El relleno de credenciales ha estado dominando los titulares en los últimos años y se ha convertido rápidamente en el método de ataque elegido por los ciberdelincuentes.
Entre el 1 de enero de 2018 y el 31 de diciembre de 2019, Akamai Technologies registró más de 88.000 millones de ataques en todos los sectores. Solo se espera que esta cifra aumente con el incremento de las violaciones de datos y el cambio masivo a los servicios en línea durante la pandemia de Covid-19.
Los ataques de relleno de credenciales se producen cuando los delincuentes utilizan grandes cantidades de nombres de usuario y contraseñas robados para acceder de forma fraudulenta a las cuentas de los usuarios. Esta información suele obtenerse en la web oscura como resultado de una de las muchas violaciones de datos corporativos.
Utilizando bots a gran escala y herramientas de automatización especializadas, los hackers pueden utilizar estas credenciales robadas para intentar múltiples solicitudes de inicio de sesión en varios sitios. Este tipo de ataque es relativamente fácil de ejecutar y se basa en gran medida en la reutilización de la misma contraseña.
En realidad, es un tipo de ataque de fuerza bruta, pero en lugar de adivinar combinaciones de contraseñas al azar, utiliza credenciales legítimas, mejorando así la tasa de éxito general.
Como la mayoría de los ciberataques, la motivación principal es financiera. Los hackers intentarán rentabilizar las cuentas comprometidas accediendo a las cuentas bancarias vinculadas, o utilizarán los datos personales para cometer un robo de identidad.
¿Qué es lo que alimenta el crecimiento de los ataques de relleno de credenciales?
Simplemente, son los miles de millones de credenciales comprometidas que se pueden comprar fácilmente en la web oscura. El sitio web HaveIBeenPwned.com rastrea más de 8.500 millones de credenciales comprometidas de más de 400 violaciones de datos, y algunas de estas violaciones son absolutamente colosales.
El ejemplo más notable de esto es la mega brecha de Collection #1. La brecha salió a la luz en 2019, exponiendo 1.200 millones de direcciones de correo electrónico y combinaciones de contraseñas únicas, 773 millones de direcciones de correo electrónico únicas y 21 millones de contraseñas.
Este fácil acceso a grandes cantidades de datos permite a los hackers probar millones de combinaciones diferentes de correo electrónico y contraseña con la esperanza de que los usuarios hayan reutilizado la misma contraseña.
La creciente sofisticación de las herramientas que los piratas informáticos utilizan ahora para lanzar estos ataques también ha facilitado la realización de múltiples intentos de inicio de sesión aparentando provenir de diferentes direcciones IP.
¿Qué sectores se ven afectados por los ataques de relleno de credenciales?
Todos los sectores son objeto de ataques de relleno de credenciales, pero algunos son más susceptibles que otros. Los más atacados son el comercio electrónico, el comercio minorista, los servicios financieros, el entretenimiento, la educación superior y los servicios sanitarios.
El sector de los servicios financieros se ha visto especialmente afectado y, en septiembre de este año, el FBI emitió una advertencia a las organizaciones del sector financiero sobre el repunte de estos ataques. La agencia descubrió que el 41 % de todos los ataques al sector financiero entre 2017 y 2020 se debieron al robo de credenciales, lo que supuso la pérdida de millones de dólares.
Este tipo de ataques puede tener consecuencias devastadoras para las empresas, como la pérdida de ingresos, el tiempo de inactividad operativa, el daño a la reputación, las sanciones financieras y la pérdida de clientes.
Ejemplos de ataques recientes de relleno de credenciales
Ha habido un notable aumento en el número de violaciones de datos resultantes de ataques a las credenciales. Algunos ejemplos recientes son:
- Dunkin Donuts - En febrero de 2019, Dunkin Donuts confirmó que había sufrido un ataque de relleno de credenciales, el segundo que tuvo lugar en el espacio de tres meses. En ambos ataques, los hackers utilizaron credenciales robadas que se filtraron de otros sitios para acceder a las cuentas de recompensas DD Perks. Una vez dentro, pudieron acceder al nombre y los apellidos de los usuarios, su dirección de correo electrónico, los números de cuenta de DD Perks y el código QR de DD Perks. En este ataque concreto, lo que buscaban los hackers no era la información personal del usuario, sino la propia cuenta, que luego vendían en la web oscura.
