¿Qué es la apropiación de cuentas?
Una persona típica tiene decenas de cuentas en línea que son necesarias para acceder a sitios web, aplicaciones y sistemas, tanto de uso personal como empresarial. Los ataques de apropiación de cuentas (como su nombre indica) intentan conseguir acceso a esas cuentas, lo cual permite que el atacante robe datos, envíe malware, o use el acceso y los permisos legítimos de la cuenta para otros fines maliciosos.
¿Cómo se producen las apropiaciones de cuentas?
Para que se produzca un ataque de apropiación de cuentas, el atacante necesita acceder a la información de autenticación de la cuenta a la que está atacando, por ejemplo, una combinación de nombre de usuario y contraseña. Los atacantes pueden conseguir esta información de varias maneras, entre las que se incluyen:
- Relleno de credenciales: los ataques de relleno de credenciales utilizan bots para intentar acceder automáticamente a una cuenta de usuario mediante el uso de una lista de contraseñas habituales o ya vulneradas. Estos ataques son factibles porque muchas cuentas de usuario están protegidas por contraseñas débiles o que se reutilizan, lo cual supone un problema de seguridad importante.
- Phishing: las credenciales de usuario son un objetivo habitual de los ataques de phishing, que suelen utilizar enlaces maliciosos para dirigir al usuario a una página falsa de inicio de sesión de un servicio, lo cual permite que el atacante recopile sus credenciales de inicio de sesión.
- Malware: las infecciones de malware en el ordenador de un usuario pueden robar las contraseñas de varias maneras. Entre ellas se incluye el volcado de la información de autenticación de las cachés de las contraseñas del navegador o del sistema, o la grabación de las pulsaciones del usuario cuando se autentica en una cuenta.
- Vulnerabilidades de la aplicación: los usuarios no son las únicas entidades con cuentas en los sistemas y redes de una organización. Las aplicaciones también tienen cuentas, y un atacante puede aprovecharse de las vulnerabilidades de estas cuentas para aprovechar su acceso.
- Cookies robadas: las cookies almacenadas en el ordenador de un usuario pueden guardar información sobre su sesión de acceso para permitir el acceso a una cuenta sin contraseña. Con acceso a estas cookies, un atacante puede apropiarse de la sesión de un usuario.
- Contraseñas codificadas: las aplicaciones suelen necesitar acceso a varias cuentas en línea para desempeñar su función. En ocasiones, las contraseñas de estas cuentas se almacenan en el código de la aplicación o en los archivos de configuración, que pueden quedar expuestos en GitHub o filtrarse de otro modo.
- Claves de API en riesgo: las claves de API y otros tokens de autenticación están diseñados para permitir que las aplicaciones accedan a cuentas y servicios en línea mediante una API. Si estas claves se cargan de forma accidental a un repositorio de GitHub o se filtran de otra manera, pueden proporcionar acceso a la cuenta de una organización.
- Rastreado del tráfico de red: aunque la mayor parte del tráfico de red está encriptado y es seguro, algunos dispositivos siguen utilizando protocolos inseguros, como Telnet. Un atacante que pueda ver este tráfico de red sin encriptar es capaz de extraer las credenciales de acceso del mismo.
Impacto de los ataques de apropiación de cuentas
Un ataque de apropiación de cuentas con éxito concede al atacante el mismo acceso y permisos que tiene el propietario legítimo de la cuenta. Con este acceso, un atacante puede llevar a cabo varias acciones, como:
- Robo de datos: los ataques de apropiación de cuentas pueden llevar a la fuga y exfiltración de grandes cantidades de datos confidenciales o protegidos, como números de tarjetas de crédito o información de identificación personal (PII).
- Entrega de malware: los ataques de apropiación de cuentas permiten a los atacantes instalar y ejecutar ransomware y otro malware en los sistemas corporativos.
- Ataques de seguimiento: una vez que un atacante consigue acceso a una cuenta legítima, puede utilizar ese acceso para llevar a cabo más ataques. A veces, el acceso a una cuenta específica solo se hace para ello (por ejemplo, los atacantes pueden robar las credenciales de acceso con la esperanza de que el usuario haya utilizado las contraseñas para varias cuentas).
- Movimiento lateral: una cuenta en riesgo puede ser un punto de entrada para un atacante a una red que de otro modo sería segura. Desde este punto de partida inicial, el atacante puede ampliar su acceso o escalar privilegios en otros sistemas corporativos, un proceso que se conoce como movimiento lateral.
