecutivo o empleado que necesita un restablecimiento urgente de la contraseña para realizar su trabajo.

– Infostealers: Malware diseñado para obtener credenciales y cookies de sesión del ordenador/dispositivo de la víctima. Puede llegar a través de un enlace/adjunto de phishing malicioso, un sitio web comprometido, una aplicación móvil trampa, una estafa en las redes sociales o incluso un mod de juegos no oficial. Se cree que los fueron responsables del 75% de las credenciales comprometidas el año pasado.

– Ataques de fuerza bruta: Entre ellos se incluye el «credential stuffing», en el que los adversarios prueban combinaciones de nombre de usuario y contraseña previamente violadas contra sitios y aplicaciones corporativas. La proliferación de contraseñas, por su parte, aprovecha contraseñas de uso común en diferentes sitios. Los bots automatizados les ayudan a hacerlo a gran escala, hasta que finalmente una funciona.

– Infracciones de terceros: Los agresores atacan a un proveedor o socio que almacena credenciales para sus clientes, como un MSP o un proveedor de SaaS. O compran tropecientos «combos» de nombres de usuario ya vulnerados para utilizarlos en ataques posteriores.

– Evasión de la MFA: Las técnicas incluyen el intercambio de SIM, el bombardeo de avisos MFA que abruma al objetivo con notificaciones push con el fin de causar «fatiga de alerta» y obtener una aprobación push, y los ataques Adversary-in-the-Middle (AitM) en los que los atacantes se interponen entre un usuario y un servicio de autenticación legítimo para interceptar los tokens de sesión MFA.

Los últimos años han estado plagados de ejemplos reales de contraseñas comprometidas que han provocado graves incidentes de seguridad. Entre ellos se incluyen:

– Change Healthcare: En uno de los ciberataques más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) paralizó Change Healthcare, un proveedor estadounidense de tecnología sanitaria. La banda aprovechó un conjunto de credenciales robadas para acceder remotamente a un servidor que no tenía activada la autenticación multifactor (MFA). A continuación, escalaron sus privilegios y se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que en última instancia condujo a una interrupción sin precedentes del sistema de salud y al robo de datos sensibles de millones de estadounidenses.

– Copo de nieve: El agente de amenazas UNC5537, con motivaciones económicas, consiguió acceder a las instancias de la base de datos de clientes de Snowflake de varios clientes. Cientos de millones de clientes se vieron afectados por esta campaña de extorsión masiva de robo de datos. Se cree que el autor de la amenaza accedió a sus entornos a través de credenciales robadas previamente mediante malware de robo de información.

 

Mantén los ojos bien abiertos

 

Proteger las contraseñas de los empleados es más importante que nunca. También lo es asegurar los inicios de sesión y vigilar el entorno informático para detectar señales de brechas.

El enfoque de Zero Trust parte de una idea simple: nunca confíes, siempre verifica. Evalúa a cada usuario y dispositivo según su nivel de riesgo, considerando hora, ubicación o tipo de equipo. La autenticación multifactor (MFA) debe ser una defensa básica para impedir accesos no autorizados.

A esto se suma la capacitación continua. Los empleados necesitan conocer las técnicas actuales de ingeniería social y practicar cómo evitarlas. Las políticas internas también deben restringir el acceso a sitios inseguros y exigir el uso de software actualizado.

El monitoreo constante permite identificar comportamientos sospechosos o privilegios indebidos. Además, seguir el principio del menor privilegio reduce el daño si una cuenta se ve comprometida.

Por último, contar con un servicio MDR ayuda a detectar intrusiones derivadas del robo de credenciales, con monitoreo 24/7 y respuesta experta ante incidentes.

 

Podés leer el artículo completo en el siguiente enlace:

 

¿Los ciberdelincuentes hackean sistemas o simplemente inician sesión?