El meollo del asunto es el valor de los datos para los ciberdelincuentes y las técnicas en evolución que utilizan para robar esos datos.
El Informe de investigaciones de violación de datos de 2023 encontró que el 83% de las violaciones involucraron a actores externos, y casi todos los ataques tuvieron una motivación financiera. De estas infracciones por parte de actores externos, el 49 % involucró el uso de credenciales robadas.
La vulnerabilidad mas constante sigue siendo el ser humano
El sello distintivo de muchos ciberataques exitosos es la determinación, la creatividad y la paciencia de los actores de la amenaza. Si bien los usuarios pueden detectar algunos ataques a través de la capacitación y la conciencia de seguridad, solo se necesita un ataque bien diseñado para atraparlos.
A veces todo lo que el usuario tiene que hacer es apresurarse o estresarse. Los actores de amenazas crean páginas de inicio de sesión falsas, falsifican facturas (como en los ataques de correo electrónico comercial) y redirigen los intercambios de correo electrónico para engañar a los usuarios finales para que proporcionen credenciales o dinero.
Según diversas investigaciones, el 74 % de las infracciones se atribuyen a un elemento humano, ya sea por error humano, abuso de privilegios, ingeniería social o robo de credenciales.
Un hecho interesante es que el 50 % de todos los ataques de ingeniería social para 2022 utilizaron una técnica llamada "pretexting", un script preparado previamente para engañar a los usuarios para que proporcionen información, su inicio de sesión o realicen alguna otra acción beneficiosa para el atacante. Esto demuestra que los atacantes saben que el usuario suele ser el eslabón más débil y están decididos a utilizar la ingeniería social para obtener las credenciales. A menudo, esta es una ruta más fácil hacia una organización que irrumpir en un elemento técnico de un sistema informático.
La capacidad de vulnerar un sistema mediante credenciales robadas
Las grandes organizaciones con grandes presupuestos de seguridad no son inmunes a los ciberataques, incluso aquellas que trabajan en la industria de la ciberseguridad. Luego de un caso reciente, aproximadamente 6500 clientes fueron notificados ya en 2023 de que sus datos podrían haberse visto comprometidos. Usando un ataque de fuerza bruta con credenciales robadas, los atacantes finalmente encontraron una contraseña que funcionaba y rápidamente irrumpieron en las cuentas de los clientes, lo que potencialmente les permitió obtener acceso a los secretos almacenados por los clientes.
A pesar de que se han implementado las medidas de seguridad correspondientes en una gran cantidad de intentos fallidos de inicio de sesión, las cuentas comprometidas aún corren el riesgo de verse comprometidas. Esto destaca la amenaza que representan las credenciales robadas en los ataques. No importa cuán fuerte sea la seguridad de una empresa, es muy difícil evitar que se reutilice una contraseña robada de otra organización menos segura.
Investigaciones recientes muestran que casi la mitad (49 %) de las infracciones en el último año se debieron al robo de credenciales de inicio de sesión. Entonces, ¿dónde compran los atacantes estas credenciales robadas? ¿Y cómo sabe si sus usuarios también tienen contraseñas comprometidas?
Mercados Negros
A medida que ha crecido el antiguo mercado negro, el mercado negro en línea que vende credenciales robadas se está volviendo más común. Enormes conjuntos de datos que consisten en cientos de miles de inicios de sesión robados están a la venta y tienen un precio muy bajo en comparación con los beneficios potenciales del ransomware o un ataque BEC exitoso. Estas listas son especialmente valiosas para los atacantes no técnicos que carecen de los conocimientos necesarios para piratear los sistemas informáticos.
Al ofrecer "huellas dactilares" a la venta, en lugar de nombres de usuario y contraseñas comprometidos, se pusieron a disposición identidades continuamente actualizadas bajo la suscripción. Más que un conjunto de credenciales robadas, estas huellas dactilares combinadas con un acceso VPN altamente localizado permiten a los atacantes obtener un acceso mucho mayor a las credenciales robadas.
La naturaleza sombría de estos mercados los hace difíciles de detectar y eliminar. Un tipo se puede erradicar y otro emerge a los pocos días. Dado que se espera que el costo promedio de un ataque de correo electrónico comercial supere los $ 50,000 solo para 2023, comprar credenciales robadas es aún más atractivo para los piratas informáticos.
Referencias y Créditos:
Comments