Anatomía del ataque: cómo funciona
Los ataques de relleno de credenciales utilizan grandes listas de pares de nombre de usuario/contraseña que han sido expuestos. En algunas violaciones de datos, el almacenamiento inadecuado de credenciales da como resultado que se filtre toda la base de datos de contraseñas. En otros, los ciberdelincuentes descrían las contraseñas de algunos usuarios a través de ataques de adivinación de contraseñas. Los embutidores de credenciales también pueden obtener acceso a nombres de usuario y contraseñas mediante phishing y ataques similares.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Relleno de credenciales frente a ataques de fuerza bruta
Los ataques de contraseña de fuerza bruta son un término general que cubre algunas técnicas de ataque específicas diferentes. En general, un ataque de fuerza bruta significa que el atacante solo está probando diferentes combinaciones para una contraseña hasta que algo funcione.
El término ataque de fuerza bruta se usa más comúnmente para referirse a un ataque en el que el atacante está probando todas las opciones posibles para una contraseña. Por ejemplo, un ataque de fuerza bruta a una contraseña de ocho caracteres puede probar aaaaaaaa, aaaaaaab, aaaaaaac, etc. Si bien este enfoque está garantizado para encontrar la contraseña correcta eventualmente, es lento hasta el punto de ser inviable para una contraseña segura.
El relleno de credenciales adopta un enfoque diferente para adivinar la contraseña de un usuario. En lugar de mirar todas las posibles combinaciones de contraseñas, se centra en aquellas que se sabe que han sido utilizadas por una persona porque fueron expuestas en una violación. Este enfoque para adivinar contraseñas es mucho más rápido que una búsqueda por fuerza bruta, pero supone que las contraseñas se reutilizarán en múltiples sitios. Sin embargo, dado que la mayoría de la gente reutiliza la misma contraseña para varios sitios, esta es una suposición segura.
Cómo evitar el relleno de credenciales
El relleno de credenciales representa un grave riesgo para la seguridad personal y corporativa. Un ataque de relleno de credenciales exitoso le da al atacante acceso a la cuenta del usuario, que puede contener información confidencial o la capacidad de realizar transacciones financieras u otras acciones privilegiadas en nombre del usuario. Sin embargo, a pesar de la amenaza bien publicitada de la reutilización de contraseñas, la mayoría de las personas no están cambiando sus comportamientos de contraseña.
El relleno de credenciales también puede poner en riesgo a la empresa si las contraseñas se reutilizan en cuentas personales y comerciales. Las empresas pueden tomar algunas medidas diferentes para mitigar el riesgo de ataques de relleno de credenciales, que incluyen:
- autenticación de múltiples factores (MFA): los ataques de relleno de credenciales se basan en la capacidad del atacante para iniciar sesión en una cuenta con solo un nombre de usuario y contraseña. La implementación de MFA o 2FA hace que estos ataques sean más difíciles porque el atacante también necesita un código único para iniciar sesión correctamente.
- CAPTCHA: Los ataques de relleno de credenciales generalmente son automatizados. La implementación de CAPTCHA en las páginas de inicio de sesión puede bloquear parte de este tráfico automatizado para que no llegue al sitio y se prueban posibles contraseñas.
- Soluciones Anti-Bot: Más allá del CAPTCHA, las organizaciones también pueden implementar soluciones anti-bot para bloquear el tráfico de relleno de credenciales. Estas soluciones utilizan anomalías de comportamiento para diferenciar a los visitantes humanos y automatizados a un sitio y para bloquear el tráfico sospechoso.
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- Comprobación de credenciales violadas: Los bots de relleno de credenciales generalmente usan listas de credenciales expuestas en violaciones de datos. Comprobación de las contraseñas de los usuarios con listas de contraseñas débiles o servicios como HaveIBeenPwned puede ayudar a determinar si la contraseña de un usuario es potencialmente vulnerable al relleno de credenciales.
Evite el relleno de credenciales con Harmony Browse
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- Bloqueo de la reutilización de contraseñas: cuando un empleado crea una nueva contraseña en un sitio web, Harmony Browse comprueba si ha utilizado la misma contraseña para otras cuentas. Al bloquear la reutilización de contraseñas, Harmony Browse reduce la amenaza de ataques de relleno de credenciales.
- Protección de las credenciales de usuario: las listas utilizadas en los ataques de relleno de credenciales a menudo incluyen credenciales robadas mediante ataques de phishing. Harmony Browse bloquea un sitio de phishing de día cero diseñado para robar estas credenciales.
Para ver Harmony Browse en acción, mira este vídeo.
Comentarios