¿Qué es el relleno de credenciales?

El relleno de credenciales ha estado dominando los titulares en los últimos años y se ha convertido rápidamente en el método de ataque preferido utilizado por los ciberdelincuentes.

Entre el 1 de enero de 2018 y el 31 de diciembre de 2019, Akamai Technologies registró más de 88.000 millones de ataques en todos los sectores. Solo se espera que esta cifra aumente con el incremento de las violaciones de datos y el cambio masivo a los servicios en línea durante la pandemia del Covid-19.

Los ataques de relleno de credenciales se producen cuando los delincuentes utilizan grandes cantidades de nombres de usuario y contraseñas robados para acceder de forma fraudulenta a las cuentas de los usuarios. Esta información suele obtenerse en la web oscura como resultado de una de las muchas violaciones de datos corporativos.

Utilizando bots a gran escala y herramientas de automatización especializadas, los piratas informáticos pueden entonces utilizar estas credenciales robadas para intentar múltiples solicitudes de inicio de sesión en varios sitios. Este tipo de ataque es relativamente fácil de ejecutar y depende en gran medida de que la gente reutilice la misma contraseña.

En realidad, se trata de un tipo de ataque de fuerza bruta, pero en lugar de adivinar combinaciones de contraseñas aleatorias, utiliza credenciales legítimas, mejorando así la tasa de éxito global.

Como la mayoría de los ciberataques, la motivación principal es financiera. Los piratas informáticos intentarán rentabilizar las cuentas comprometidas accediendo a las cuentas bancarias vinculadas, o utilizarán los datos personales para cometer un robo de identidad.

¿Qué está alimentando el crecimiento de los ataques de relleno de credenciales?

Sencillamente, son los miles de millones de credenciales comprometidas que se pueden comprar fácilmente en la web oscura. El sitio web HaveIBeenPwned.com rastrea más de 8.500 millones de credenciales comprometidas de más de 400 violaciones de datos, y algunas de estas violaciones son absolutamente colosales.

El ejemplo más notable de esto es la mega brecha de Collection #1. La brecha salió a la luz en 2019, dejando al descubierto 1.200 millones de direcciones de correo electrónico y combinaciones de contraseñas únicas, 773 millones de direcciones de correo electrónico únicas y 21 millones de contraseñas.

Este fácil acceso a grandes cantidades de datos permite a los piratas informáticos probar millones de combinaciones diferentes de correo electrónico y contraseña con la esperanza de que los usuarios hayan reutilizado la misma contraseña.

La creciente sofisticación de las herramientas que los piratas informáticos utilizan actualmente para lanzar estos ataques también ha facilitado la realización de múltiples intentos de inicio de sesión aparentando proceder de diferentes direcciones IP.

¿A qué sectores afectan los ataques de relleno de credenciales?

Todas las industrias son objetivo de ataques de relleno de credenciales, pero algunas son más susceptibles que otras. Los más atacados son el comercio electrónico, el comercio minorista, los servicios financieros, el ocio, la enseñanza superior y los servicios sanitarios.

La industria de los servicios financieros se ha visto especialmente afectada y, en septiembre de este año, el FBI emitió una advertencia a las organizaciones del sector financiero sobre el repunte de estos ataques. La agencia descubrió que el 41% de todos los ataques al sector financiero entre 2017 y 2020 se debieron al relleno de credenciales, lo que provocó la pérdida de millones de dólares.

Este tipo de ataques puede tener consecuencias devastadoras para las empresas, como la pérdida de ingresos, el tiempo de inactividad operativa, daños a la reputación, sanciones económicas y pérdida de clientes.

Ejemplos de ataques recientes de relleno de credenciales

Se ha producido un notable aumento en el número de violaciones de datos derivadas de ataques a las credenciales. Algunos ejemplos recientes son:

• Dunkin Donuts – En febrero de 2019, Dunkin Donuts confirmó que había sufrido un ataque de relleno de credenciales, el segundo que se producía en el espacio de tres meses. En ambos ataques, los hackers utilizaron credenciales robadas que se filtraron de otros sitios para acceder a las cuentas de recompensas DD Perks. Una vez dentro, pudieron acceder al nombre y apellidos de los usuarios, su dirección de correo electrónico, los números de cuenta de DD Perks y el código QR de DD Perks. En este ataque concreto, lo que buscaban los piratas informáticos no era la información personal del usuario, sino la propia cuenta, que luego vendieron en la web oscura.
• Nintendo – En abril de 2020, Nintendo anunció que 160.000 cuentas habían sido vulneradas en un ataque de relleno de credenciales. Utilizando identificadores de usuario y contraseñas previamente expuestos, los piratas informáticos pudieron acceder a las cuentas de los usuarios, lo que les permitió comprar artículos digitales utilizando tarjetas almacenadas. También pudieron ver datos sensibles como el nombre, la dirección de correo electrónico, la fecha de nacimiento, el sexo y el país.