- Beneficio económico: en lugar de utilizar él mismo la cuenta que se ha puesto en riesgo, el atacante puede vender el acceso a la misma en la dark web.
Cómo defenderse de los ataques de apropiación de cuentas
Las organizaciones pueden tomar varias medidas para evitar la apropiación de cuentas y minimizar el impacto de estos ataques.
Prevención de la apropiación de cuentas
La defensa en profundidad es el mejor enfoque para afrontar los riesgos de los ataques de apropiación de cuentas. Los ataques de apropiación de cuentas suelen aprovecharse de las malas prácticas de seguridad de las cuentas. Algunas defensas que las empresas pueden poner en marcha para evitar los ataques de apropiación de cuentas son:
- Políticas de contraseñas fuertes: muchos ataques de apropiación de cuentas se aprovechan de contraseñas débiles y que se reutilizan. Definir y aplicar una política de contraseñas sólida, en la que se compruebe si las contraseñas de los usuarios han quedado expuestas en una fuga, puede dificultar los ataques de relleno de credenciales y de descifrado de contraseñas.
- Protección contra el phishing: los ataques de phishing son un método habitual que utilizan atacantes para robar las contraseñas de los usuarios. Al filtrar los correos electrónicos de riesgo o bloquear los dominios sospechosos mediante el filtrado de Internet, una organización reduce el riesgo de que los usuarios ponga en riesgo sus credenciales sin darse cuenta.
- Autenticación multifactor (MFA): la MFA utiliza múltiples factores para autenticar a un usuario, como la combinación de una contraseña y una contraseña de un solo uso (OTP) generada por una aplicación autenticadora, o el uso de claves duras además de una contraseña. Imponer el uso de MFA en todas las cuentas hace más difícil que un atacante se aproveche de una contraseña que se ha puesto en riesgo.
- Realizar pruebas de seguridad de las aplicaciones: las claves de la API y los tokens de autenticación expuestos en las API pueden conceder a los atacantes acceso a las cuentas en línea de una organización. Aplicar prácticas de autenticación fuertes y el escaneado del código de la aplicación y de los archivos de configuración en busca de material de autenticación puede ser una medida de protección contra esto.
- Seguridad del inicio de sesión y de la API: las personas que realizan relleno de credenciales prueban muchas combinaciones diferentes de nombre de usuario y contraseña para intentar adivinar las credenciales de inicio de sesión válidas. Las soluciones de seguridad de la API pueden ayudar a identificar y bloquear estos ataques.
Mitigación de ataques de apropiación de cuentas
La prevención de apropiación de cuentas es importante para gestionar el riesgo de ataques de apropiación de cuentas, pero puede que no siempre sea eficaz. Por ejemplo, un ataque de phishing a la cuenta de correo electrónico personal de un usuario puede filtrar credenciales de acceso que permitan que un atacante entre en la cuenta corporativa de ese mismo usuario.
Además de las estrategias de prevención mencionadas anteriormente, las organizaciones pueden minimizar el daño causado por estos ataques mediante el uso de los siguientes enfoques:
- Análisis de comportamiento: con acceso a la cuenta de un usuario, es probable que un atacante realice actividades que no sean normales, como la exfiltración de grandes volúmenes de datos confidenciales o la implementación de malware. La supervisión continua del uso de una cuenta después de la autenticación puede permitir que una organización detecte y responda a los ataques de apropiación de cuentas con éxito.
- Seguridad Zero Trust: un enfoque de seguridad Zero Trust, que deniega todo por defecto, dificulta mucho el acceso de los atacantes a su aplicación o recurso que tienen como objetivo, incluso si poseen credenciales que se han puesto en riesgo. La solicitud de un atacante para acceder a las aplicaciones corporativas tendría que ser verificada en función de la identidad, la postura del dispositivo y otras señales contextuales antes de que se concediera el acceso. Una organización con políticas rigurosas y granulares de Zero Trust puede detectar señales sospechosas, como una ubicación inusual de la solicitud o que el dispositivo que la realiza está infectado, y denegar así la solicitud de acceso del atacante.
Cloudflare Zero Trust permite que las organizaciones den acceso remoto a las aplicaciones y sistemas a la vez que gestiona el riesgo de ataques de apropiación de cuentas. Con Acceso a la red Zero Trust (ZTNA), se permite a los usuarios el acceso a recursos específicos solo después de verificar su identidad, contexto y cumplimiento de la política corporativa.