Los hackers usaban datos robados de un sitio de juegos para obtener acceso al sitio de una red móvil británica. Aprenda cómo sucedió y qué puede hacer para protegerse.
Más información sobre ciberseguridad
La BBC informó la semana pasada que los datos de clientes privados (direcciones de correo electrónico, números de teléfono, contraseñas y fechas de nacimiento) propiedad de la red móvil británica O2 fueron robados y luego vendidos en la «red oscura» por hackers. La red oscura, o web oscura, se refiere a una parte turbia de Internet, fuera del ámbito de los motores de búsqueda y accesible sólo para ciertos navegadores, donde los delincuentes a menudo se involucran en prácticas deshonestas o ilegales.
VER: Cómo acceder y navegar de forma segura por la Red Oscura
Esto no es una violación de datos per se, ya que los sistemas de O2 no estaban directamente comprometidos. Según el artículo, los hackers entraron en las cuentas por un proceso llamado relleno de credenciales. Esto implica el uso de un software especial para «intentar acceder repetidamente a las cuentas de los clientes utilizando los datos de acceso que ha obtenido de otros lugares. En este caso, los hackers estaban probando credenciales de acceso robadas hace tres años en un sitio web de juegos llamado XSplit. En algunos casos, los usuarios tenían el mismo nombre de usuario y contraseña, por lo que el inicio de sesión fue exitoso.
Esto puede llevar a problemas adicionales para las víctimas de esta técnica. Si las contraseñas coinciden con las de las cuentas de otros sistemas o sitios, estas cuentas pueden verse comprometidas, o los delincuentes pueden cometer robo de identidad utilizando los datos privados de sus víctimas. Algunos usuarios de O2 ya han informado de que se han producido actividades fraudulentas en otras cuentas de su propiedad.
La fuente del problema -y la solución- son bastante obvias aquí. Usar la misma contraseña en varios lugares es una mala idea. «La reutilización de contraseñas puede paralizar incluso los sistemas más seguros», declaró Travis Smith, ingeniero senior de investigación de seguridad de Tripwire. «El uso de credenciales auténticas en lugar de intentar aprovechar los exploits es menos arriesgado para el atacante, ya que las herramientas de seguridad tienen más probabilidades de detectar un exploit activo. Dado que las contraseñas se reutilizan habitualmente en los sitios web, las credenciales robadas de una infracción se utilizan a menudo en otros sitios».
Hablé con Smith sobre los detalles detrás del incidente de O2.
¿Cómo ocurrió este ataque?
T.S: «Hay indicios de que fue un ataque de reutilización de contraseñas. Los delincuentes recopilan credenciales robadas de otras infracciones e intentan autenticarse contra sitios web confiados. Es imposible para un sitio web saber si las contraseñas de sus usuarios se reutilizan en otro lugar de Internet. La implementación de herramientas de detección basadas en anomalías, como detectar y/o impedir que un usuario inicie sesión desde una nueva dirección IP, puede ayudar a evitar este tipo de incidentes. Sin embargo, la implementación de estas herramientas es compleja, costosa y puede producir demasiados falsos positivos para el usuario final, lo que significa que las empresas pueden no obtener un retorno de la inversión adecuado en comparación con otras tecnologías de seguridad. «
¿Qué tan común es este tipo de ataque?
T.S: «Es difícil medir cuán común es este tipo de ataque. Los atacantes se registran con credenciales válidas que no activan ninguna alarma de seguridad en el sitio web de destino. Sólo cuando los datos resultantes se comercializan y se venden en el mercado negro se hace público que el sitio web ha sido víctima del relleno de contraseñas. Lo que sí sabemos es que es increíblemente fácil para los criminales analizar un volcado de contraseñas y automatizar los procedimientos para comprobar si las credenciales son válidas en cualquier número de sitios web».
¿Cómo pueden los usuarios finales aprovechar los administradores de contraseñas y la autenticación de dos pasos?
T.S: «Muchos administradores de contraseñas están disponibles para los usuarios finales, incluyendo algunos que son gratuitos. La ventaja de un gestor de contraseñas es que permite a los usuarios finales crear fácilmente no sólo contraseñas únicas para cada servicio, sino que, lo que es más importante, crear contraseñas largas, complejas y aleatorias que no se adivinan fácilmente mediante técnicas de fuerza bruta. Siempre y cuando la contraseña del administrador sea lo suficientemente compleja y no sea fácil de adivinar, esta es una excelente manera de mantener segura la identidad de un usuario final.
La autenticación de dos pasos es más difícil para un usuario final, simplemente porque le corresponde al servicio web implementar esa función en su sitio web. En general, el usuario tiene que demostrar que posee un dispositivo separado para acceder al servicio. Esto puede ser algo como un mensaje de texto enviado a un teléfono, un código de acceso o un llavero en su posesión. Independientemente de la técnica, el objetivo final es dificultar el acceso de un atacante a la cuenta de otra persona. Incluso si una contraseña es robada, el atacante necesitará acceso al dispositivo secundario para obtener cualquier acceso legítimo.»
¿Qué puede hacer la TI para proteger a los usuarios?
T.S: «Ante todo, deben practicar lo que predican. La habilitación de la autenticación de dos factores en activos propiedad de la empresa, como el correo electrónico y los sitios de intranet, obligará a los empleados a comprender los procedimientos generales de uso de algo como la autenticación de dos factores. La mayoría de los usuarios finales no conocen la autenticación de dos factores o la consideran demasiado engorrosa de usar a menos que sea un requisito. Cuando los empleados se ven obligados a realizar estas actividades a diario, se convierte en una rutina. Al hacer de la seguridad una rutina, es más probable que los empleados elijan características de seguridad como la autenticación de dos factores, incluso cuando no es necesaria».
Dos ejemplos de administradores de contraseñas son KeePass y Password Safe. Ambos son gratuitos y almacenan de forma segura los detalles de la cuenta, tales como ID de usuario, contraseñas y enlaces a sitios web dentro de una base de datos central encriptada. La capacidad de copiar y pegar detalles los hace fáciles de usar y la base de datos puede ser compartida entre múltiples individuos como miembros de la familia o compañeros de trabajo. También es posible almacenar los archivos asociados en Dropbox o Google Drive para que se sincronicen con todos los dispositivos registrados en estos servicios.
VER: Cómo configurar Authy en múltiples dispositivos para una autenticación más conveniente de dos factores
Hay un factor de coste implicado en la autenticación de dos pasos en forma de dispositivos físicos o de inconvenientes adicionales para el personal de TI/cliente. (Sin embargo, es importante sopesar este costo contra el costo de una violación de datos.) Por lo tanto, lo más probable es que estas implementaciones crezcan más rápidamente en empresas privadas que en sitios web públicos como Amazon o eBay. Sin embargo, a medida que el panorama de la seguridad continúa evolucionando, podemos esperar que esta tecnología crezca en popularidad y prevalencia, y los usuarios pueden – y deben – empezar a protegerse inmediatamente con los administradores de contraseñas.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Véase también
Riesgos ocultos de seguridad de la IO: Cómo pueden protegerse las empresas y los trabajadores a distanci
a
Cómo evitar los ataques de ransomware: 10 consejo
s
El nuevo plan de ciberseguridad de EE.UU. facilita a las empresas la obtención de ayuda tras un ataqu
e
De la red oscura a la red»abierta»: Qué sucede con los datos robado
s
Cómo configurar 9to5Google para facilitar la autenticación de dos factores