Aumentan los incidentes de ciberseguridad asociados al robo de credenciales

  • Seguridad

Aunque el volumen total de credenciales derramadas ha disminuido, lo que está creciendo considerablemente es el tamaño de los incidentes de tamaño mediano, ya que en 2020 se vieron afectados 2 millones de registros en cada uno. F5 alerta que la explotación de los datos filtrados mediante el relleno de credenciales es un problema global.

Recomendados: 

Libera el poder de tus datos con la infraestructura invisible de Nutanix Webinar

Dell EMC PowerStore: el futuro del almacenamiento está aquí Webinar 

Los derrames de credenciales, un incidente de seguridad que implica la filtración de una combinación de datos compuesta por nombre de usuario y/o correo electrónico y contraseña, se han duplicado en el periodo 2016-2020. De acuerdo con el Informe Credential Stuffing Report de F5, aunque el volumen total de credenciales derramadas en dicho ha caído un 46%, y en 2020 ascendió 17 millones, el informe revela que lo que está creciendo es el tamaño de los incidentes de tamaño mediano, ya que en 2020 se vieron afectados 2 millones de registros en cada uno de ellos, lo que supone un 234% más con respecto a 2019.

La explotación de los datos filtrados, que se materializa en la práctica conocida como relleno de credenciales (credential stuffing), ya se ha convertido en un problema global. "Si está siendo pirateado en estos momentos, lo más probable es que se deba a un ataque de relleno de credenciales", afirma Sara Boddy, directora senior de F5 Labs.

Sara Boddy añade que “los derrames de credenciales son como un vertido de petróleo, una vez que se producen, son muy difíciles de limpiar, porque los usuarios no cambian sus datos y contraseñas y las empresas aún no han adoptado de forma masiva soluciones que impidan el relleno de credenciales. Este tipo de ataque tiene un impacto a largo plazo sobre la seguridad de las aplicaciones, por lo que no es raro que en el periodo estudiado haya superado a los ataques HTTP”.

 

Según el informe, el deficiente almacenamiento de contraseñas sigue siendo uno de los problemas más recurrentes. Así, en el 42,6% de los derrames de credenciales de los últimos tres años se ha comprobado que se carecía de protección para unas contraseñas almacenadas en texto sin formato. En el 20% de los casos las credenciales relacionadas con el algoritmo hash de contraseña SHA-1 carecían de un valor único que se puede agregar al final de la contraseña para crear un valor hash diferente.

Otra observación de este informe es el incremento detectado en técnicas de fuzzing con el objetivo de mejorar la tasa de éxito a la hora de explotar las credenciales robadas. El fuzzing es un proceso que busca encontrar vulnerabilidades analizando los códigos de entrada, probando repetidamente con entradas modificadas. F5 ha probado que la mayoría de ataques fuzzing se producen antes de que se publiquen las credenciales comprometidas, lo que lleva a pensar que es una práctica muy común entre los atacantes más avanzados.

Si en 2018 un derrame de credenciales tardaba una media de 15 meses en hacerse público, en estos momentos, ese periodo ha bajado a 11 meses. Por su parte, el tiempo medio para detectar un incidente de este tipo es de 120 días. F5 afirma que el anuncio de un derrame por parte de la empresa suele coincidir con la aparición de las credenciales robadas en los foros de la Dark Web.