STI 2020 ®

Hackeo sistemas infromáticos

Cómo roban los ciberdelincuentes credenciales y cómo prevenirlo

by

STI 2020®
in , , , , ,

Los ciberdelincuentes, con frecuencia, se limitan a cruzar la puerta de entrada de un sistema con credenciales robadas, lo que les permite infiltrarse en sistemas y redes con una autorización de usuario válida, aumentando de esta forma el riesgo de comprometer información crítica. Adoptar un modelo que promueva la verificación de usuarios y dispositivos, así como la segmentación de red, entre otras medidas, es clave para prevenir accesos no autorizados. Pero, vamos a profundizar en este artículo, para conocer cómo suelen acceder los ciberdelincuentes a los sistemas informáticos.

Una pregunta que se hace un ciberdelincuente para acceder a un sistema informático es, ¿para qué usar la fuerza bruta si se puede acceder mediante una contraseña legítima? Y es que, cada vez con mayor frecuencia, los ciberdelincuentes buscan robar contraseñas o tokens de autenticación y cookies de sesión, para eludir los códigos MFA (Autenticación Multifactorial) y acceder a las redes o sistemas, haciéndose pasar por usuarios legítimos.

Según muestra un informe de Verizon, el uso de credenciales robadas se ha convertido en uno de los métodos más populares para obtener el acceso a sistemas y redes en los últimos años. El uso de credenciales robadas aparece en un tercio de las violaciones de datos el pasado año, según señalan en su informe. Por otra parte, Mandiant indicó en su informe M-Trends Report 2025, que las contraseñas robadas superan al phishing como vector de acceso a sistemas, sólo por detrás de la explotación de vulnerabilidades, que ocupa el primer lugar.

No obstante, aunque existen diferentes formas de hacerse con las credenciales, también hay muchas formas de impedirlo.

Robo de credenciales para ciberataques

Según una estimación de Flashpoint, se calcula que más de 3.200 millones de credenciales fueron robadas a empresas en todo el mundo en el año 2024, lo que supone un incremento anual del 33%. Con el acceso que proporcionan a las cuentas corporativas, los actores de amenazas pueden moverse con eficacia en la sombra, mientras planean su siguiente ataque. Esto implica, formas más avanzadas de explotación por parte de los ciberdelincuentes, como por ejemplo:

  • Reconocimiento de la red: para buscar datos, activos y permisos de usuario contra los que dirigir sus ataques a continuación.
  • Escalar privilegios: mediante la explotación de vulnerabilidades, con el fin de realizar movimientos laterales (movimiento lateral es el proceso por el que los atacantes se propagan desde un punto de entrada al resto de la red), para llegar a esos almacenes o sistemas de datos de gran valor.
  • Establecer comunicaciones encubiertas con un servidor de mando y control (C2), para descargar malware adicional y filtrar datos.

Siguiendo esta secuencia de pasos, un atacante podría llevar a cabo con éxito campañas de ransomware o de otro tipo.

Ciberataques por todo el planeta, gracias al robo de credenciales.
El robo de credenciales, es una de las principales estrategias de los ciberdelincuentes, para comprometer sistemas y redes por todo el planeta.

¿Cómo consiguen las contraseñas?

Los ciberdelincuentes desarrollan diversas estrategias para comprometer las credenciales corporativas de los empleados, en algunos casos, incluso sus códigos MFA. Entre ellas, podemos encontrar las siguientes:

  • Phishing: mediante correos electrónicos o mensajes de texto falsos que parecen enviados desde una fuente oficial (el departamento de TI o un proveedor de servicios). Se intenta convencer al destinatario para hacer clic en un enlace malicioso, que lo llevará a una página de inicio de sesión falsa, como por ejemplo, Microsoft.
  • Vishing: es una variedad de phishing, pero en este caso la víctima recibe una llamada telefónica del atacante, para conseguir engañarle. Puede hacerse pasar por el servicio de asistencia de TI y pedir a la víctima que facilite su contraseña o habilite un nuevo dispositivo MFA, mediante una historia ficticia. O bien, llamar al servicio de asistencia diciendo ser un ejecutivo o empleado, que necesita un restablecimiento urgente de la contraseña para realizar su trabajo.
  • Infostealers: es un malware diseñado para obtener credenciales y cookies de sesión del ordenador o dispositivo de la víctima. Puede llegar a través de un enlace o archivo adjunto malicioso, un sitio web comprometido, una aplicación móvil trampa, una estafa en las redes sociales o incluso un mod de juegos no oficial. Se calcula que fueron responsables del robo del 75% de credenciales, comprometidas el año pasado.
  • Ataques de fuerza bruta: entre ellos se incluye el credential stuffing (un tipo de ciberataque en el que los actores maliciosos utilizan usuarios y contraseñas que hayan sido filtradas para iniciar sesión), en el que los adversarios prueban combinaciones de nombre de usuario y contraseña previamente violadas contra sitios y aplicaciones corporativas. Se suele aprovechar, la «mala costumbre» del uso de las mismas contraseñas para acceder a diferentes sitios. Los bots automatizados, ayudan a los atacantes a ralizarlo a gran escala, hasta que finalmente una funcione.
  • Infracciones de terceros: los agresores pueden atacar a un proveedor o socio, que almacene credenciales para sus clientes, como un MSP o un proveedor de SaaS. O también llegan a comprar cientos de paquetes de nombres de usuario ya vulnerados, para utilizarlos en ataques posteriores.
  • Evasión de la MFA: las técnicas incluyen el intercambio de SIM, el bombardeo de avisos MFA que abruma al objetivo con notificaciones push con el fin de causar «fatiga de alerta», que amenaza la integridad de los sistemas al proporcionarles datos irrelevantes, abrumando los flujos de trabajo y priorización, socavando su capacidad para detectar amenazas reales en entornos de gran volumen, y obtener así una aprobación push, o bien mediante ataques Man-in-the-Middle (MitM), en los que los atacantes se interponen entre un usuario y un servicio de autenticación legítimo, para interceptar los tokens de inicio de sesión MFA.