- Nintendo - En abril de 2020, Nintendo anunció que 160.000 cuentas habían sido vulneradas en un ataque de relleno de credenciales. Utilizando identificaciones y contraseñas de usuario previamente expuestas, los hackers pudieron acceder a las cuentas de los usuarios, permitiéndoles comprar artículos digitales utilizando tarjetas almacenadas. También pudieron ver datos sensibles como el nombre, la dirección de correo electrónico, la fecha de nacimiento, el sexo y el país.
Cómo evitar el relleno de credenciales
Seguridad de las contraseñas
Todos conocemos la importancia de utilizar contraseñas fuertes y únicas, pero según una reciente encuesta de seguridad de Google, el 65% de las personas utilizan la misma contraseña en varias cuentas.
Se trata de una práctica extremadamente arriesgada, ya que los ataques de relleno de credenciales se basan en gran medida en el uso de las mismas contraseñas reutilizadas. Puede que sea algo que tengas pendiente, pero merece la pena hacer una limpieza digital y crear contraseñas únicas para cada una de tus cuentas online.
Una buena manera de crear una contraseña más larga y compleja es utilizar una frase de contraseña. Una frase de contraseña es una cadena de palabras que usted puede recordar, pero que es difícil de descifrar para cualquier otra persona. La primera letra de cada palabra será la base de tu contraseña y las letras pueden sustituirse por números y símbolos para hacerla aún más segura.
Utilice un gestor de contraseñas
Si la idea de recordar múltiples contraseñas te llena de temor, entonces un gestor de contraseñas puede ser la solución. Un gestor de contraseñas proporciona una ubicación centralizada y encriptada que mantendrá un registro de todas tus contraseñas a salvo.
Los gestores de contraseñas almacenan los datos de inicio de sesión de todos los sitios web que utilizas y luego te conectan automáticamente cada vez que vuelves a un sitio. El primer paso al utilizar un gestor de contraseñas es crear una contraseña maestra. La contraseña maestra controlará el acceso a toda tu base de datos de contraseñas. Esta contraseña es la única que tendrás que recordar, por lo que es importante que sea lo más fuerte y segura posible.
Los gestores de contraseñas también pueden proteger contra los ataques de phishing, ya que rellenan la información de la cuenta basándose en las direcciones web registradas. Esto significa que si crees que estás en el sitio web de tu banco, pero el gestor de contraseñas no inicia la sesión automáticamente, es posible que te hayas desviado inadvertidamente a un sitio de phishing.
Implantar la autenticación multifactorial
La autenticación multifactor, también conocida como MFA, es una de las mejores formas de proteger la seguridad de tus cuentas online. De hecho, según Microsoft, hay un 99,9% menos de probabilidades de que tu cuenta se vea comprometida si utilizas MFA.
En lugar de confirmar su identidad con un simple nombre de usuario y contraseña, tendrá que proporcionar dos o más factores de autentificación a los que sólo usted puede acceder. Esto reduce la posibilidad de que un hacker pueda acceder fácilmente a sus cuentas.
Hay muchas tecnologías de autenticación diferentes que pueden utilizarse para confirmar su identidad y suelen basarse en algo que usted sabe, algo que tiene o algo que es.
Algunos de estos métodos de verificación son, sin duda, más seguros que otros, pero esencialmente significa que aunque alguien robe o adivine tu contraseña, no podrá acceder a tu cuenta sin otro factor de autentificación.
Supervise y bloquee los intentos de inicio de sesión sospechosos
Cuando los hackers intentan comprometer las cuentas a través del relleno de credenciales, suelen utilizar bots u otras herramientas automatizadas para introducir miles de credenciales en rápida sucesión. Estas credenciales suelen estar repartidas entre varias direcciones IP, lo que hace difícil determinar si se trata de intentos legítimos de inicio de sesión o de signos de un ataque coordinado.
Sin embargo, si hay varios intentos fallidos de inicio de sesión en un periodo de tiempo relativamente corto, esto puede ser una señal de que se está produciendo un ataque de relleno de credenciales. Para evitarlo, los departamentos de TI pueden establecer un límite en el número de intentos de inicio de sesión que una misma dirección IP puede realizar en un periodo de tiempo determinado. También pueden hacer un seguimiento de los inicios de sesión que resultan fraudulentos y poner estas direcciones IP en una lista negra.