Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
¿Qué es el robo de credenciales?
El robo de credenciales es el acto consistente en robar información personal, como nombres de usuario, contraseñas y datos financieros, con el propósito de obtener acceso a una cuenta o un sistema online. Es una forma de robo de identidad y puede implicar el uso de software malicioso o técnicas de phishing.
En los entornos de nube, la identidad es el nuevo perímetro. Los atacantes son muy conscientes de ello y hacen de las credenciales su objetivo para comprometer los entornos de nube y robar datos empresariales. Controlar el acceso a las cargas de trabajo y los servicios en la nube es fundamental para la seguridad en este entorno; por ende, las organizaciones deben priorizar la prevención del robo de credenciales para proteger el acceso a los recursos en la nube.
La obtención de las credenciales permite a los ciberdelincuentes hacerse pasar por el propietario de la cuenta y figurar como alguien con acceso legítimo, como un empleado, un contratista, una cuenta de servicio o un proveedor. Como el ciberdelincuente aparenta ser un usuario legítimo, resulta difícil que las defensas detecten este tipo de ataque. Los atacantes pueden entonces aprovechar su acceso para expandir su presencia en la organización objetivo.
Causas habituales del robo de credenciales
1. Malware
Los programas maliciosos pueden infectar los dispositivos de los usuarios y robar credenciales. El malware puede instalarse en los dispositivos de los usuarios desprevenidos mediante técnicas como descargas automáticas e ingeniería social.
2. Phishing
Los ataques de phishing suelen abusar de la confianza en marcas populares para engañar a las víctimas de modo que faciliten sus credenciales. Por lo general, se usa un correo electrónico para incitar al destinatario a visitar un sitio web malicioso donde introducirá sus credenciales.
3. Contraseñas débiles o reciclado de contraseñas
Los ciberdelincuentes se aprovechan de malas prácticas de seguridad de contraseñas para obtener acceso a sistemas, aplicaciones y datos. Las contraseñas débiles son más fáciles de descifrar, mientras que el reciclado o la reutilización de contraseñas aumenta el riesgo de que una sola contraseña robada pueda ocasionar problemas de mayor envergadura.
4. Ataques a servicios en la nube que conducen a movimientos laterales
Los ataques al entorno de la nube pueden provocar que los atacantes obtengan acceso a sistemas y recursos locales. Estos ataques pueden aprovechar cuentas con permisos excesivos para ampliar su alcance dentro de la infraestructura de TI de la víctima.
5. Ataques de intermediario (MITM)
Estos ataques ocurren cuando un atacante logra interceptar y retransmitir comunicaciones entre dos partes que creen estar comunicándose entre sí. Los ataques MITM permiten a los ciberdelincuentes robar credenciales y espiar las comunicaciones.
Más información
Para que la estrategia de seguridad de la nube sea completa, debe mitigar el riesgo, proteger de las amenazas y superar los desafíos para que la empresa utilice la nube para crecer con seguridad.
Ejemplo de ataque de robo de credenciales
En una era de trabajadores remotos y computación en la nube, el robo de credenciales ha surgido como una táctica habitual para lograr una entrada inicial a un sistema, así como un medio para eludir la seguridad de una red comprometida tras lograr acceder ilícitamente.
Los atacantes suelen alojar páginas de autenticación falsas para recopilar credenciales legítimas de acceso a servicios en la nube, como Microsoft Office 365 (O365), Okta o cuentas de correo web. Después, emplean estas credenciales para intentar entrar en las cuentas de las víctimas.
El acceso a servicios de correo o alojamiento de archivos en la nube también puede facilitar el espionaje y el robo de información. En abril de 2021, CrowdStrike detectó el ataque de COSMIC WOLF (un atacante afiliado a Turquía) dirigido contra los datos almacenados en el entorno de un gran proveedor de servicios en la nube (CSP). El atacante entró al entorno utilizando las credenciales robadas de un usuario y después interaccionó con el CSP a través de la línea de comandos. Con esta técnica, alteró la configuración del grupo de seguridad para habilitar el acceso SSH directo desde una infraestructura maliciosa.
Qué puedes hacer para prevenir el robo de credenciales
1. Activar y exigir la autenticación multifactor (MFA)
La autenticación MFA requiere que el usuario presente dos o más pruebas para verificar y autenticar su identidad antes de concederle el acceso solicitado. Las técnicas de autenticación MFA elevan la barrera de entrada a los ciberdelincuentes al impedirles comprometer aplicaciones y sistemas con una única contraseña.
2. Llevar a cabo formaciones en materia de seguridad contra el phishing
El conocimiento es poder. Al formar a los usuarios para reconocer los ataques de phishing y los patrones de la ingeniería social, las organizaciones pueden convertir a sus empleados en una línea de defensa crítica para su entorno de TI.
3. Mantener una buena higiene de contraseñas
Las contraseñas seguras son más difíciles de descifrar para los ciberdelincuentes. Estas contraseñas deben cambiarse periódicamente y no han de compartirse entre usuarios. Además, hay que abstenerse de usar la misma contraseña en varios sitios o servicios.
4. Usar una solución de gestión de los derechos sobre la infraestructura de nube (CIEM)
Las soluciones CIEM permiten a las empresas gestionar los derechos en todos sus recursos de infraestructura en la nube. El principal objetivo de herramientas como CrowdStrike Falcon Cloud Security™, que incluye capacidades CIEM, es reducir el riesgo de que se concedan permisos excesivos a recursos de la nube de un modo accidental o no verificado. Al eliminar privilegios innecesarios, las organizaciones pueden reducir la amenaza que supone una cuenta comprometida.
5. Asignar permisos adecuados a todos los usuarios y dispositivos
Es fundamental que las organizaciones comprendan el acceso privilegiado que tienen los usuarios y los dispositivos. Las cuentas que pueden usarse para acceder a sistemas, datos y aplicaciones confidenciales deben gestionarse estrictamente para cumplir con los mandatos de seguridad y cumplimiento de las empresas modernas.
NetApp
Jyoti Wadhwa, Head of Global Product and Cloud Security de NetApp, comparte su perspectiva sobre la presencia de mujeres en el sector de la ciberseguridad y cómo CrowdStrike Falcon® Cloud Security ofrece protección en tiempo de ejecución en el entorno multinube de NetApp.
Ver el caso del cliente
David Puzas es un experimentado líder empresarial y especialista en marketing de servicios de TI, nube y ciberseguridad con más de dos décadas de experiencia. Su labor consiste en crear valor para el cliente y resultados innovadores para empresas como CrowdStrike, Dell SecureWorks y clientes de IBM en todo el mundo. Se centra en optimizar la innovación informática, las tendencias y sus implicaciones comerciales para ampliar y hacer crecer el mercado. David es responsable de la comercialización estratégica de la cartera de seguridad global en la nube de CrowdStrike y de fomentar la retención de clientes.
