Definición de recopilación de credenciales

La recopilación de credenciales es una técnica de ciberataque en la que los ciberdelincuentes recopilan credenciales de usuario (como identificaciones de usuario, direcciones de correo electrónico, contraseñas y otra información de inicio de sesión) en masa. Posteriormente, el hacker puede usar las credenciales para acceder a los sistemas y recopilar datos u otra información confidencial, venderlos o compartirlos en la dark web, o lanzar un ataque más sofisticado.

¿Cómo funciona la recopilación de credenciales?

Lo más común es que se instale un recopilador de credenciales (el mecanismo que usan los hackers para recopilar información de inicio de sesión) como una extensión maliciosa en un sitio web o una aplicación. Una vez instalado, el recopilador registra toda la información que los usuarios introducen durante el proceso de inicio de sesión.

Como los recopiladores de credenciales registran todos los inicios de sesión indiscriminadamente, los ciberdelincuentes pueden crear una reserva de nombres de usuario y contraseñas. Esto supone una amenaza importante tanto para las organizaciones como para las personas, ya que los usuarios suelen reutilizar contraseñas en muchas cuentas diferentes, a veces durante años.

Si un ciberdelincuente tiene acceso a una o más contraseñas comprometidas que un individuo haya usado en el pasado, esas credenciales le proporcionan un excelente punto de partida para averiguar su información de inicio de sesión en otros sitios o sistemas. En última instancia, el objetivo del criminal es acceder a información confidencial (como datos de cuentas bancarias o registros médicos) o a redes, bases de datos, sistemas o programas corporativos que formen parte del trabajo de la víctima.

Técnicas comunes empleadas en ataques de recopilación de credenciales

La recopilación de credenciales generalmente se lleva a cabo junto con otra técnica de ciberataque. Algunos de los métodos de ataque más frecuentes son los siguientes:

• Malware: el malware es una de las formas más comunes que adoptan los ataques de recopilación de credenciales. En estos ataques, un ciberdelincuente suele enviar un correo electrónico masivo que contiene un archivo adjunto infectado. Una vez descargado, el archivo instalará malware en las máquinas de usuarios desprevenidos para capturar y registrar automáticamente sus credenciales de inicio de sesión.
• Phishing: los ataques de phishing suelen abusar de la confianza en marcas populares para engañar a las víctimas de modo que faciliten sus credenciales. En ataques de recopilación de credenciales a gran escala, el delincuente generalmente enviará un correo electrónico masivo que incitará a los destinatarios a visitar un sitio web malicioso donde introducirán sus credenciales. Al igual que sucede en los ataques de malware, el recopilador de credenciales captura y guarda esta información.
• Suplantación de dominios: la suplantación de dominios es una forma de phishing en la que un ciberdelincuente suplanta la identidad de una persona o empresa conocida con un sitio web o dominio de correo electrónico falso para engañar a las personas y ganarse su confianza. El dominio puede parecer legítimo a simple vista, pero una inspección más exhaustiva revelará que una W es en realidad dos V, o bien que una L minúscula es en realidad una I mayúscula (la práctica de escribir con errores tipográficos y registrar un sitio web malicioso que aprovecha el tráfico web mal dirigido a veces se denomina typosquatting). El recopilador de credenciales instalado en el sitio falsificado guardará la información que compartan los usuarios engañados que hayan interactuado con el sitio o la aplicación.
• Ataques de intermediario (MITM): los ataques de intermediario (MITM) ocurren cuando un atacante logra interceptar y retransmitir comunicaciones entre dos partes que creen estar comunicándose entre sí. Los ataques MITM permiten a los ciberdelincuentes robar credenciales y otra información confidencial transmitida entre las dos partes, además de espiar todas las comunicaciones, lo que les facilita extraer más datos.

El riesgo de la recopilación de credenciales

Tener las credenciales de un usuario es extremadamente valioso para los hackers porque les permite suplantar su identidad y aparentar un acceso legítimo, como sería el caso de un empleado, un contratista, una cuenta de servicio o un proveedor externo. Como el ciberdelincuente aparenta ser un usuario legítimo, este tipo de ataque resulta difícil de detectar con defensas de seguridad tradicionales.

Además, debido a que muchas personas usan las mismas credenciales en diversas cuentas, es posible que el hacker pueda usar una dirección de correo electrónico y una contraseña robadas de una aplicación o cuenta para obtener acceso a sistemas, bases de datos o programas más sensibles.

Poder acceder a credenciales del sistema permite que los atacantes sofisticados establezcan un punto de apoyo en la organización. Una vez dentro, estos individuos pueden intentar moverse lateralmente o escalar privilegios. También pueden descargar, cifrar o alterar datos u otra información confidencial.

Finalmente, una vez que los hackers tienen acceso a credenciales legítimas, pueden sentar las bases para ataques a mayor escala y más avanzados, o configurar una puerta trasera para garantizar que sigan teniendo acceso incluso si su punto de entrada inicial se detecta o acaba caducando.

¿A qué se debe el crecimiento de la recopilación de credenciales?

En un entorno de trabajo conectado, los empleados a menudo necesitan usar un gran número de cuentas online. Para ellos, puede ser difícil controlar las credenciales de todas esas cuentas. Esa dificultad aumenta la probabilidad de que los usuarios flaqueen en su enfoque sobre la ciberseguridad y dejen a las empresas, y a ellos mismos, en una situación vulnerable frente a un ciberataque.

A medida que más organizaciones han ido aprovechando la tecnología de inicio de sesión único (SSO) para habilitar una plantilla remota y reducir la fricción en la experiencia del usuario, los ciberdelincuentes han llegado a reconocer la vulnerabilidad inherente de las contraseñas de repositorio y las credenciales de usuario.

