Si fueras (¿eres?) un actor de amenazas cibernéticas, ¿qué harías con un caché de contraseñas robadas durante una violación? Podrías ser lo suficientemente astuto para realizar un ataque de fuerza bruta contra la fuente, o intentar monetizar su lista vendiéndola en la Dark Web. Los más subversivos podrían vincular los datos con otras fuentes y construir un depósito más grande con la esperanza de que las identidades comprometidas reutilizasen las contraseñas entre varias cuentas y servicios. Ya los más diabólicos podrían convertirse en ladrones persistentes a punto de comprometer sus cuentas basadas en la web. Si cree que esto no es posible, lea este artículo de ZDNet acerca de los ataques cibernéticos en el sector financiero.
Otro método engañoso que los actores de amenazas utilizan para obtener acceso a las cuentas financieras es extraer de forma masiva los fondos de los cajeros automáticos al mismo tiempo y ofrecer muy poco tiempo para responder antes de que se completen las transacciones. Harvard Business Review tiene un buen artículo acerca de este tipo de amenazas. Pueden ocurrir a partir de vulnerabilidades y explotaciones, o contraseñas que se han robado. Básicamente, tienes un vector de ataque privilegiado y estás robando dinero de todos a la vez. Si crees que este tipo de vector de ataque cibernético no sucede en los días de hoy, estás equivocado.
Comprender y mitigar las amenazas de robo de contraseñas
En cualquier momento en que un individuo o grupo sepa la (s) contraseña (s) de otro grupo de personas o recursos, podría ocurrir un ataque de carterista. El incidente más famoso en los últimos años involucró a Edward Snowden (y sí, todos en el gobierno y la industria de la seguridad de EEUU están absolutamente hartos de escuchar su nombre). Snowden obtuvo credenciales de sus compañeros de trabajo ilegalmente para robar información usando contraseñas y estaciones de trabajo autorizadas. Los usuarios desconocían el robo, las contraseñas no se rotaban y la información se robaba pieza por pieza para evitar la detección. Este tipo de robo de datos lento y siniestro también le sucedió a Yahoo y Starwood, aunque a través de formas de ataque con privilegios ligeramente diferentes, y no todos a la vez.
Desafortunadamente, esto solo no es suficiente para comprender completamente las amenazas, que pueden ser internas o externas. Pueden suceder en nuestras vidas personales y en cualquier empresa, organización o gobierno. La amenaza se basa realmente en el concepto de una entidad que tiene demasiadas credenciales y contraseñas bajo su gestión. Las credenciales se han obtenido de manera ilícita y el autor tiene intenciones maliciosas de reutilizarlas.
Así que nos quedamos con un dilema de seguridad, cómo mitigar este tipo de amenaza. Aquí hay algunas estrategias que deberíamos adoptar para minimizar el riesgo:
1. Nunca reutilice una contraseña en ninguno de los dos recursos. Cada aplicación y recurso debe tener una contraseña única. Nunca, nunca use las mismas credenciales en el hogar y en el trabajo. Para las empresas, considere un administrador de contraseñas que pueda almacenar, rotar automáticamente y proporcionar contraseñas a individuos apropiados por rol o persona. Esto evita que cualquier ladrón acumule contraseñas ya que ellas cambian constantemente y siguen un modelo de derechos.
2. Si la solución es compatible con MFA o 2FA, úsala. Si su contraseña alguna vez se creó alas, la tecnología de factores múltiples y factores múltiples puede ayudar a salvaguardar los intentos de autenticación no autorizados si un ladrón los ha obtenido. Además, el uso de esta tecnología con información sensible al contexto (como la IP de origen) solo reforzará el modelo de seguridad para evitar el acceso a geolocalizaciones no autorizadas.
3. Cambia frecuentemente tus contraseñas. O, para decirlo de otra manera, nunca deje que sus contraseñas permanezcan iguales y se vuelvan obsoletas. Esto se alinea con la primera recomendación. Muchas veces, incluso cuando gestionamos contraseñas con un administrador, no forzamos la rotación de contraseñas con la frecuencia suficiente; especialmente en nuestras vidas personales. Considere cambiar las contraseñas frecuentemente (al menos dos veces al año). Ahora, si es un curioso profesional de la ciberseguridad, puede argumentar que la guía del NIST indica que no necesita rotar las contraseñas de un usuario con frecuencia. Esto es cierto para los usuarios que nunca comparten o ingresan credenciales repetidamente en varios sistemas. Sin embargo, esta no es una práctica recomendada para cuentas de servicio, con privilegios o cualquier otro par de credenciales / contraseñas que puedan ser conocidas por más de un individuo. Esto se relaciona con nuestra premisa de por qué las contraseñas y el conocimiento de ellas son una amenaza.
A medida que los vectores de ataque de privilegios continúan evolucionando, todas las organizaciones deben ser conscientes de la amenaza de los ladrones de contraseñas. Cualquier persona interna o externa de la compañia, que tenga un vasto conocimiento de las contraseñas obtenidas ilegalmente, es un potencial carterista.
Si necesita resolver este problema de seguridad de la contraseña dentro de su empresa, consulte BeyondTrust Password Safe.
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