Son numerosos los casos reales de contraseñas comprometidas, que han llegado a provocar graves incidentes de seguridad. Estos incidentes no sólo afectan a organizaciones, sino que también ponen en riesgo la información personal de millones de usuarios, culminando en robos de identidad y fraudes financieros. La falta de medidas adecuadas para proteger las contraseñas, como políticas de complejidad y autenticación en dos pasos (2FA), ha facilitado que los ciberdelincuentes accedan a datos sensibles y causen estragos en la vida digital de las personas afectadas. Algunos ejemplos destacables de ello, pueden ser:

  • Change Healthcare: en uno de los ciberataques más importantes de 2024, el grupo de ransomware ALPHV (BlackCat) consiguió paralizar Change Healthcare, proveedor estadounidense de tecnología sanitaria. La banda aprovechó un conjunto de credenciales robadas para acceder remotamente a un servidor que no tenía activada la autenticación multifactor (MFA). A continuación, escalaron sus privilegios, se movieron lateralmente dentro de los sistemas y desplegaron ransomware, lo que provocó una interrupción sin precedentes del sistema de salud y el robo de datos sensibles de millones de estadounidenses.
  • Copo de nieve: el grupo de ciberdelincuentes UNC5537, siguiendo motivaciones económicas, consiguió acceder a las bases de datos de clientes de Snowflake. Cientos de millones de clientes se vieron afectados por esta campaña de extorsión masiva tras el robo de datos. Se cree que el autor de la amenaza accedió a sus entornos a través de credenciales robadas previamente mediante malware para el robo de información.
Numerosas empresas y organismos por todo el planeta, fueron víctimas de ataques en lo que va de año, como consecuencia del robo de credenciales.
Numerosas empresas y organismos, sufrieron ataques en lo que va de año, como consecuencia del robo de credenciales de acceso a sistemas y redes.

Importancia de no bajar la guardia

Por ello, cada vez es más importante proteger las contraseñas de los empleados, hacer que los inicios de sesión sean más seguros y vigilar más de cerca el entorno informático para detectar los signos reveladores de una brecha.

Esto implica, no sólo la implementación de políticas estrictas para la creación y el cambio regular de contraseñas, sino también la formación continua de los empleados, en prácticas seguras de manejo de la información.

Además, es fundamental utilizar herramientas de autenticación de múltiples factores, que añaden una capa extra de seguridad al proceso de acceso. La vigilancia constante del sistema informático permite identificar comportamientos anómalos y posibles ataques antes de que estos se materialicen, asegurando así la integridad de los datos confidenciales y minimizando el riesgo de pérdidas significativas para la organización.

Mediante un enfoque de Zero-Trust (Confianza Cero), basado en el principio: «nunca confiar y siempre verificar», se adopta una autenticación basada en el riesgo, logrando una mayor protección dentro de una red. Los usuarios y dispositivos, deben evaluarse y puntuarse en función del riesgo, para reforzar la protección de la organización frente a accesos no autorizados y garantizar así, el cumplimiento de la normativa. Además, una sólida autenticación multifactor (MFA), debe convertirse en una línea de defensa no negociable.

Importancia de la política ZeroTrust o confianza cero, en la seguridad de la información.
Mediante una política de confianza cero (Zero-Trust), se fortalece la seguridad de sistemas y redes, frente a amenazas conocidas o no.

Dicho enfoque, además, debe complementarse con programas actualizados de formación y concienciación para los empleados, que incluyan simulaciones reales con las últimas técnicas de ingeniería social.

Son también importantes, las políticas y herramientas estrictas que impidan a los usuarios, visitar sitios de riesgo donde podrían estar al acecho los ciberatacantes, así como el uso de software de seguridad en todos los servidores, terminales u otros dispositivos, y herramientas de supervisión continua para detectar comportamientos sospechosos. Esto último ayudará a detectar amenazas que puedan estar dentro de la red, por una credencial comprometida.

Las organizaciones, necesitan tener una forma de reducir el daño que puede causar una cuenta comprometida, por ejemplo, siguiendo el principio del menor privilegio, también conocido como POLP (Principle of Least Privilege), regla de seguridad informática que establece que cada usuario o grupo de usuarios, debe contar sólo con los permisos necesarios para realizar sus tareas.

Por último, la supervisión de la darkweb puede ayudar a comprobar si alguna credencial de la empresa u organización, está a la venta en la clandestinidad de la ciberdelincuencia.

«En la actualidad, es de vital importancia para empresas, organismos y usuarios, contar con servicios y herramientas actualizadas de seguridad, para la protección de la información».

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.