Imagínese esto: Sarah, de contabilidad, recibe lo que parece un correo electrónico de restablecimiento de contraseña rutinario del proveedor de nube de su organización. Hace clic en el enlace, escribe sus credenciales y vuelve a su hoja de cálculo. Pero sin que ella lo sepa, acaba de cometer un gran error. Sarah acaba de entregar accidentalmente sus datos de inicio de sesión a unos ciberdelincuentes que se ríen hasta llegar a su mercado de la dark web, donde venderán sus credenciales por unos 15 dólares. No se trata tanto de una operación puntual, sino de una operación muy rentable cuando se amplía.

El ciclo de vida de las credenciales comprometidas

  1. Los usuarios crean credenciales: Con docenas de aplicaciones empresariales independientes (cada una con su propio nombre de usuario), sus empleados deben crear numerosas cuentas. Sin embargo, hacer un seguimiento de varios nombres de usuario y contraseñas únicos es una molestia, por lo que reutilizan las contraseñas o hacen pequeñas variaciones.
  2. Los piratas informáticos comprometen las credenciales: Los atacantes obtienen estas credenciales mediante suplantación de identidad, ataques de fuerza bruta, infracciones de terceros o claves de API expuestas. Y muchas veces, nadie se da cuenta siquiera de lo que ha ocurrido.
  3. Los piratas informáticos agregan y monetizan las credenciales: Las redes delictivas vierten las credenciales robadas en bases de datos masivas y luego las venden en los mercados clandestinos. Los piratas informáticos venden los datos de inicio de sesión de su empresa al mejor postor.
  4. Los piratas informáticos distribuyen las credenciales y las convierten en armas: Los compradores difunden estas credenciales entre redes delictivas. Los bots las comparan con todas las aplicaciones empresariales que encuentran, mientras que los operadores humanos seleccionan cuidadosamente los objetivos más valiosos.
  5. Los piratas informáticos explotan activamente las credenciales: Los inicios de sesión correctos permiten a los atacantes profundizar, aumentar sus privilegios y comenzar su verdadero trabajo: el robo de datos, el ransomware o lo que sea más rentable. Cuando notes patrones de inicio de sesión extraños o actividad inusual en la red, es posible que ya hayan estado dentro durante días, semanas o incluso más.

Vectores de compromiso comunes

Los delincuentes tienen no faltan formas para tener en sus manos las credenciales de usuario de su empresa:

  • Campañas de phishing: Los atacantes crean correos electrónicos falsos que parecen legítimos, con logotipos de empresas robados y copias convincentes. Incluso sus empleados más preocupados por la seguridad pueden dejarse engañar por estas sofisticadas estafas.
  • Relleno de credenciales: Los atacantes obtienen contraseñas de violaciones antiguas y las prueban en todas partes. Una tasa de éxito de hackeo del 0,1% puede parecer insignificante, pero con la reutilización desenfrenada de contraseñas y el hecho de que los piratas informáticos prueban millones de credenciales por hora, la cifra aumenta rápidamente.
  • Infracciones de terceros: Cuando se piratea LinkedIn, los atacantes no solo atacan a los usuarios de LinkedIn, sino que prueban esas mismas credenciales con todo tipo de aplicaciones empresariales. Es posible que tu empresa tenga la seguridad más sólida del mundo, pero sigues siendo vulnerable si los usuarios reutilizan las credenciales.
  • Claves de API filtradas: Los desarrolladores publican accidentalmente las credenciales en repositorios, archivos de configuración y documentación de GitHub. Los bots automatizados las buscan las 24 horas del día, los 7 días de la semana, y las detectan en cuestión de minutos.

El ecosistema criminal

Al igual que una red de robos de automóviles tiene diferentes actores, desde los ladrones callejeros que se apoderan de coches hasta los operadores de desguaces y los exportadores extranjeros, el ecosistema de robo de credenciales tiene malos actores que quieren cosas diferentes de tus credenciales robadas. Sin embargo, conocer sus habilidades puede ayudarte a defender mejor tu organización.

Los estafadores oportunistas quieren dinero rápido. Agotarán las cuentas bancarias, realizarán compras fraudulentas o robarán criptomonedas. No son exigentes: si las credenciales de tu empresa funcionan en sitios web para consumidores, las usarán.

Las botnets automatizadas son máquinas de prueba de credenciales que nunca duermen. Lanzan millones de combinaciones de nombre de usuario y contraseña en miles de sitios web, en busca de cualquier cosa que se mantenga. El nombre de su juego es volumen, no precisión.

Luego, los mercados delictivos actúan como intermediarios que compran credenciales robadas al por mayor y las revenden a los usuarios finales. Piense en ellos como el eBay de la ciberdelincuencia, con funciones de búsqueda que permiten a los compradores buscar fácilmente los datos de su organización.

Los grupos del crimen organizado tratan tus credenciales como armas estratégicas. Permanecerán sin acceso durante meses, cartografiando su red y planificando ataques costosos, como el ransomware o el robo de propiedad intelectual. Este es el tipo de profesionales que convierten las concesiones de una sola credencial en desastres millonarios.

Impacto en el mundo real

Una vez que los atacantes tienen en sus manos un conjunto de credenciales válidas, el daño comienza rápidamente y se extiende por todas partes:

  • Toma de control de la cuenta: Los piratas informáticos pasan por alto sus controles de seguridad con acceso legítimo. Leen los correos electrónicos, recopilan los datos de los clientes y envían mensajes que parecen provenir de sus empleados.
  • Movimiento lateral: Una cuenta comprometida se convierte rápidamente en diez y luego en cincuenta. Los atacantes se infiltran en su red, aumentando sus privilegios y mapeando sus sistemas más valiosos.
  • Robo de datos: Los atacantes se centran en identificar sus joyas de la corona (bases de datos de clientes, registros financieros, secretos comerciales) y en desviarlas a través de canales que parecen normales para sus herramientas de monitoreo.
  • Abuso de recursos: Su facturación en la nube se dispara a medida que los atacantes intensifican las operaciones de minería de criptomonedas, envían spam a través de sus sistemas de correo electrónico o agotan las cuotas de API para sus propios proyectos.
  • Despliegue de ransomware: Si los piratas informáticos buscan un pago importante, suelen recurrir al ransomware. Cifran todo lo importante y exigen el pago, sabiendo que es probable que pagues, ya que la restauración a partir de copias de seguridad lleva una eternidad y está lejos de ser un proceso económico.

Pero eso es solo el principio. También podrías enfrentarte a multas reglamentarias, demandas, enormes costos de remediación y a una reputación que tardarías años en reconstruir. De hecho, muchas organizaciones nunca se recuperan por completo de un incidente importante que comprometa sus credenciales.

Actúe ahora

La realidad es que es probable que algunas de las credenciales de usuario de su empresa ya estén comprometidas. Y cuanto más tiempo permanezcan las credenciales expuestas sin ser detectadas, mayor será el objetivo que tendrá en la espalda.

Haga que sea una prioridad encontrar sus credenciales comprometidas antes de que los delincuentes las usen. Por ejemplo, Verificador de credenciales de Outpost24 es una herramienta gratuita que le muestra la frecuencia con la que el dominio de correo electrónico de su empresa aparece en repositorios de filtraciones, canales observados o mercados clandestinos. Esta comprobación gratuita y sin registro no muestra ni guarda las credenciales individuales comprometidas; simplemente te hace consciente de tu nivel de riesgo. Comprueba ahora si hay credenciales filtradas en tu dominio .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.