Los ataques de relleno de credenciales aprovechan el hecho de que las personas usan las mismas credenciales para acceder a múltiples aplicaciones, sitios y servicios, lo que facilita el trabajo a los ciberdelincuentes que intentan robar la identidad digital de sus víctimas. Aquí te explicamos cómo funcionan y te damos algunos consejos para protegerte.
El relleno de credenciales es el último miembro de la familia de ataques de fuerza bruta (aunque el método es antiguo pero efectivo). Aunque no es un ataque de fuerza bruta en el sentido estricto, sin adivinanzas o descifrado de credenciales, los ataques de relleno de credenciales aprovechan la poca atención que se presta a la seguridad de las credenciales de los usuarios, especialmente en las empresas, que son el objetivo principal de este tipo de ciberataque.
Ataques de relleno de credenciales: la técnica
Específicamente, los ataques genéricos de relleno de credenciales se ejecutan así:
- El atacante crea (si no tiene uno a su disposición) un amplio archivo de nombres de usuario y contraseñas recopiladas en internet, quizás tras grandes brechas de datos.
- Crea un script (por ejemplo, en formato JSON) con instrucciones para acceder a este archivo, o utiliza una de las muchas herramientas disponibles online que automatizan la recuperación de credenciales robadas.
- Lanza el script contra un sitio web con la esperanza de que ciertos usuarios no hayan cambiado su contraseña o usen siempre la misma para diferentes cuentas.
Como puedes ver, el proceso para llevar a cabo el robo de identidad online es muy simple y la creación de herramientas automáticas disponibles para cualquiera hace que este tipo de ataque esté “de moda”. Tanto es así que, según algunas investigaciones, se roban más de 6.000 credenciales por minuto.
De hecho, nos encontramos ante un tipo de ataque que aprovecha la poca concienciación sobre seguridad de los usuarios y la falta de políticas específicas para la creación de cuentas en sitios de terceros.
Las herramientas utilizadas en los ataques de relleno de credenciales
Existen muchas herramientas y archivos online donde puedes ejecutar consultas según la dirección de correo electrónico o el dominio para encontrar las credenciales que luego se usarán en ataques de relleno de credenciales que llevan al robo de la identidad online de víctimas desprevenidas.
Sin duda, uno de los lugares donde se encuentran diariamente credenciales “frescas” es Pastebin. Muy a menudo, además, los datos de acceso de las cuentas de los usuarios se proporcionan a los ciberdelincuentes debido a errores de los desarrolladores que insertan las credenciales en las URL de los sitios y servicios online.
Los ataques basados en ingeniería social e inyección SQL también son otras fuentes privilegiadas para los malintencionados para obtener información personal valiosa de sus víctimas.
Pero el método más fácil para recuperar enormes listas de nombres de usuario y contraseñas, accesible incluso para los llamados “script kiddies”, es usar Google con “dorks” (términos de búsqueda que contienen varias palabras clave para introducir en el motor de búsqueda y obtener resultados específicos) que permiten encontrar rápidamente miles de páginas web indexadas por los Googlebots y que apuntan a archivos de configuración que contienen muchísimas credenciales en texto plano: por ejemplo, db_connect.php, archivos sql e, increíble pero cierto, incluso pass.txt y hojas de cálculo de Excel con abundancia de nombres de usuario y contraseñas. Un enorme depósito al que los buscadores de credenciales pueden acceder con suma facilidad.
Finalmente, otra forma fraudulenta de recuperar credenciales de acceso es el clásico phishing.
Ataques de relleno de credenciales: una historia real
Sin embargo, es erróneo pensar que los ataques de relleno de credenciales solo afectan al reutilización de contraseñas robadas ilícitamente a sus legítimos propietarios. Este tipo particular de ataque podría revelar mucho más sobre la víctima designada, especialmente en lo que respecta a la postura de seguridad de una empresa o un usuario.
La mayoría de las veces, los usuarios utilizan como contraseña el nombre de sus hijos, la fecha de un evento importante, el nombre de su novia, etc. Esta información “inocua” puede ser útil para obtener más información y luego crear una verdadera campaña de ataque dirigida a obtener, por ejemplo, la emisión de transferencias bancarias a favor de los ciberdelincuentes haciéndose pasar por un directivo de la empresa, o para inducir a departamentos enteros a realizar determinadas operaciones.
