Como experto en seguridad, es fácil quedar atrapado en una carrera para contrarrestar las últimas técnicas avanzadas enemigas. Sin embargo, los ataques más influyentes a menudo no se deben a las hazañas de vanguardia, sino a credenciales agrietadas y cuentas comprometidas. A pesar de la conciencia generalizada de este vector de amenazas, el Informe Blue de Picus Security 2025 muestra que las organizaciones continúan luchando para evitar ataques con contraseña y detectar el uso malicioso de cuentas comprometidas.
Detrás de la primera mitad de 2025, las cuentas comprometidas y válidas siguen siendo el vector de ataque más inadecuado, destacando la necesidad urgente de un enfoque proactivo centrado en las amenazas que están eludiendo las defensas de la organización.
Llamada de atención: Increíble aumento en el éxito de la contraseña
PICUS Blue Report es una publicación de investigación anual que analiza qué tan bien una organización está prevenir y detectar amenazas cibernéticas reales. A diferencia de los informes tradicionales que se centran únicamente en las tendencias de amenazas y los datos de la encuesta, el informe azul se basa en hallazgos empíricos de más de 160 millones de simulaciones de ataque realizadas dentro de redes de organizaciones de todo el mundo utilizando la plataforma de verificación de seguridad PICUS.
En Blue Report 2025, Picus Labs descubrió que los intentos de agrietamiento de contraseñas tuvieron éxito en el 46% de los entornos probados, casi el doble de la tasa de éxito desde el año pasado. Este rápido ascenso destaca las debilidades subyacentes de la forma en que las organizaciones administran o el mal manejo de las políticas de contraseña. Las contraseñas débiles y los algoritmos de hash anticuados continúan dejando los sistemas críticos vulnerables a los atacantes para usar la fuerza bruta o los ataques de mesa del arco iris para obtener acceso no autorizado.
Este hallazgo plantea un problema grave dado que las grietas de contraseña son los métodos de ataque más antiguos y sin duda uno de los más efectivos. En la carrera por combatir las últimas y más sofisticadas especies de amenazas, muchas organizaciones no han podido adoptar, integrar e integrarse con las prácticas de autenticación modernas en defensa.
Por qué las organizaciones no pueden prevenir ataques de agrietamiento de contraseña
Entonces, ¿por qué las organizaciones aún no pueden evitar ataques de agrietamiento de contraseña? La causa raíz es el uso continuo de contraseñas débiles y métodos de almacenamiento de calificación obsoletos. Muchas organizaciones aún dependen de contraseñas fácilmente adivinables y algoritmos de hashing débiles, sin utilizar técnicas de sal de sales o autenticación multifactor (MFA).
De hecho, nuestros hallazgos mostraron que al menos un hash de contraseña se ha descifrado y convertido en ClearText en el 46% del entorno. Esto resalta particularmente las políticas de contraseña insuficientes para muchas cuentas internas.
Para combatir esto, las organizaciones necesitan implementar políticas de contraseña más seguros, implementar la autenticación de múltiples factores (MFA) para todos los usuarios y verificar sus defensas de calificación de forma regular. Sin estas mejoras, los atacantes continuarán comprometiéndose en cuentas válidas y tendrán un fácil acceso a los sistemas críticos.
Ataques basados en la calificación: amenazas tranquilas pero devastadoras
La amenaza de abuso de calificación es amplia y peligrosa, pero como lo más destacado de Blue Report 2025, las organizaciones aún son inadecuadas para esta forma de ataque. Además, una vez que un atacante tiene credenciales válidas, puede moverse fácilmente de lado, aumentar los privilegios y comprometer los sistemas críticos.
Los infantes de infantes y los grupos de ransomware dependen de las credenciales robadas para extenderse a través de la red, cavando agujeros más y más profundos, a menudo sin desencadenar la detección. Este movimiento sigiloso dentro de la red permite a los atacantes eliminar libremente los datos mientras mantiene los largos tiempos de residencia sin ser detectados.
A pesar de este problema continuo y conocido, las organizaciones continúan priorizando la defensa del perímetro, a menudo pasando por alto la protección de identidad y calificación, lo que resulta en un fondos insuficientes. El informe azul de este año muestra claramente que el abuso de cuentas válidas está en el corazón de los últimos ataques cibernéticos, reforzando la urgente necesidad de centrarse en la seguridad de la identidad y la verificación de la certificación.
Cuentas válidas (T1078): el camino más mal utilizado para el compromiso
Uno de los hallazgos clave del Blue Report 2025 es que las cuentas válidas (MITER ATT & CK T1078) siguen siendo las técnicas de ataque más explotadas, con respecto a las tasas de éxito del 98%. Esto significa que acceder a las credenciales válidas, ya sea agrietamiento de contraseñas o corredores de acceso inicial, permite a los atacantes mover rápidamente la red de su organización y, a menudo, pasar por alto las defensas tradicionales.
El uso de credenciales comprometidas es particularmente efectivo, ya que permite a los atacantes operar bajo el radar y dificulta que los equipos de seguridad detecten actividades maliciosas. Una vez dentro, se combina sin problemas con la actividad legítima del usuario, el acceso a datos confidenciales, la implementación de malware y la creación de nuevas rutas de ataque.
Cómo fortalecer la protección contra el abuso de elegibilidad y el agrietamiento de la contraseña
Para proteger contra ataques cada vez más efectivos, las organizaciones necesitan implementar políticas de contraseña más seguros, implementar requisitos de complejidad y eliminar los viejos algoritmos de hashing a favor de alternativas más seguras. También es esencial emplear la autenticación multifactorial (MFA) para todas las cuentas confidenciales. Incluso si sus credenciales están comprometidas, los atacantes no solo las usan para acceder a la red sin ningún paso de verificación adicional.
Verificar regularmente las defensas de calificación de los ataques simulados es importante para identificar las vulnerabilidades y garantizar que los controles funcionen como se esperaba. Las organizaciones también deben mejorar sus capacidades de detección de comportamiento para atrapar actividades anormales relacionadas con el abuso de calificación y el movimiento lateral.
Además, el monitoreo e inspeccionar el tráfico de salida para los signos de delaminación de datos y garantizar que se vigilen las mediciones de prevención de pérdidas de datos (DLP) y funcionen de manera efectiva para proteger su información confidencial.
Cierre la brecha entre credenciales y administración de contraseñas
Los hallazgos de Blue Report 2025 muestran que desafortunadamente muchas organizaciones todavía son vulnerables a las contraseñas agrietadas y las amenazas silenciosas de cuentas comprometidas. Además, si bien el fortalecimiento de la defensa del perímetro sigue siendo una prioridad, está claro que las debilidades en el núcleo son la gestión de calificación y los controles internos. El informe también destacó el hecho de que los cohosselers y los grupos de ransomware están aprovechando de manera efectiva estas brechas.
Si está listo para intensificar su actitud de seguridad, reducir la exposición y tomar medidas proactivas para priorizar las vulnerabilidades críticas, Blue Report 2025 ofrece ideas valiosas para mostrar dónde desea concentrarse. Y en PICUS Security, siempre estamos felices de hablar sobre ayudar a su organización a satisfacer sus necesidades de seguridad específicas.
No olvide obtener una copia de Blue Report 2025 y tome medidas proactivas hoy para mejorar su actitud de seguridad.
Source link
