En la actualidad, las contraseñas siguen siendo uno de los eslabones más débiles en las defensas de ciberseguridad generales de muchas organizaciones, así como uno de los objetivos de ataque más populares, con un aumento del 45 % en los ataques de malware de robo de contraseñas en el tercer trimestre de 2021, según un informe de Kaspersky. el número de ataques dirigidos a usuarios individuales también aumentó en casi un 30%. Con el fin de ayudar a las empresas y las personas a proteger mejor la seguridad de las contraseñas, hemos recopilado a continuación los diez principales ataques de contraseñas principales y sus medidas de protección (algunos de ellos tienen intersección o afiliación en la clasificación):
Los siguientes son los diez ataques de contraseña más frecuentes y las medidas de mitigación para las empresas. Las medidas de mitigación efectivas y específicas pueden reducir en gran medida el daño de los ataques y la pérdida y fuga de datos críticos para el negocio.
1. Ataque de fuerza bruta
2. Ataque de diccionario
3. Pulverización de contraseñas
4. Llenado de credenciales
5. Suplantación de identidad
6. Ataques de registradores de teclas
7. Ataques de ingeniería social
8. Restablecer contraseña
9. Robo físico
10. Reutilización de contraseñas
1. Ataque violento
Un ataque de fuerza bruta se refiere a un ataque de contraseña simple y crudo en el que los piratas informáticos utilizan una gran cantidad de contraseñas comunes o filtradas para realizar una gran cantidad de intentos de acceso. Incluso una computadora de clase "PC para juegos" que utiliza las capacidades de CPU de alto rendimiento de hoy en día puede "adivinar" miles de millones de contraseñas por segundo.
Medidas de atenuación:
Bloqueo de cuenta, requisitos de longitud de contraseña (más de 20 caracteres), bloqueo de contraseñas incrementales y combinaciones comunes, y protección de contraseña comprometida, diccionarios personalizados y MFA (autenticación de múltiples factores).
2. Ataque de diccionario
El ataque de diccionario es un tipo de ataque de fuerza bruta. Al descifrar una contraseña o clave, las posibles contraseñas (palabras o frases) en el diccionario definido por el usuario se prueban una por una. La diferencia con un ataque de fuerza bruta es que un ataque de fuerza bruta prueba todas las combinaciones posibles de contraseñas una por una, mientras que un ataque de diccionario usa una lista predefinida de palabras (contraseñas posibles).
Medidas de atenuación:
Longitud de contraseña/contraseñas de más de 20 caracteres, bloqueo de contraseñas incrementales/de patrón común, protección de contraseña filtrada, diccionario personalizado, MFA.
3. Pulverización de contraseñas
El ataque exhaustivo consiste en corregir el nombre de usuario y utilizar varias contraseñas para intentar verificar. A diferencia de un ataque de fuerza bruta, un ataque de rociado de contraseña consiste en corregir una contraseña y probar varios nombres de usuario para la autenticación. El rociado de contraseñas "golpea" muchas cuentas diferentes con una o unas pocas contraseñas comunes. Este enfoque evita los umbrales de bloqueo de cuenta (después de varios intentos de contraseña). Muchas organizaciones limitan el número de intentos de contraseña de cuenta incorrectos a 3 a 5.
Al probar solo una contraseña por debajo del umbral de bloqueo a la vez, un atacante puede probar varias contraseñas en toda la organización sin ser bloqueado por los mecanismos de protección predeterminados en Active Directory. Los atacantes que rocían contraseñas a menudo eligen contraseñas comúnmente utilizadas por los usuarios finales o usan contraseñas que se han filtrado en línea.
Medidas de atenuación:
Contraseñas de más de 20 caracteres, bloqueo de contraseñas débiles de patrón incremental/común, protección de contraseña filtrada, diccionario personalizado, MFA.
4. Relleno de credenciales (credential stuffing)
El relleno de credenciales (Credential Stuffing) es un ataque de piratería automatizado, también conocido como "relleno de credenciales", que utiliza las credenciales de inicio de sesión obtenidas de una violación de datos de un servicio para intentar iniciar sesión en otro servicio no relacionado. Con una tasa de éxito de hasta el 2 %, los bots de relleno de credenciales representan más del 90 % de todo el tráfico de inicio de sesión en los sitios web más grandes del mundo y generan una gran cantidad de filtraciones de datos de segunda mano.
Medidas de atenuación:
Bloquear contraseñas débiles incrementales/patrón común, protección de contraseña filtrada/diccionarios personalizados, MFA, bloqueo de cuenta
5. Suplantación de identidad
El phishing es un ataque antiguo que tiene décadas de antigüedad pero sigue siendo muy efectivo y muy convencional. Los ataques de phishing manipulan de manera fraudulenta a las personas para que tomen medidas o revelen información confidencial, generalmente por correo electrónico. Por ejemplo, los atacantes se hacen pasar por organizaciones o servicios legítimos para engañar a los usuarios para que revelen información de la cuenta.
