¿Qué son los ataques basados en la identidad?

Los ataques basados en la identidad son ciberataques que tienen como objetivo las credenciales de los usuarios, como nombres de usuario, contraseñas y tokens de autenticación, para obtener acceso no autorizado a sistemas o datos. Estos ataques explotan debilidades en la seguridad de la identidad mediante métodos como el phishing, la inserción de credenciales, omisión de la autenticación MFA y secuestro de sesiones, lo que permite a los ciberdelincuentes hacerse pasar por usuarios legítimos y moverse lateralmente dentro de una red. Algunas razones por las que los ataques basados en la identidad están en aumento son el uso de IA adversaria, que las empresas cambien a proveedores de identidad en la nube y la adopción de más aplicaciones SaaS. Cinco de las diez tácticas principales de MITRE ATT&CK se basan en la identidad.

Por desgracia, los ataques basados en la identidad son extremadamente difíciles de detectar. Cuando se vulneran las credenciales válidas de un usuario y un atacante las utiliza para suplantar su identidad, si se usan medidas y herramientas de seguridad convencionales suele ser muy difícil distinguir si se trata del comportamiento normal del usuario o si es el hacker el que actúa.

Para comprender mejor el panorama de las amenazas a la identidad, vamos a hablar de ocho ataques comunes basados en la identidad y de cómo funcionan.

Ocho tipos de ataques basados en la identidad

¿Cuáles son algunos de los ataques basados en la identidad más comunes? 

1. Phishing e ingeniería social

2. Inserción de credenciales

3. Ataque Golden ticket

4. Kerberoasting

5. Ataque MITM

6. Ataque Pass-the-Hash

7. Password spraying

8. Ataque Silver Ticket

1. Phishing e ingeniería social

El phishing es uno de los métodos de ataque basados en la identidad más habituales. En este caso, los ciberdelincuentes manipulan a las víctimas para que revelen información confidencial, como credenciales de acceso o datos financieros. Estos ataques adoptan diversas formas, como el phishing por correo electrónico, donde los ciberdelincuentes se hacen pasar por organizaciones legítimas; el spear phishing, que ataca a individuos específicos con mensajes personalizados, y whaling, que se centra en ejecutivos de perfil alto. Otras variantes incluyen el vishing (phishing por voz), donde los ciberdelincuentes utilizan llamadas telefónicas para extraer información, y el smishing (phishing por SMS), que utiliza mensajes de texto para engañar a las víctimas. 

Las tácticas de ingeniería social, como la urgencia, el miedo o la suplantación, convierten el phishing en un ataque muy efectivo que a menudo elude las medidas de seguridad tradicionales. Para defenderse contra los ataques de phishing, las organizaciones deberían implementar el filtrado de correo electrónico, formación para la concienciación de los empleados en materia de seguridad y técnicas avanzadas de verificación de identidad como la autenticación multifactor (MFA) y el análisis de comportamiento.

2. Inserción de credenciales

La inserción de credenciales es un tipo de ciberataque en el que los ciberdelincuentes utilizan las credenciales de inicio de sesión que han robado de un sistema para intentar acceder a otros sistemas no relacionados.

Los ataques de inserción de credenciales siguen una ruta de ataque relativamente simple. En primer lugar, el ciberdelincuente aprovecha las credenciales de cuentas robadas o compra credenciales vulneradas a través de la dark web. Con las credenciales en su poder, el ciberdelincuente configura una red de bots u otra herramienta de automatización para intentar iniciar sesión en múltiples cuentas independientes de forma simultánea. Seguidamente, el bot verifica si se concedió acceso a algún servicio o cuenta secundaria. En caso de que el intento de inicio de sesión tenga éxito, el atacante recopilará información adicional, como datos personales, información de tarjetas de crédito o datos bancarios.

