Según el Bitdefender Threat Debrief (BDTD) de este mes, una serie mensual que analiza noticias, tendencias e investigaciones sobre amenazas de seguridad, las filtraciones de credenciales siguen siendo una amenaza válida para las organizaciones.
Compuestas típicamente por la dirección de correo electrónico y la contraseña del usuario para acceder a un sitio o aplicación determinados, la credenciales son los datos favoritos de los ciberdelincuentes considerando que son el medio legítimo para acceder a los sistemas.
Según Bitdefender, en lo que va del año el 62% de las alertas de inteligencia procesable del MDR (Detección y Respuesta Gestionada) de Bitdefender han sido filtraciones de credenciales.
Las credenciales se venden y distribuyen en la web oscura y se pueden encontrar en las páginas del repositorio de código a las que cualquier persona puede acceder fácilmente.
Los atacantes generalmente intentan atrapar a los usuarios desprevenidos que inician sesión en importantes recursos financieros o laborales, y es posible que los dispositivos personales no tengan herramientas de seguridad actualizadas. El spyware roba la información de inicio de sesión y la publica en los mercados de la dark web en un plazo de 30 días, lo que podría significar que tienen credenciales actualizadas.
Hay varias formas en que los atacantes utilizan las credenciales comprometidas. Pueden usar combinaciones de nombres de usuario, correos electrónicos y contraseñas expuestas para obtener acceso inicial a través de portales web u otros accesos remotos como RDP, VPN o SSH a través de ataques de fuerza bruta o de relleno de credenciales. Los spammers y otros ataques de ingeniería social, como el phishing y el spearphishing, también pueden usar correos electrónicos para atacar correos electrónicos corporativos o personales que probablemente estén activos.
Cuando se trata de filtraciones de credenciales, algunas medidas de seguridad que se pueden tomar incluyen las siguientes:
- Aplicar autenticación multifactor.
- Detectar/rastrear credenciales comerciales filtradas.
- Usar las direcciones de correo electrónico corporativas sólo en cuentas corporativas.
- Aplicar prácticas sólidas de seguridad cuando se trata de contraseñas.
- Usar un administrador de contraseñas.
- Asegurar que la longitud de la contraseña sea de al menos de 14 caracteres.
- Usar letras mayúsculas y minúsculas, números y símbolos para la complejidad de la contraseña.
- No usar la misma contraseña en varias cuentas.
- Actualizar/cambiar la contraseña al menos cada 90 días.
- De ser posible, habilitar la autenticación sin contraseña, como OIDC (OpenID Connect), y asegurarse que los proveedores de plataformas y software de terceros sean compatibles con esos estándares para poder aplicar la autenticación de inicio de sesión único.
- Implementar la reputación de IP/URL para puntos finales para bloquear el acceso a sitios de robo de credenciales.