El derrame de credenciales
Los incidentes de derrame de credenciales se duplican a medida que aumenta la sofisticación de los ciberdelincuentes.
Los derrames de credenciales, un incidente de seguridad que implica la filtración de una combinación de datos compuesta por nombre de usuario y/o correo electrónico y contraseña, se han duplicado en el periodo 2016-2020, según la última edición del informe Credential Stuffing Report1 de F5.
A pesar de ello, el volumen total de credenciales derramadas durante ese periodo ha caído un 46%, debido a que si en 2016 se veían comprometidos una media de 63 millones de registros en cada incidente, en 2020 esa cifra cayó a 17 millones. Según el informe de F5, lo que está creciendo considerablemente es el tamaño de los incidentes de tamaño mediano, ya que en 2020 se vieron afectados 2 millones de registros en cada uno de ellos, lo que supone un 234% más con respecto a 2019. No obstante, aún no se han superado los 2,75 millones de registros afectados en cada incidente de tamaño mediano de 2016.
Según F5, la explotación de los datos filtrados, que se materializa en la práctica conocida como relleno de credenciales (credential stuffing), ya se ha convertido en un problema global. Un informe del FBI publicado recientemente advierte de que el relleno de credenciales ha sido la principal amenaza de seguridad para el sector financiero estadounidense durante el periodo 2017-2020, al representar el 41% del total de incidentes.
“Los ciberdelincuentes han estado recopilando miles de millones de credenciales durante años. Los derrames de credenciales son como un vertido de petróleo, una vez que se producen, son muy difíciles de limpiar, porque los usuarios no cambian sus datos y contraseñas y las empresas aún no han adoptado de forma masiva soluciones que impidan el relleno de credenciales. Este tipo de ataque tiene un impacto a largo plazo sobre la seguridad de las aplicaciones, por lo que no es raro que en el periodo estudiado haya superado a los ataques HTTP”, afirma Sara Boddy, directora senior de F5 Labs. "Si está siendo pirateado en estos momentos, lo más probable es que se deba a un ataque de relleno de credenciales".
Por su parte, Sander Vinberg, evangelista de investigación de amenazas en F5 Labs y coautor del informe, pide a las organizaciones no bajar la guardia. “Aunque el volumen general de las credenciales derramadas cayó en 2020, no hay nada que celebrar. Los ataques de acceso, que incluyen prácticas de relleno de credenciales y phishing, ya son la principal causa de las infracciones. Es muy poco probable que los equipos de seguridad de las organizaciones estén ganando la guerra contra la exfiltración de datos y el fraude, lo que estamos viendo es una estabilización de un mercado cada vez más maduro".
Deficiente almacenamiento de contraseñas
Según el informe de F5, el deficiente almacenamiento de contraseñas sigue siendo uno de los problemas más recurrentes. Aunque la mayoría de las organizaciones no divulgan sus algoritmos hash de contraseñas, F5 ha tenido la oportunidad de estudiar 90 incidentes específicos que dan una idea de las causas más probables del derrame de credenciales.
Así, en el 42,6% de los derrames de credenciales de los últimos tres años se ha comprobado que se carecía de protección para unas contraseñas almacenadas en texto sin formato. En el 20% de los casos las credenciales relacionadas con el algoritmo hash de contraseña SHA-1 carecían de un valor único que se puede agregar al final de la contraseña para crear un valor hash diferente. Sorprendentemente, en un número de casos reducido se comprobó la utilización del algoritmo hash MD5, que está totalmente desacreditado y que lleva décadas considerado como una práctica débil y deficiente.
Otra observación de este informe es el incremento detectado en técnicas de fuzzing con el objetivo de mejorar la tasa de éxito a la hora de explotar las credenciales robadas. El fuzzing es un proceso que busca encontrar vulnerabilidades analizando los códigos de entrada, probando repetidamente con entradas modificadas. F5 ha probado que la mayoría de ataques fuzzing se producen antes de que se publiquen las credenciales comprometidas, lo que lleva a pensar que es una práctica muy común entre los atacantes más avanzados.
En la edición de 2018 del informe Credential Stuffing Report, F5 señalaba que un derrame de credenciales tardaba una media de 15 meses en hacerse público. En estos momentos, ese periodo ha bajado a 11 meses. Por su parte, el tiempo medio para detectar un incidente de este tipo es de 120 días. F5 afirma que el anuncio de un derrame por parte de la empresa suele coincidir con la aparición de las credenciales robadas en los foros de la Dark Web.
Cinco fases del abuso de credenciales
Basándose en un análisis realizado sobre credenciales robadas a cuatro organizaciones del índice Fortune 500, F5 identifica cinco fases en el ciclo de vida de un abuso de credenciales:
· Fase sigilosa: hasta un mes antes de hacer público el incidente, las credenciales comprometidas se utilizan de forma sigilosa. Cada credencial se utilizó entre 15 y 20 veces cada día en los sitios web de las cuatro organizaciones estudiadas.
· Fase de aumento: 30 días antes de que el derrame se haga público, las credenciales comienzan a circular por la Dark Web, lo que supone que más ciberdelincuentes pueden tener acceso a las mismas. Como consecuencia, el número diario de ataques aumenta de forma constante.
· Fase de bombardeo: las credenciales robadas llegan a ciberdelincuentes aficionados o principiantes, lo que incrementa su actividad. Cada cuenta es atacada unas 130 veces al día.
· Fase de caída: Tras hacerse público el incidente se llega a una fase de equilibrio, con unos 28 ataques diarios a cada cuenta de usuario. Las credenciales ya están disponibles para una base muy amplia de atacantes, que siguen probando fortuna con credenciales ya obsoletas.
· Fase de reencarnación: las credenciales son reempaquetadas para seguir siendo probadas en otros sitios y extender, así, su vida útil.
"El relleno de credenciales seguirá siendo una amenaza mientras se siga exigiendo a los usuarios que inicien sesión en sus cuentas online. Los atacantes continuarán adaptando sus ataques a las nuevas técnicas de protección del fraude. Es imposible detectar de forma instantánea el 100% de los ataques, pero sí es posible lograr que los ataques resulten más caros para intentar que los estafadores se den por vencidos”, concluye Boddy.