3. Ataque Golden Ticket

Un ataque Golden Ticket es un intento de obtener acceso casi ilimitado al dominio de una organización accediendo al repositorio de datos de usuario en Microsoft Active Directory (AD). Este ataque aprovecha debilidades en el protocolo de autenticación de identidad Kerberos, que se utiliza para acceder a AD, lo que permite a un ciberdelincuente eludir la autenticación normal.

Para llevar a cabo un ataque Golden Ticket, el ciberdelincuente necesita el nombre de dominio completo, el identificador de seguridad del dominio, el hash de la contraseña KRBTGT y el nombre de usuario de la cuenta a la que va a acceder.

4. Kerberoasting

El kerberoasting es una técnica de ataque posterior a la explotación que intenta descifrar la contraseña de una cuenta de servicio en AD.

En un ataque de este tipo, un adversario que se hace pasar por un usuario de una cuenta con un nombre de entidad de servicios (SPN) solicita un ticket, que contiene una contraseña cifrada, o Kerberos (un SPN es un atributo que vincula un servicio a una cuenta de usuario dentro de AD). A continuación, el adversario trabaja offline para descifrar el hash de la contraseña, a menudo mediante técnicas de fuerza bruta.

Una vez expuestas las credenciales de texto simple de la cuenta de servicio, el adversario posee credenciales de usuario que puede usar para hacerse pasar por el propietario de la cuenta.

5. Ataques de intermediario (MITM)

Un ataque de intermediario es un tipo de ciberataque en el que un ciberdelincuente espía la comunicación entre dos usuarios, dos sistemas o un usuario y un sistema.

El objetivo de un ataque MITM es recopilar datos personales, contraseñas o datos bancarios, o convencer a la víctima de realizar una acción como cambiar sus credenciales de inicio de sesión, completar una transacción o iniciar una transferencia de fondos.

6. Ataque Pass-the-Hash

Pass-the-Hash (PtH) es un tipo de ataque de ciberseguridad en el que un adversario roba una credencial de usuario "hash" y la emplea para crear una nueva sesión de usuario en la misma red.

El ciberdelincuente normalmente obtiene acceso a la red a través de una técnica de ingeniería social. Una vez que el ciberdelincuente obtiene acceso a la cuenta del usuario, utiliza varias herramientas y técnicas que extraen la memoria activa para derivar datos que lo conducirán a los hashes.

Armado con uno o más hashes de contraseña válidos, el ciberdelincuente obtiene acceso completo al sistema, lo que le permite el movimiento lateral a través de la red. A medida que el ciberdelincuente se hace pasar por el usuario de una aplicación a la siguiente, a menudo se dedica a recolectar hashes: acumula hashes adicionales en todo el sistema que pueden usarse para acceder a más áreas de la red, añadir privilegios de cuenta, atacar una cuenta privilegiada y configurar una puerta trasera y otras pasarelas para permitir el acceso futuro.

7. Password spraying

Un ataque password spraying es una técnica de fuerza bruta que implica que un hacker utilice una única contraseña común contra varias cuentas.

En primer lugar, el ciberdelincuente adquiere una lista de nombres de usuario y luego intenta iniciar sesión con todos los nombres de usuario utilizando la misma contraseña. El ciberdelincuente repite el proceso con nuevas contraseñas hasta que el ataque abre una brecha en el sistema de autenticación para obtener acceso a las cuentas y a los sistemas.

8. Ataque Silver Ticket

Un "silver ticket" es un ticket de autenticación falsificado que a menudo se crea cuando un ciberdelincuente roba la contraseña de una cuenta. Los ataques Silver Ticket utilizan esta autenticación para falsificar tickets de servicio que otorgan tickets. Este ticket de servicio falsificado está encriptado y permite el acceso a recursos para el servicio específico que sufre el ataque Silver Ticket.

