Imagínese esto. Sarah, una contadora, recibe periódicamente correos electrónicos de restablecimiento de contraseña del proveedor de nube de su organización. Hace clic en el enlace, ingresa sus credenciales y regresa a la hoja de cálculo. Sin embargo, sin darse cuenta, cometió un gran error. Sarah accidentalmente le da su información de inicio de sesión a un ciberdelincuente. Los ciberdelincuentes llegan hasta los mercados de la web oscura y venden sus credenciales por unos 15 dólares. No es algo que ocurre una sola vez, pero cuando lo amplías, obtienes muchos ingresos.
Ciclo de vida de compromiso de credenciales
Los usuarios crean credenciales: con docenas de aplicaciones empresariales independientes, cada una con su propio inicio de sesión, los empleados deben crear numerosas cuentas. Pero hacer un seguimiento de varios nombres de usuario y contraseñas únicos es una molestia, por lo que termino reutilizando las contraseñas o cambiándolas ligeramente. Los piratas informáticos comprometen las credenciales: los atacantes obtienen estas credenciales mediante phishing, ataques de fuerza bruta, compromiso de terceros o claves API expuestas. Y muchas veces nadie se da cuenta de lo que pasó. Los piratas informáticos agregan y monetizan las credenciales. Las redes criminales vierten credenciales robadas en grandes bases de datos y las venden en mercados clandestinos. Los piratas informáticos venden la información de inicio de sesión de su empresa al mejor postor. Los piratas informáticos distribuyen y utilizan credenciales como armas. Luego, el comprador difunde estas credenciales por toda la red criminal. Los bots los prueban con todas las aplicaciones comerciales que pueden encontrar, mientras que los operadores humanos seleccionan los objetivos más valiosos. Los piratas informáticos hacen un mal uso activo de las credenciales. Un inicio de sesión exitoso permite al atacante obtener acceso, aumentar privilegios y comenzar el trabajo real (robo de datos, ransomware o lo que sea más rentable). Cuando notes patrones de inicio de sesión extraños o actividad de red inusual, es posible que hayan estado ocultos durante días, semanas o incluso más.
Vectores de compromiso comunes
A los delincuentes no les faltan formas de obtener las credenciales de usuario de su empresa.
Campañas de phishing: los atacantes crean correos electrónicos falsos que parecen legítimos con logotipos de empresas robados y textos convincentes. Incluso los empleados más preocupados por la seguridad pueden caer en estas sofisticadas estafas. Credential Stuffing: los atacantes capturan contraseñas de antiguas infracciones y las prueban en todas partes. Una tasa de éxito de piratería del 0,1% puede parecer pequeña, pero se suma rápidamente si se considera la prevalencia de la reutilización de contraseñas y el hecho de que los piratas informáticos prueban millones de credenciales por hora. Compromiso de terceros: cuando LinkedIn es pirateado, los atacantes no solo se dirigen a los usuarios de LinkedIn, sino que prueban las mismas credenciales con todo tipo de otras aplicaciones comerciales. Es posible que su empresa tenga la seguridad más sólida del mundo, pero sigue siendo vulnerable si los usuarios reutilizan las credenciales. Divulgación de clave API: los desarrolladores exponen accidentalmente sus credenciales en repositorios, archivos de configuración y documentación de GitHub. Los robots automatizados los escanean las 24 horas del día, los 7 días de la semana y los recopilan en cuestión de minutos.
ecosistema criminal
Así como una red de robo de automóviles tiene muchos actores diferentes, desde ladrones que cazan en las calles hasta propietarios de depósitos de salvamento y exportadores extranjeros, el ecosistema de robo de credenciales tiene muchos actores malos diferentes que pretenden hacer más con las credenciales robadas. Pero conocer sus estrategias puede ayudarle a proteger mejor su organización.
Los estafadores oportunistas quieren dinero rápido. Drenan cuentas bancarias, realizan compras fraudulentas y roban criptomonedas. No son quisquillosos. Si las credenciales comerciales funcionan para sitios orientados al consumidor, las usarán.
Las botnets automatizadas son máquinas de prueba de credenciales que nunca duermen. Lanzan millones de combinaciones de nombre de usuario y contraseña en miles de sitios web, buscando algo que haga clic. El nombre de su juego es cantidad, no precisión.
Luego, los mercados criminales actúan como intermediarios que compran credenciales robadas al por mayor y las revenden a los usuarios finales. Piense en ello como el eBay del cibercrimen, con capacidades de búsqueda que permiten a los compradores encontrar fácilmente los datos de su organización.
Los grupos del crimen organizado tratan sus credenciales como un arma estratégica. Mantienen el acceso durante meses, mapean redes y planifican ataques a gran escala, como ransomware y robo de propiedad intelectual. Este es el tipo de expertos que pueden convertir una única vulneración de credenciales en un desastre multimillonario.
Impacto en el mundo real
Una vez que un atacante tiene un conjunto válido de credenciales, el daño comienza rápidamente y se extiende por todas partes.
Apropiación de cuentas: los piratas informáticos eluden los controles de seguridad con acceso legítimo. Leen correos electrónicos, recuperan datos de clientes y envían mensajes que parecen provenir de empleados. Movimiento horizontal: una cuenta comprometida rápidamente se convierte en 10 y luego en 50. Los atacantes saltan a través de las redes, escalando privilegios y tramando los sistemas más valiosos. Robo de datos: los atacantes se centran en identificar información valiosa, como bases de datos de clientes, registros financieros y secretos comerciales, y desviarla a través de canales que son normales para las herramientas de monitoreo. Abuso de recursos: si un atacante lanza una operación de minería de criptomonedas, envía spam a través de su sistema de correo electrónico o agota la cuota de API de su propio proyecto, su factura de la nube se disparará. Implementación de ransomware: cuando los piratas informáticos buscan grandes recompensas, suelen recurrir al ransomware. Encriptan todo lo que es importante para usted y le piden que pague, sabiendo que probablemente terminará pagando porque restaurar desde una copia de seguridad lleva una eternidad y no es un proceso barato.
Pero eso es sólo el comienzo. También puede considerar multas regulatorias, demandas, enormes costos de remediación y reputaciones que pueden tardar años en recuperarse. De hecho, muchas organizaciones no pueden recuperarse completamente de un incidente de compromiso de credenciales a gran escala.
Toma acción ahora
De hecho, es posible que algunas de las credenciales de usuario de su empresa ya se hayan visto comprometidas. Y cuanto más tiempo pasen sin ser detectadas sus credenciales comprometidas, mayor será el objetivo detrás de usted.
Priorice la búsqueda de credenciales comprometidas antes de que los delincuentes las utilicen. Por ejemplo, Credential Checker de Outpost24 es una herramienta gratuita que le muestra con qué frecuencia aparecen los dominios de correo electrónico de su empresa en repositorios filtrados, canales observados o mercados clandestinos. Esta verificación gratuita y sin registro no muestra ni almacena credenciales individuales comprometidas. Simplemente le hace consciente de su nivel de riesgo. Verifique su dominio en busca de credenciales comprometidas ahora.
Source link
