Tom trabaja para una institución financiera de buena reputación. Tiene una contraseña larga y compleja que sería casi imposible de adivinar. Lo memorizó de memoria, por lo que comenzó a usarlo en sus cuentas de redes sociales y también en sus dispositivos personales. Sin que Tom lo supiera, uno de estos sitios vio comprometida su base de datos de contraseñas por piratas informáticos y la puso a la venta en la web oscura. Ahora los actores de amenazas están trabajando arduamente para vincular estas credenciales filtradas con personas de la vida real y sus lugares de trabajo. En poco tiempo, un actor de amenazas utilizará la cuenta de correo electrónico legítima de Tom para enviar un enlace de phishing a su director ejecutivo.
Este es un escenario común de apropiación de cuentas en el que atacantes malintencionados obtienen acceso no autorizado a los sistemas de la organización, poniendo en riesgo información y operaciones críticas. Generalmente comienza con credenciales comprometidas. Explicaremos por qué la apropiación de cuentas es tan difícil de detener una vez que comienza y por qué una seguridad de contraseña sólida es la mejor prevención.
¿Por qué son tan peligrosos los ataques de apropiación de cuentas?
Obtener acceso a una cuenta de Active Directory dentro de una organización es el sueño de un hacker. Pueden lanzar ataques de ingeniería social desde una cuenta de correo electrónico asociada legítima o un servicio de mensajería instantánea, comunicándose con otros empleados desde una cuenta confiable que no será marcada por la seguridad interna. Si los mensajes de phishing se elaboran cuidadosamente, puede pasar algún tiempo antes de que se descubra la suplantación.
Los atacantes pueden apoderarse de una cuenta con privilegios existentes o comprometer una cuenta obsoleta o inactiva e intentar elevar sus privilegios desde allí. Esto puede darles las claves de todo tipo de información confidencial compartida dentro de la organización, como planes comerciales confidenciales, datos financieros, propiedad intelectual o información de identificación personal (PII) de empleados o clientes. La legitimidad de la cuenta comprometida aumenta las posibilidades de éxito en estas actividades fraudulentas.
Dado que estos ataques implican el uso de credenciales de usuario legítimas, es difícil distinguir entre acceso autorizado y no autorizado. Los atacantes suelen imitar el comportamiento de usuarios legítimos, lo que dificulta la identificación de actividades sospechosas o anomalías. Es posible que los usuarios no sepan que sus cuentas han sido comprometidas, especialmente si los atacantes mantienen el acceso sin levantar sospechas. Este retraso en la detección permite a los atacantes continuar con sus actividades maliciosas, lo que aumenta el daño potencial y hace que la reparación sea más difícil.
¿Le interesa saber cuántas cuentas obsoletas e inactivas hay en su entorno de Active Directory junto con otras vulnerabilidades de contraseñas? Ejecute esta auditoría gratuita de contraseñas de solo lectura.
Ejemplo de la vida real: incumplimiento del gobierno estatal de EE. UU.
Un incidente de seguridad reciente en una organización anónima del gobierno estatal de EE. UU. puso de relieve los peligros de la apropiación de cuentas. Un actor de amenazas se autenticó con éxito en un punto de acceso interno de red privada virtual (VPN) utilizando las credenciales filtradas de un ex empleado. Una vez dentro de la red, el atacante accedió a una máquina virtual y se mezcló con el tráfico legítimo para evadir la detección. La máquina virtual comprometida proporcionó al atacante acceso a otro conjunto de credenciales con privilegios administrativos tanto para la red local como para Azure Active Directory.
Con estas credenciales, el actor de amenazas exploró el entorno de la víctima, ejecutó consultas del protocolo ligero de acceso a directorios (LDAP) contra un controlador de dominio y obtuvo acceso a la información del host y del usuario. Luego, los atacantes publicaron la información filtrada en la web oscura, con la intención de venderla para obtener ganancias financieras.
Cómo las contraseñas débiles y comprometidas conducen a la apropiación de cuentas
Las malas prácticas de seguridad de contraseñas pueden aumentar significativamente el riesgo de apropiación de cuentas. El uso de contraseñas débiles que sean fáciles de adivinar o descifrar hace que a los atacantes les resulte muy sencillo comprometer cuentas. Los usuarios finales eligen frases raíz comunes y luego agregan caracteres especiales con estructuras simples para cumplir con requisitos de complejidad como “contraseña123!“. Estos serán adivinados rápidamente mediante técnicas automatizadas de fuerza bruta utilizadas por los piratas informáticos.
Un número preocupante de organizaciones todavía tiene políticas de contraseñas que permiten contraseñas débiles que están ampliamente expuestas a la apropiación de cuentas. Sin embargo, es importante recordar que las contraseñas seguras también pueden verse comprometidas.
La reutilización de contraseñas a menudo se pasa por alto, pero es uno de los comportamientos más riesgosos del usuario final. Cuando las personas reutilizan la misma contraseña (incluso si es segura) en varias cuentas, una infracción en un servicio puede exponer sus credenciales, lo que facilita que los atacantes obtengan acceso a otras cuentas. Si un ciberdelincuente obtiene la contraseña de un usuario de un sitio web comprometido, puede intentar usarla para obtener acceso no autorizado a sus cuentas laborales.
Reforzar la seguridad de las contraseñas para evitar la apropiación de cuentas
Una seguridad de contraseña más sólida juega un papel crucial en la prevención de ataques de apropiación de cuentas. La implementación de MFA agrega una capa adicional de seguridad al requerir que los usuarios proporcionen factores de verificación adicionales, como una contraseña de un solo uso, datos biométricos o un token físico, además de su contraseña. Sin embargo, MFA no es infalible y puede omitirse. Las contraseñas débiles y comprometidas siguen siendo casi siempre el punto de partida para la apropiación de cuentas.
Hacer cumplir requisitos de contraseña complejos, como una longitud mínima de 15 caracteres, una combinación de letras mayúsculas y minúsculas, números y caracteres especiales, hace que sea más difícil para los atacantes adivinar o descifrar contraseñas mediante ataques de fuerza bruta o de diccionario.
Sin embargo, su organización también necesita una forma de detectar contraseñas que puedan haber quedado comprometidas debido a comportamientos riesgosos, como la reutilización de contraseñas. Una herramienta como Specops Password Policy analiza continuamente su entorno de Active Directory comparándolo con una lista cada vez mayor de más de 4 mil millones de contraseñas comprometidas. Si se descubre que un usuario final está utilizando una contraseña violada, se ve obligado a cambiarla y cerrar una posible ruta de ataque.
¿Quiere ver cómo la política de contraseñas de Specops podría adaptarse a su organización? Hable con nosotros y podremos concertar una prueba gratuita.