Dicho así parecería una historia de ciencia ficción, pero a este respecto puede ser útil mencionar un caso real que ocurrió en una empresa donde, gracias a la adopción de políticas de seguridad específicas, no se permitía la reutilización de la contraseña, pero el hecho de haber encontrado la clave de acceso a la cuenta corporativa de una persona determinada hizo que una transferencia bancaria de 50.000 euros fuera a parar a un desconocido. Estos son los hechos:
El señor X es el responsable financiero de una gran empresa, sigue metódicamente las políticas de la empresa y nunca se permitiría usar su cuenta oficial para sitios no relevantes o poco seguros, ni siquiera para acceder al foro financialgod.org, tanto es su escrúpulo.
Pero el señor X tiene una vida privada y, libre de las políticas de la empresa, decide usar la contraseña carlo2000 (nombre del hijo y año de nacimiento) para registrarse en el sitio web de su afición personal (pescadimontagna.com).
El sitio web resulta tener una seguridad deficiente y es fácilmente “hackeado” por los ciberdelincuentes, quienes inmediatamente después publican las credenciales de los usuarios en pastebin.com.
Un alegre joven filipino decide intentar el golpe y hace algunas investigaciones sobre los diversos usuarios encontrados. Descubre que el señor X es un personaje de cierto rango dentro de la empresa y, investigando aún más a fondo, logra encontrar su correo electrónico corporativo. Pero nada: las precauciones tomadas por el señor X en la gestión de su cuenta corporativa no permiten al atacante acceder al buzón.
Entonces, el joven filipino decide probar otras cuentas sociales que mientras tanto ha logrado encontrar, perfilando al señor X de una manera digna de los servicios secretos. Casualmente, el señor X ha utilizado la contraseña carlo2000 para otra cuenta personal. Esto permitió al joven obtener muchos datos especiales sobre las aficiones y actividades del señor X, además de numerosos números de teléfono.
En este punto, el joven ha forjado una campaña dirigida (incluyendo también ataques de tipo SMS spoofing) para que su oficina emitiera una transferencia bancaria de 50.000 euros a una empresa filipina ficticia. La estafa dio sus frutos.
¿Cuántos de nosotros diríamos ahora: “a mí no me habría pasado”?
Si está bien elaborada, y sin controles en varios niveles, las campañas de ataques de relleno de credenciales podrían engañar incluso a las personas más expertas y cuidadosas.
Buenas prácticas de seguridad para protegerse
Como hemos visto, los ataques de relleno de credenciales tienen varias facetas y el objetivo final no es solo identificar y robar la contraseña “correcta” insistiendo hasta encontrarla: se estima, de hecho, que el éxito de una reutilización de contraseña es del 2% durante un ataque.
Los ciberdelincuentes aprovechan los ataques de relleno de credenciales sobre todo para recuperar información personal y confidencial que representa la savia vital para comprender a la víctima, descubrir los detalles de su vida privada y llevar a cabo estafas cada vez más sofisticadas.
La solución a los ataques de relleno de credenciales consiste en implementar varios niveles de seguridad y definir políticas de seguridad empresariales precisas que limiten ciertas acciones o especifiquen qué se puede hacer y qué no.
En particular, una política de seguridad debe incluir los siguientes puntos:
- Si se utiliza una cuenta corporativa, usar una contraseña compleja que siga las directrices de la empresa para la creación de contraseñas y que nunca sea similar o igual a la utilizada internamente. Esto evita exponer al posible atacante la metodología utilizada internamente para la creación de contraseñas.
- Nunca usar una cuenta corporativa para fines privados; todo debe ser monitoreado por el equipo de ciberseguridad de la empresa para poder intervenir inmediatamente en caso de una posible violación de datos.
- Imponer la prohibición absoluta de acceder al correo electrónico personal desde los clientes de la empresa.
También es importante diferenciar siempre el nombre de usuario del ID de la empresa, para que sea difícil identificar al propietario. Además de estas pautas, también es útil adoptar sistemas de acceso con códigos captcha, bloqueo de inicio de sesión después de un cierto número de intentos y sistemas de autenticación multifactor.
No debemos olvidar que, a menudo, una de las principales fuentes de credenciales útiles para las actividades maliciosas de los ciberdelincuentes es la poca seguridad de los dispositivos móviles. Miles de aplicaciones de Android, por ejemplo, tenían keyloggers y puertas traseras ocultas en el código que permitían robar fácilmente las credenciales de los usuarios.
Si a esto añadimos que a menudo no hay controles válidos sobre los dispositivos móviles utilizados en la empresa (“pero sí, en los teléfonos solo está el correo”, es el mantra de muchos), nos encontramos en una situación paradójica en la que se gastan enormes presupuestos en seguridad perimetral dejando de lado la seguridad de los dispositivos utilizados para el teletrabajo.
En resumen, la defensa no es un método, sino una estrategia que debe estudiarse en función de la propia arquitectura empresarial y de las políticas de seguridad propias.
