Texto exclusivo de Cisco Talos.
El robo y filtración de contraseñas de correo electrónico, redes sociales y todo tipo de aplicaciones o servicios se ha convertido en uno de los blancos más acechados por los ciberdelincuentes, y es que de acuerdo con el análisis de Cisco Talos esta técnica fue la puerta de entrada para el 26% de todos los ataques registrados durante 2023.
Esta amenaza, conocida también como robo de credenciales, consiste en conseguir información válida y confidencial de un individuo (usuario y contraseña) para ingresar a sus cuentas y sacar provecho de los datos personales y financieros, sin embargo el riesgo no termina ahí.
Si bien es cierto que el robo de contraseñas puede iniciar con la intrusión a cuentas individuales, en muchos casos lo que los ciberdelincuentes realmente buscan es permanecer ocultos hasta infiltrarse en sistemas más complejos y así tener acceso a información sensible de organizaciones, empresas e incluso gobiernos, sin ser detectados.
¿Cómo ocurre el robo de credenciales?
Aunque los casos más sonados de robo de contraseñas se relacionan con ataques masivos dirigidos a bases de datos de grandes empresas u organizaciones, los criminales también hacen uso de diferentes métodos para engañar y obtener las credenciales directamente de los usuarios.
Para entender mejor la forma en que se lleva a cabo este delito, Cisco Talos comparte las tácticas más utilizadas y la forma en que se desarrollan.
A menudo las personas acostumbran guardar sus contraseñas en las aplicaciones más utilizadas o en el navegador para ingresar automáticamente a sus cuentas, lo cual es aprovechado por los agresores que buscan en las ubicaciones comunes de almacenamiento para obtener las contraseñas.
De hecho, el año pasado esta maniobra ocupó el cuarto lugar en la lista de las 20 técnicas de ATT&CK de MITRE que clasifica las amenazas e incidentes de ciberseguridad.
Campañas de phishing
A pesar de ser una de las formas de engaño más antigua y difundida, la falsificación de páginas y el envío de mensajes, aparentemente de fuentes legítimas, sigue afectando a los usuarios digitales.
A primera vista, una página para iniciar sesión, por ejemplo en el correo electrónico, parece real, pero se trata de copias con software malicioso diseñado para capturar los datos de acceso. Incluso el FBI informó que el phishing fue el principal incidente reportado a su Centro de Denuncias de Delitos en Internet en 2022.
Keylogging o captura de entrada
Esta técnica, que se ubicó en la séptima posición de la lista de ATT&CK, consiste en registrar cada pulsación del teclado de la víctima, para tener la información de inicio de sesión.
En algunos casos el keylogging ocurre luego de que el usuario cae en alguna campaña de phishing. Al respecto, el centro de respuesta a incidentes de Talos señala que el 36% de las herramientas maliciosas detectadas en 2023 se enfocaban en acceder y recopilar credenciales.
Robo o falsificación de tickets Kerberos
Kerberos es un protocolo de autenticación de redes creado por el MIT que valida las solicitudes de servicio y asigna tickets para una conexión segura; sin embargo el robo y falsificación de este tipo de tickets fue la novena técnica de ataque más común observada en 2023.
Búsqueda de cuentas inactivas
Las cuentas abandonadas o inactivas, que se crean a nivel empresarial o para fines personales, son uno de los objetivos más buscados por los cibercriminales, ya que a través de ellas pueden escabullirse a la red de una organización o pueden probar para ingresar a otras cuentas del usuario, aprovechando el hecho de que las personas a menudo utilizan las mismas contraseñas en más de una plataforma.
Ataques de fuerza bruta
Se trata de intentos repetidos para adivinar contraseñas mediante el uso de combinaciones hasta encontrar la correcta, esto se presenta regularmente cuando el ciberdelincuente tiene información parcial de la víctima, por ejemplo su dirección de correo o nombre de usuario en determinada plataforma.
Contrario a lo que podría pensarse, estos ataques no se dan de forma aleatoria, ya que en muchos de los casos el agresor utiliza datos obtenidos en otras filtraciones, como las descritas previamente.
Pulverización de contraseñas
Es una forma de ataque de fuerza bruta, pero en lugar de intentar múltiples contraseñas con sólo un usuario, el criminal prueba las mismas contraseñas (procedentes de fugas de información) en un gran número de cuentas de servicios populares, con la esperanza de que los usuarios reutilicen sus contraseñas.
Suplantación de identidad mediante código QR
El incremento en el uso de códigos QR desde el teléfono celular para ver el menú de los restaurantes, registrar visitas a un lugar o compartir información, recientemente ha sido utilizado por los ciberdelincuentes para instalar programas maliciosos sin que la persona lo advierta, y así tener acceso libre a sus credenciales.
¿Qué hacer para protegerte?
Como se ha visto, el robo de credenciales es una vulneración de la que nadie está exento, desde individuos hasta grandes organizaciones, de ahí la importancia de aplicar diferentes medidas de seguridad para disminuir los riesgos.
- Activa la autenticación multifactor (MFA) para el inicio de sesión en todas tus aplicaciones, para agregar una capa adicional de seguridad.
- Limita la cantidad de intentos de inicio de sesión fallidos consecutivos para evitar posibles accesos por fuerza bruta.
- Antes de ingresar cualquier dato en línea, verifica la URL o la procedencia de los mensajes para evitar caer en trampas de phishing.
- Utiliza contraseñas diferentes para cada cuenta y cámbialas por lo menos una vez al año.
- Haz una revisión de todas las cuentas o suscripciones que algunas vez hayas registrado (ya sea en plataformas gratuitas o servicios bajo contrato) y asegúrate de eliminar tus datos y cancelarlas si no las utilizas. En el caso de las empresas se deben desactivar todas las cuentas de las personas que salgan de la organización.
Fuente y redacción: eluniversal.com.mx
