En un ataque de relleno de credenciales, las colecciones de credenciales de inicio de sesión robadas de un servicio se utilizan para intentar ingresar a las cuentas de otros servicios diversos.
Después de leer este artículo podrás:
Contenido relacionado
Ataque por fuerza bruta
Ataque de desbordamiento de búfer
Ataques en ruta
Ataque de phishing
¿Qué es un ataque de ingeniería social?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El relleno de credenciales es un ataque cibernético en el que las credenciales obtenidas de una fuga de datos en un servicio se utilizan para intentar iniciar sesión en otro servicio no relacionado.
Por ejemplo, un atacante puede tomar una lista de nombres de usuario y contraseñas obtenida de una violación de un centro comercial importante, y usar las mismas credenciales de inicio de sesión para intentar iniciar sesión en el sitio de un banco nacional. El atacante espera que una fracción de esos clientes del centro comercial también tenga una cuenta en ese banco, y que reutilice los mismos nombres de usuario y contraseñas para ambos servicios.
El relleno de credenciales está muy extendido gracias a las listas masivas de credenciales con violación de datos que se comercializan y venden en el mercado negro. El aumento de estas listas, junto con los avances en las herramientas de relleno de credenciales que usan bots para evitar las protecciones de inicio de sesión típicas, ha hecho que el relleno de credenciales se convierta en un popular vector de ataque.
Estadísticamente hablando, los ataques de relleno de credenciales tienen una tasa muy baja de éxito. Muchas estimaciones sostienen que esta tasa es de, aproximadamente, el 0,1 %, lo que significa que por cada mil cuentas que un atacante intenta descifrar, tendrá éxito apenas una vez. El gran volumen de las colecciones de credenciales que intercambian los atacantes hace que valga la pena el relleno de credenciales, a pesar de la baja tasa de éxito.
Estas colecciones contienen millones y, en algunos casos, miles de millones de credenciales de inicio de sesión. Si un atacante tiene un millón de conjuntos de credenciales, esto podría generar alrededor de 1000 cuentas exitosamente descifradas. Si incluso un pequeño porcentaje de las cuentas descifradas arroja datos rentables (a menudo en forma de números de tarjeta de crédito o datos confidenciales que pueden usarse en ataques de phishing), entonces el ataque vale la pena. Además, el atacante puede repetir el proceso al usar los mismos conjuntos de credenciales en varios servicios diferentes.
Los avances en la tecnología de bots también hacen que el relleno de credenciales sea un ataque viable. Las características de seguridad integradas en los formularios de inicio de sesión de la aplicación web suelen incluir retrasos deliberados y el acceso denegado a direcciones IP de los usuarios que han repetido intentos fallidos de inicio de sesión. El software de relleno de credenciales moderno elude estas protecciones mediante el uso de bots para intentar simultáneamente varios inicios de sesión que parecen provenir de una variedad de dispositivos y originarse en diferentes direcciones IP. El objetivo del bot malicioso es hacer que los intentos de inicio de sesión del atacante no se distingan del tráfico de inicio de sesión típico y es muy efectivo.
Muchas veces, el único indicio que la empresa que ha sido víctima tiene de que está siendo atacada es el aumento en el volumen general de intentos de inicio de sesión. Aun así, la empresa víctima tendrá dificultades para detener estos intentos sin afectar la capacidad de los usuarios legítimos para iniciar sesión en el servicio.
La razón principal por la que los ataques de relleno de credenciales son efectivos es que las personas reutilizan las contraseñas. Algunos estudios sugieren que la mayoría de los usuarios, según algunas estimaciones hasta el 85 %, reutilizan las mismas credenciales de inicio de sesión para múltiples servicios. Mientras que esta práctica continúe, el relleno de credenciales seguirá siendo fructífero.
OWASP clasifica el relleno de credenciales como un subconjunto de ataques de fuerza bruta. Pero, estrictamente hablando, el relleno de credenciales es muy diferente de los ataques de fuerza bruta tradicionales. Los ataques de fuerza bruta intentan adivinar las contraseñas sin contexto o pistas, usan caracteres al azar y a veces combinados con sugerencias de contraseñas comunes. El relleno de credenciales utiliza datos expuestos, lo que reduce drásticamente el número de posibles respuestas correctas.
Una buena defensa contra los ataques de fuerza bruta es una contraseña segura que conste de varios caracteres e incluya letras mayúsculas, números y caracteres especiales. Sin embargo, la seguridad de la contraseña no protege contra el relleno de credenciales. No importa cuán fuerte sea una contraseña: si se comparte entre diferentes cuentas, el relleno de credenciales puede comprometerla.
Desde el punto de vista del usuario, defenderse contra el relleno de credenciales es bastante sencillo. Los usuarios siempre deben usar contraseñas únicas para cada servicio diferente (una manera fácil de lograr esto es con un administrador de contraseñas). Si un usuario siempre usa contraseñas únicas, el relleno de credenciales no funcionará en sus cuentas. Como medida adicional de seguridad, se alienta a los usuarios a habilitar siempre la autenticación de dos factores cuando la opción esté disponible.
Detener el relleno de credenciales es un desafío más complejo para las empresas que ejecutan servicios de autenticación. El relleno de credenciales ocurre como resultado de fugas de datos en otras empresas. Una empresa víctima de un ataque de relleno de credenciales no necesariamente ha comprometido su seguridad.
Una empresa puede sugerir que sus usuarios proporcionen contraseñas únicas, pero no pueden aplicar esto como regla de manera efectiva. Algunas aplicaciones compararán una contraseña contra una base de datos de contraseñas comprometidas y conocidas antes de aceptar la contraseña como medida contra el relleno de credenciales, pero esto no es infalible: el usuario podría estar reutilizando una contraseña de un servicio que aún no ha sido violado.
Ofrecer funciones de seguridad de seguridad de inicio de sesión adicionales puede ayudar a mitigar el relleno de credenciales. Habilitar funciones como la autenticación en dos fases y exigir a los usuarios que rellenen captchas al iniciar sesión en ambos también ayuda en la lucha contra los bots maliciosos. Aunque estas funciones puedan incomodar a los usuarios, muchos estarían de acuerdo en que minimizar la amenaza de seguridad es algo que vale la pena.
La protección más potente ante el relleno de credenciales es un servicio de gestión de bots. La gestión de bots utiliza la limitación de velocidad, junto con una base de datos de reputación de IP, para impedir que los bots maliciosos hagan intentos de inicio de sesión, sin afectar a los inicios de sesión legítimos. Cloudflare Bot Management, que recopila datos de 25 millones de solicitudes medias por segundo enrutadas a través de la red de Cloudflare, puede identificar y detener los bots de relleno de credenciales con precisión muy elevada. Para las organizaciones que quieren las mismas capacidades de bloqueo de bots, pero no necesitan una solución empresarial, Super Bot Fight Mode está ahora disponible en los planes Pro y Business de Cloudflare. Con el Modo Super Bot Fight, las organizaciones más pequeñas pueden beneficiarse de una mayor visibilidad y control sobre su tráfico de bots.