Una vez que el ciberdelincuente obtiene el "silver ticket" falsificado, puede ejecutar código para atacar el sistema local. Seguidamente, puede elevar sus privilegios en el host local y comenzar a moverse lateralmente dentro del entorno vulnerado o incluso crear un "golden ticket". Esto le concede acceso a más elementos aparte del servicio originalmente atacado y es una técnica que permite evitar las medidas de prevención de ciberseguridad.

Prácticas recomendadas para protegerse de ataques basados en la identidad

Para defenderse de los ataques basados en la identidad, las organizaciones deben implementar medidas de seguridad por capas con un nivel superior a los métodos tradicionales de autenticación. A continuación, se presentan cuatro prácticas recomendadas para reforzar la seguridad de la identidad:

Implementar la autenticación multifactor (MFA) en todas partes

• Exige al menos dos factores de autenticación (por ejemplo, contraseña + biometría o token de hardware).
• Utiliza autenticación MFA antiphishing, como las claves de seguridad FIDO2, para prevenir el robo de credenciales.
• Evita depender de autenticación MFA basada en SMS, ya que los ciberdelincuentes pueden evitarlo mediante el intercambio de SIM.

Adoptar un modelo de seguridad Zero Trust

• Aplica la verificación continua de identidad antes de conceder acceso a los recursos.
• Implementa el principio del mínimo de privilegios para el acceso, que garantiza que los usuarios solo tengan los permisos necesarios para su función.
• Utiliza microsegmentación para evitar los movimientos laterales tras el compromiso de la credencial.

Utilizar la detección de amenazas de identidad impulsada por IA

• Implementa análisis de comportamiento para detectar intentos inusuales de inicio de sesión o uso indebido de credenciales.
• Monitoriza los patrones fallidos de inicio de sesión, las ubicaciones anómalas y las elevaciones de privilegios.
• Automatiza respuestas en tiempo real a las amenazas de identidad, como forzar el cierre de sesión o volver a solicitar la autenticación MFA.

Reducir la dependencia de las contraseñas con la autenticación sin contraseña

• Implementa autenticación biométrica (por ejemplo, huella dactilar, reconocimiento facial).
• Utiliza llaves de seguridad de hardware o soluciones de inicio de sesión único (SSO) para mejorar la seguridad.
• Aplica la autenticación con claves de acceso, que elimina los riesgos asociados con contraseñas débiles o reutilizadas.

Al combinar estas prácticas recomendadas, las organizaciones pueden mitigar proactivamente los ataques basados en la identidad y reducir el riesgo de compromiso de credenciales.

Seguridad de la identidad impulsada por IA: cómo previene los ataques Falcon Identity Protection

Las medidas de seguridad tradicionales por sí solas ya no son suficientes para detener los ataques basados en la identidad, ya que los ciberdelincuentes siguen explotando credenciales robadas, métodos de autenticación débiles y lagunas en la seguridad de la identidad. CrowdStrike Falcon® Identity Protection ofrece visibilidad, detección y respuesta en tiempo real a las amenazas sobre la identidad, y detiene proactivamente a los adversarios antes de que pueda comprometer cuentas de usuario. Aprovechando análisis del comportamiento impulsados por IA, monitorización continua de identidades y autenticación basada en riesgos, Falcon Identity Protection detecta en tiempo real intentos de acceso no autorizados, movimientos laterales y técnicas de omisión de MFA. La plataforma se integra de forma fluida con los proveedores de identidad existentes (IdP) y aplica los principios de Zero Trust, que garantizan que solo los usuarios verificados accedan a sistemas críticos. 

Además, CrowdStrike Falcon® Shield impide que los ciberdelincuentes eleven los privilegios, ejecuten movimientos laterales o consigan persistencia en un entorno mediante directivas de aplicación preventiva, monitorización de sesiones e interrupción activa del ataque. Al combinar Falcon Identity Protection y Falcon Shield, las organizaciones pueden establecer una estrategia integral de seguridad de la identidad para evitar ataques basados en identidad en cada etapa, antes de que se produzca el robo, uso indebido o explotación de las credenciales.