Cómo evitar el relleno de credenciales

Seguridad de contraseñas fuerte

Todos conocemos la importancia de utilizar contraseñas fuertes y únicas, sin embargo, según una reciente encuesta de seguridad realizada por Google, el 65% de las personas utilizan la misma contraseña en varias cuentas.

Se trata de una práctica extremadamente arriesgada, ya que los ataques de relleno de credenciales dependen en gran medida de que utilicemos las mismas contraseñas reutilizadas de siempre. Puede que sea algo que tenga pendiente, pero merece la pena hacer una limpieza digital y crear contraseñas únicas para cada una de sus cuentas en línea.

Una buena forma de crear una contraseña más larga y compleja es utilizar una frase de contraseña. Una frase de contraseña es una cadena de palabras parecida a una oración que le resultará memorable pero difícil de descifrar para cualquier otra persona. La primera letra de cada palabra formará la base de su contraseña y las letras pueden sustituirse por números y símbolos para hacerla aún más segura.

Utilice un gestor de contraseñas

Si la idea de recordar múltiples contraseñas le llena de pavor, entonces un gestor de contraseñas puede ser la solución. Un gestor de contraseñas proporciona una ubicación centralizada y encriptada que mantendrá a salvo un registro de todas sus contraseñas.

Los gestores de contraseñas almacenan los datos de inicio de sesión de todos los sitios web que utiliza y, a continuación, inician la sesión automáticamente cada vez que vuelve a un sitio. El primer paso al utilizar un gestor de contraseñas es crear una contraseña maestra. La contraseña maestra controlará el acceso a toda su base de datos de contraseñas. Esta contraseña es la única que tendrá que recordar, por lo que es importante que sea lo más fuerte y segura posible.

Los gestores de contraseñas también pueden protegerle contra los ataques de phishing, ya que rellenan la información de su cuenta basándose en las direcciones web registradas. Esto significa que si cree que está en el sitio web de su banco, pero el gestor de contraseñas no le registra automáticamente, es posible que se haya desviado inadvertidamente a un sitio de phishing.

Implantar la autenticación multifactor

La autenticación multifactor, también conocida como MFA, es una de las mejores formas de proteger la seguridad de sus cuentas en línea. De hecho, según Microsoft, es más de un 99,9% menos probable que su cuenta se vea comprometida si utiliza MFA.

En lugar de limitarse a confirmar su identidad con un simple nombre de usuario y una contraseña, tendrá que proporcionar dos o más factores de autenticación a los que sólo usted pueda acceder. Esto reduce la posibilidad de que un pirata informático pueda acceder fácilmente a sus cuentas.

Existen muchas tecnologías de autenticación diferentes que pueden utilizarse para confirmar su identidad y suelen basarse en: algo que sabe, algo que tiene o algo que es.

Algunos de estos métodos de verificación son sin duda más seguros que otros, pero en esencia significa que aunque alguien robe o adivine su contraseña, no podrá acceder a su cuenta sin otro factor de autenticación.

Supervise y bloquee los intentos de inicio de sesión sospechosos

Cuando los piratas informáticos intentan comprometer cuentas mediante el relleno de credenciales, suelen utilizar bots u otras herramientas automatizadas para introducir miles de credenciales en rápida sucesión. Éstas suelen estar repartidas entre varias direcciones IP, lo que dificulta determinar si se trata de intentos legítimos de inicio de sesión o de indicios de un ataque coordinado.

Sin embargo, si se producen varios intentos fallidos de inicio de sesión en un periodo de tiempo relativamente corto, puede ser señal de que se está produciendo un ataque de relleno de credenciales. Para evitar que esto ocurra, los departamentos de TI pueden establecer un límite en el número de intentos de inicio de sesión que una misma dirección IP puede realizar en un periodo de tiempo determinado. También pueden rastrear los inicios de sesión que resultan en fraude y poner en una lista negra estas direcciones IP.