Los ataques de robo de cuentas han surgido como una de las amenazas más persistentes y dañinas para los entornos SaaS basados en la nube. Sin embargo, a pesar de las importantes inversiones en medidas de seguridad tradicionales, muchas organizaciones siguen teniendo dificultades para prevenir estos ataques. Un nuevo informe, “Por qué los ataques de robo de cuentas siguen teniendo éxito y por qué el navegador es su arma secreta para detenerlos” sostiene que el navegador es el principal campo de batalla donde se desarrollan los ataques de robo de cuentas y, por lo tanto, donde deben ser neutralizados. El informe también proporciona una guía eficaz para mitigar el riesgo de robo de cuentas.
A continuación se presentan algunos de los puntos clave planteados en el informe:
El papel del navegador en la apropiación indebida de cuentas
Según el informe, la cadena de ataque de SaaS aprovecha los componentes fundamentales que se encuentran dentro del navegador. Para el robo de cuentas, estos incluyen:
- Páginas web ejecutadas – Los atacantes pueden crear páginas de inicio de sesión de phishing o usar MiTM en páginas web legítimas para recopilar y acceder a credenciales.
- Extensiones del navegador – Las extensiones maliciosas pueden acceder y filtrar datos confidenciales.
- Credenciales almacenadas – Los atacantes intentan secuestrar el navegador o extraer sus credenciales almacenadas para acceder a aplicaciones SaaS.
Una vez que las credenciales del usuario se ven comprometidas, el atacante puede iniciar sesión en las aplicaciones y operar con impunidad en su interior. Se trata de una cadena de eliminación diferente y mucho más corta en comparación con la cadena de eliminación local, por lo que las medidas de seguridad tradicionales no ofrecen protección contra ella.
Análisis de las TTP de apropiación de cuentas
El informe detalla las principales tácticas, técnicas y procedimientos de apropiación de cuentas, analiza cómo funcionan, por qué los controles de seguridad tradicionales no son eficaces para protegerse contra ellas y cómo una plataforma de seguridad de navegadores puede mitigar el riesgo.
1. Suplantación de identidad (phishing)
El riesgo: Los ataques de phishing se aprovechan de la forma en que el navegador ejecuta la página web. Hay dos tipos principales de ataques de phishing: una página de inicio de sesión maliciosa o la interceptación de una página legítima para capturar tokens de sesión.
El fallo de protección: Las soluciones SSE y los firewalls no pueden proteger contra estos ataques, ya que los componentes de la página web maliciosa no pueden verse en el tráfico de la red. Como resultado, los componentes de phishing pueden ingresar al perímetro y al punto final del usuario.
La solución: Una plataforma de seguridad de navegadores brinda visibilidad sobre la ejecución de páginas web y analiza cada componente ejecutado, detectando actividades de phishing como campos de ingreso de credenciales y redireccionamiento MiTM. Luego, estos componentes se desactivan dentro de la página.
2. Extensiones de navegador maliciosas
El riesgo: Las extensiones maliciosas explotan los altos privilegios habilitados por los usuarios para controlar la actividad y los datos del navegador, apoderándose de las credenciales almacenadas.
El fallo de protección: Los EDR y EPP a menudo tienen una confianza implícita en los procesos del navegador, lo que convierte a las extensiones en un punto ciego de seguridad.
La solución: Una plataforma de seguridad del navegador proporciona visibilidad y análisis de riesgos de todas las extensiones y desactiva automáticamente las maliciosas.
3. Autenticación y acceso a través de una página de inicio de sesión
El riesgo: Una vez que el atacante obtiene las credenciales, puede acceder a la aplicación SaaS objetivo.
El fallo de protección: Los IdP tienen dificultades para diferenciar entre usuarios maliciosos y legítimos y las soluciones MFA a menudo no se implementan ni adoptan por completo.
La solución: Una plataforma de seguridad del navegador monitorea todas las credenciales almacenadas en el navegador, se integra con el IdP para actuar como un factor de autenticación adicional y refuerza el acceso desde el navegador para evitar el acceso a través de credenciales comprometidas.
¿Qué sigue para los responsables de la toma de decisiones en materia de seguridad?
El navegador se ha convertido en una superficie de ataque crítica para las empresas, y los ataques de apropiación de cuentas ejemplifican su riesgo y la necesidad de adaptar el enfoque de seguridad organizacional. LayerX ha identificado que una solución de seguridad del navegador es el componente clave en ese cambio, ya que contrarresta las técnicas de ataque existentes que obligarán a los atacantes a reevaluar sus medidas. Lea el informe completo .
About the Author
