El 20% de las solicitudes de autenticación de las organizaciones son maliciosas
Los ataques de credential stuffing (también denominados ‘ataques de relleno de credenciales’) implican que los ciberdelincuentes se sirven de los nombres de usuario y contraseñas robados en un sistema para violar otros. Las herramientas automatizadas son fundamentales para esto, ya que permiten a los atacantes maximizar la cantidad de intentos que realizan.
El informe 2023 Identity Threat Report: The Unpatchables, realizado por F5 Labs, la división de inteligencia de F5, analiza 320.000 millones de transacciones de datos que se produjeron en los sistemas de 159 organizaciones entre marzo de 2022 y abril de 2023.
Según se desprende de este estudio, en los casos en los que no se implementaban medidas de mitigación, la tasa media de automatización (un fuerte indicador de la existencia de credential stuffing) fue del 19,4%. Este porcentaje se redujo en más de dos tercios, hasta el 6%, cuando el tráfico malicioso se mitigó de forma proactiva.
“Las identidades digitales son desde hace tiempo una prioridad para los atacantes, y la amenaza crece a medida que aumenta la prevalencia de identidades no humanas”, dice Javier Múgica, major account manager en F5.
“Nuestra investigación muestra hasta qué punto las identidades digitales están siendo atacadas y la importancia de una mitigación eficaz. De forma significativa, encontramos un patrón consistente en el que el uso de automatización maliciosa disminuye inmediatamente cuando existe algún tipo de protección, haciendo que los atacantes pasen a buscar objetivos más fáciles”.
Este informe explora también el impacto de las medidas de mitigación en los ataques de credential stuffing, que deberían cambiar el comportamiento de los atacantes y provocar una disminución en el uso de automatización maliciosa.
En este sentido, F5 Labs descubrió que cuando no hay medidas de mitigación los ataques se dirigen con más frecuencia a endpoints móviles. Por el contrario, cuando se introducen estas medidas se observa un crecimiento de los ataques a través de endpoints web y una disminución a móviles.
Por otra parte, el 64,5% del tráfico malicioso que se dirige a endpoints desprotegidos responde a un formato de ataque ‘básico’, lo que significa que no hay intentos de emular el comportamiento humano o de contrarrestar la protección contra bots. Sin embargo, cuando se implementan medidas de mitigación, este porcentaje cae de forma significativa, situándose en el 44%.
Los ataques ‘intermedios’ (que hacen algunos esfuerzos para alterar las soluciones anti-bots) se vuelven mucho más frecuentes cuando detectan medidas de mitigación, aumentando del 12% al 27%.
Finalmente, los ataques avanzados, que utilizan herramientas que pueden emular fielmente la navegación de un usuario humano (incluyendo el movimiento del ratón, las pulsaciones de las teclas y las dimensiones de la pantalla), se elevan del 20% al 23%.
“Nuestro análisis muestra que una gran parte de los atacantes sigue adelante a pesar de que se implementen medidas de protección”, afirma Múgica. “Los ciberdelincuentes que continúan con sus actividades a pesar de las soluciones de mitigación implementadas son claramente más decididos y sofisticados, y aprovechan herramientas que les permiten replicar el comportamiento humano y ocultar sus acciones”.
“Por ejemplo, observamos un ataque que emuló 513.000 interacciones de usuarios únicos en 516.000 solicitudes, reciclando características identificables en menos del 1% de los casos. En los ataques más sofisticados, a veces se requiere observación manual para identificar comportamientos maliciosos y crear una nueva firma”, apostilla el responsable.
3 de cada 4 credenciales están comprometidas
En su informe, F5 Labs también examina la cadena de suministro de las credenciales comprometidas, encontrando que los defensores tienen mucha menos visibilidad de lo que piensan. Así, no sabían que hasta el 75% de las credenciales utilizadas durante los ataques estaban comprometidas.
Además, los defensores se ven obligados a dar respuesta a amenazas de identidad diseñadas para superar las soluciones de mitigación. Por ejemplo, las organizaciones pueden intentar monitorizar los ataques de relleno de credenciales buscando una tasa de éxito anormalmente baja en las solicitudes de autenticación.
El estudio muestra que los atacantes se adaptan a esta técnica utilizando cuentas ‘canary’, lo que les permite aumentar artificialmente la tasa de éxito general. Por ejemplo, se detectó que una campaña de relleno de credenciales inició sesión en la misma cuenta canary 37 millones de veces en la misma semana para este propósito.
El informe de F5 Labs analiza igualmente la evolución de los ataques de phishing, dejando constancia que los ciberdelincuentes están intensificando sus esfuerzos para combatir las contramedidas. Más concretamente, a medida que crece el uso de la autenticación multifactor, aumenta también el phishing de proxy inverso, modalidad en la que los atacantes crean páginas de inicio de sesión falsas que alientan a los usuarios a introducir sus credenciales.
Asimismo, los ciberdelincuentes utilizan cada vez más capacidades de detección-evasión como AntiRed, una herramienta Javascript diseñada para superar el análisis de phishing basado en navegador, como Google Safe Browsing (que envía al usuario un mensaje de alerta cuando encuentra un site potencialmente inseguro).
Nuevas amenazas a la vista
En un escenario en continua evolución, F5 Labs también observa cómo está surgiendo una nueva generación de amenazas.
Así, en agosto de 2022 se detectó un anuncio en la Dark Web que promocionaba un sistema de phishing por voz que utiliza inteligencia artificial para automatizar llamadas de phishing. La creciente sofisticación y la disminución de los costes de la IA hacen que estas prácticas sean cada vez más comunes y eficaces.
“De cara al futuro, los proveedores de identidades deberían emplear una solución anti-bots para mitigar la automatización maliciosa, como el credential stuffing. Incluso las soluciones anti-bot simples pueden mitigar la mayor parte del credential stuffing poco sofisticado”, añade Javier Múgica.
“Las organizaciones pueden fortalecer aún más sus defensas mediante el uso de soluciones MFA basadas en criptografía, como las basadas en los protocolos WebAUthn o FIDO2. En última instancia, no existe una solución milagrosa para combatir los ataques de identidades“, lamenta.
El experto aconseja a los defensores monitorizar y detectar ataques, cuantificar la tasa de error de su detección y adaptarse en consecuencia. “Cuanto más estudiemos estos ataques y su naturaleza en constante cambio, mejor podremos gestionar el riesgo de vulnerabilidades inherentes a cualquier sistema en el que los usuarios deban demostrar su identidad a la hora de acceder”, concluye.