La táctica de phishing más común es "Amenaza urgente", donde los correos electrónicos de phishing pueden contener frases como "Urgente, su cuenta ha sido pirateada". Los atacantes aprovechan el pánico del usuario final y hacen que los usuarios divulguen información mientras la "protegen".
Medidas de atenuación:
Capacitación en concientización sobre ciberseguridad, MFA, configuración de banners de correo electrónico, configuración del servidor de correo (DKIM, SPF, etc.)
6. Ataques de registradores de teclas
Los ataques de keylogger se utilizan para registrar información confidencial ingresada por los usuarios en el teclado, como la información de la cuenta. Los ataques de teclado involucran tanto software como hardware. Por ejemplo, el software espía puede registrar las pulsaciones de teclas para robar todo tipo de datos confidenciales, desde contraseñas hasta números de tarjetas de crédito. Si un atacante tiene acceso físico a la computadora de un usuario final, se puede asociar un dispositivo de hardware físico con el teclado para registrar las pulsaciones de teclas ingresadas.
Medidas de atenuación:
Capacitación en concientización sobre seguridad, última protección contra malware, protección de URL maliciosa, MFA, bloqueo de dispositivos USB desconocidos, administrador de contraseñas, acceso físico seguro a entornos comerciales críticos.
7. Ataques de ingeniería social
La ingeniería social incluye una variedad de actividades maliciosas para manipular a las personas para que realicen acciones o revelen información confidencial, incluido el phishing, el phishing de voz, las redes sociales, el cebo y el acecho, y más. Por ejemplo, un ataque de phishing es una forma de ataque de ingeniería social en el que los atacantes lo engañan para que les proporcione información confidencial, como contraseñas, información bancaria o el control de su computadora o dispositivo móvil.
Medidas de atenuación:
Capacitación en concientización sobre seguridad, métodos MFA seguros (p. ej., no usar preguntas de seguridad)
8. Restablecimiento de contraseña
Un ataque de restablecimiento de contraseña es una técnica clásica de ataque de ingeniería social en la que un atacante finge ser una víctima y llama a la mesa de ayuda para solicitar un restablecimiento de contraseña. Los piratas informáticos solo necesitan convencer al personal de la mesa de ayuda para que les proporcione la nueva contraseña en lugar de intentar adivinarla o descifrarla. Los empleados de la mesa de ayuda en las grandes empresas pueden no conocer a todos los empleados y, por lo tanto, corren un riesgo especial. Los ataques de reinicio también se han vuelto más comunes durante la pandemia a medida que más empleados han cambiado a modelos de trabajo híbridos o totalmente remotos, porque autenticar a un usuario final no es tan simple como saludarlo en persona. Múltiples estudios han demostrado que los ataques man-in-the-middle para restablecer contraseñas son simples y efectivos.
Medidas de atenuación:
Autenticación/MFA para la mesa de ayuda, capacitación sobre seguridad, restablecimiento de contraseña de autoservicio mediante MFA (SSPR)
9. Robo físico
Escribir contraseñas es una actividad común y muy peligrosa. Una "nota post-it de contraseña maestra" pegada a un monitor podría ser fácilmente el desencadenante de una violación importante de datos. Hacer cumplir los requisitos de complejidad en la administración de contraseñas puede llevar a los usuarios a anotarlos. Para una pequeña cantidad de contraseñas que deben recordarse, puede optar por usar una combinación de frases de contraseña. Use un administrador de contraseñas si sus usuarios finales usan varias contraseñas para sistemas críticos para el negocio. En resumen, las "contraseñas físicas" en monitores o mesas son un gran no-no.
Medidas de atenuación:
Capacitación de concientización sobre seguridad, uso de frases de contraseña y administradores de contraseñas
10. Reutilización de contraseñas
La reutilización de contraseñas es una de las principales causas de violaciones de datos. La investigación ha encontrado que más del 70% de los empleados reutilizan las contraseñas en el trabajo. Compartir contraseñas entre cuentas personales y de la empresa puede hacer que su red sea vulnerable a ataques de cuenta. Si el foro de fans en el que te registraste es pirateado y usas la misma contraseña en la cuenta de tu empresa, tu contraseña terminará en la dark web, dejando los sistemas de tu empresa vulnerables.
Medidas de atenuación:
Capacitación de concientización sobre seguridad, frase de contraseña, administrador de contraseñas, protección de contraseña comprometida, diccionario personalizado, incrementos de bloques, contraseña de modo diario.