Los ataques basados en la identidad, en los que los adversarios se hacen pasar por usuarios legítimos, son particularmente difíciles de detectar porque la mayoría de las soluciones de ciberseguridad tradicionales no pueden diferenciar entre un usuario real y un ciberdelincuente que lo suplanta.

La protección contra ataques basados en credenciales es fundamental porque esta técnica suele servir como puerta de entrada a otros problemas de seguridad más graves, como las brechas de datos, el robo de identidad y el malware o los ataques de ransomware.

Cómo prevenir los ataques de recopilación de credenciales

Puesto que los ataques basados en credenciales van dirigidos a individuos, la mejor línea de defensa contra estas técnicas es una plantilla informada y comprometida. Las organizaciones deben tomar medidas para formar a sus empleados de modo que reconozcan los signos de alerta y sepan cómo protegerse y qué hacer si sospechan que han sufrido un ataque de este tipo.

 Medidas que las personas pueden tomar para hacer frente a los ataques de credenciales

 1. Usar contraseñas seguras y únicas.

Las contraseñas seguras son más difíciles de descifrar para los ciberdelincuentes. Además, las contraseñas únicas limitan los daños en caso de que se filtren. Los empleados deben cambiar sus contraseñas periódicamente y nunca han de reciclar contraseñas antiguas. En lugar de escribir las contraseñas o guardarlas en un archivo, deberían sopesar el uso de una herramienta de almacenamiento de contraseñas de un proveedor de servicios fiable para que les resulte más sencillo emplear contraseñas complejas y protegerse frente a brechas.

 2. No abrir nunca archivos adjuntos de remitentes desconocidos ni hacer clic en enlaces de fuentes sospechosas.

Los ciberdelincuentes a menudo sacan provecho de la urgencia o el miedo para incitar a las personas a abrir archivos adjuntos o hacer clic en enlaces. Siempre que recibas un mensaje que parezca sospechoso o proceda de un remitente desconocido, léelo con atención y calma antes de hacer nada. En lugar de hacer clic en enlaces o archivos en el mensaje, abre una nueva pestaña del navegador e inicia sesión en tu cuenta manualmente para ver si has recibido el mismo mensaje a través de un canal oficial.

3. Utilizar un navegador y software actualizados.

Independientemente del sistema y del navegador que elijas, asegúrate de usar siempre la versión más reciente. Presta atención a los mensajes y las alertas del sistema que instan a actualizarlo, sobre todo si se indica que la actualización solucionará problemas de seguridad conocidos.

 4. No contestar nunca al spam.

Responder a correos electrónicos de phishing permite a los ciberdelincuentes saber que tu dirección de correo está activa. Colocarán tu dirección en la parte superior de sus listas de prioridad y continuarán atacándola.

5. Evitar el uso de conexiones Wi-Fi públicas o redes inseguras.

Los ciberdelincuentes suelen usar las redes públicas para realizar ataques MITM y otros ciberataques. Al utilizar estas redes, es posible que un hacker pueda espiar todas las comunicaciones y robar información transmitida durante la sesión, como las credenciales de inicio de sesión.

Medidas que las organizaciones pueden tomar para reforzar las defensas de seguridad

Las empresas también deberían tomar medidas a nivel corporativo para garantizar que están protegiendo su negocio, sus recursos y a sus clientes contra la recopilación de credenciales y otros ciberataques.

1. Llevar a cabo sesiones de formación periódicas y exhaustivas sobre seguridad.

El conocimiento es poder. Al formar a los usuarios para reconocer los ataques de credenciales y las técnicas de ingeniería social, phishing y malware asociadas, las organizaciones pueden convertir a sus empleados en una línea de defensa crítica para su entorno de TI. Para obtener más información sobre cómo desarrollar e implementar un programa de formación en materia de ciberseguridad, lee nuestra publicación relacionada aquí.

2. Activar y exigir la autenticación multifactor (MFA).

La autenticación MFA requiere que los usuarios presenten dos o más pruebas para verificar y autenticar su identidad antes de concederles el acceso solicitado. Las técnicas de autenticación MFA elevan la barrera de entrada a los ciberdelincuentes al impedirles comprometer aplicaciones y sistemas con una única contraseña.

3. Usar una solución de gestión de los derechos sobre la infraestructura de nube (CIEM).

Las soluciones CIEM permiten a las empresas gestionar los derechos en todos sus recursos de infraestructura en la nube. El principal objetivo de herramientas como CrowdStrike Falcon^® Cloud Security, que incluye capacidades CIEM, es reducir el riesgo de que se concedan permisos excesivos a recursos de la nube de un modo accidental o no verificado. Al eliminar privilegios innecesarios, las organizaciones pueden reducir la amenaza que supone una cuenta comprometida.

4. Asignar permisos adecuados a todos los usuarios y dispositivos.

Es fundamental que las organizaciones comprendan el acceso privilegiado que tienen los usuarios y los dispositivos. Las cuentas que pueden usarse para acceder a sistemas, datos y aplicaciones confidenciales deben gestionarse estrictamente para cumplir con los mandatos de seguridad y cumplimiento de las empresas modernas.

5. Añadir un Threat Hunting proactivo.

El Threat Hunting verdaderamente proactivo permite la búsqueda ininterrumpida de amenazas y ataques desconocidos y sigilosos que emplean credenciales robadas y se lanzan suplantando la identidad de usuarios legítimos. Precisamente este tipo de ataques son los que las medidas tradicionales pueden pasar por alto. Al emplear la experiencia adquirida en su lucha diaria contra atacantes sofisticados que recurren a amenazas persistentes avanzadas (APT), el equipo de Falcon Counter Adversary Operations encuentra y rastrea millones de pistas sutiles a diario para validar si son legítimas o maliciosas, alertando a los clientes cuando es necesario.