Las 9 mejores formas de proteger su empresa del relleno de credenciales

¿Sabías que en 2019, los nombres de usuario y contraseñas de aproximadamente 4 millones de usuarios de Canva fueron robados, descifrados y compartidos en línea?

Este fue un ataque de relleno de credenciales.

¿Confundido?

Antes de seguir adelante, comprendamos qué significa este término.

¿Qué es un ataque de relleno de credenciales?

Un ataque de relleno de credenciales es un método de ciberataque en el que los ciberdelincuentes se apoderan de bases de datos masivas que contienen credenciales de usuario para violar un sistema. Estos delincuentes utilizan un sistema automatizado para acceder a pares de nombres de usuario y contraseñas previamente violados en el campo de inicio de sesión del sitio web.

Intentan acceder a la cuenta de usuario en diferentes plataformas al encontrar el par correcto de nombres de usuario y contraseñas.

Fuente

Estos ciberdelincuentes secuestran las cuentas en las que pueden iniciar sesión.

Esta técnica se está volviendo cada vez más popular ya que los piratas informáticos novatos tienen herramientas fácilmente disponibles para iniciar sesión en cientos de servicios y sitios web en línea.

Según la investigación, las empresas experimentan una media de 12,7 ataques de Credential Stuffing cada mes, lo que provoca una pérdida de la friolera de 6 millones de dólares.

Con tanto sobre la mesa, las empresas deben proteger su negocio de los ataques de Credential Stuffing.

Las 9 mejores formas de proteger su negocio del relleno de credenciales

Utilice estos métodos para proteger su negocio de posibles delitos de relleno de credenciales:

1. Utilice la autenticación multifactor durante el inicio de sesión

Para evitar que ocurran delitos cibernéticos, use la autenticación multifactor (MFA) para permitir que los clientes accedan a sus plataformas en línea. El objetivo principal de usar MFA es reducir el riesgo de apropiación de cuentas y brindar seguridad a las cuentas de los clientes.

Además de solicitar el nombre de usuario y la contraseña, MFA requiere que los clientes completen un factor de verificación más, lo que reduce drásticamente la probabilidad de un ataque en línea exitoso.

Fuente

La mayoría de las empresas prefieren usar contraseñas de un solo uso o OTP, que son códigos de 4 a 8 dígitos que recibes en tu móvil o correo electrónico.

Estadísticas interesantes: el 61% de los clientes usa la misma contraseña en varios servicios, lo que hace que MFA sea imprescindible para evitar que la cuenta de su cliente sea pirateada.

2. Evite usar direcciones de correo electrónico como nombres de usuario

Dado que la base de los ataques de credenciales es que las personas reutilizan el mismo nombre de usuario y contraseña, el trabajo de un ciberdelincuente es mucho más fácil cuando sus clientes usan su dirección de correo electrónico como nombre de usuario.

Pida a los usuarios que tengan diferentes direcciones de correo electrónico y nombres de usuario, ya que disminuye la probabilidad de que los clientes utilicen la misma combinación de nombres de usuario y contraseñas en varios sitios web.

3. Concéntrese en las alertas de umbral para detectar intentos fallidos de inicio de sesión

Es una técnica muy efectiva para detener instancias de ciberataques de Credential Stuffing. Cuando un sistema detecta un número 'x' de intentos fallidos de inicio de sesión, envía un mensaje automático al usuario sobre los intentos fallidos y ejecuta un script personalizado para detenerlos.

Estos scripts deshabilitan temporalmente la funcionalidad de inicio de sesión o incluso apagan el servidor, lo que evita que el ciberdelincuente obtenga acceso no solicitado a la cuenta de un usuario.

Estadísticas interesantes: en 2020, 3400 millones de ataques de Credential Stuffing afectaron a bancos y otros servicios financieros.

4. Tener una contraseña segura y una política de autenticación

Uno de los métodos de prevención más fáciles y más utilizados es tener una política de autenticación y contraseña segura. Anime a los clientes y empleados a usar administradores de contraseñas para generar contraseñas únicas y seguras.

Fuente

Enseñe a sus empleados y clientes los beneficios de tener diferentes contraseñas para diferentes cuentas.

Además, establezca un límite estricto en la cantidad de solicitudes de inicio de sesión fallidas.

Por ejemplo, los bancos permiten solo de 3 a 5 intentos antes de congelar temporalmente la cuenta del cliente.

Los clientes deben visitar un banco o hablar con un asociado de servicio al cliente para descongelar sus cuentas.

Además, anime a sus empleados y clientes a restablecer sus contraseñas regularmente.

Curiosamente, el 81 % de las filtraciones de datos se producen cuando los clientes utilizan una contraseña débil o credenciales comprometidas para iniciar sesión en sus cuentas.

5. Adopte la autenticación sin contraseña

Muchas empresas están utilizando una forma nueva e innovadora para evitar los ataques cibernéticos de relleno de credenciales: la autenticación sin contraseña.

En lugar de usar una contraseña para identificar a un cliente, la autenticación sin contraseña verifica a un cliente usando su dispositivo, otra cuenta o datos biométricos.

La autenticación sin contraseña lleva su seguridad de inicio de sesión de mejor a mejor. Elimina el potencial robo de contraseñas.

Dichos métodos ahorran a sus clientes la molestia de recordar contraseñas largas y complejas.

Estadísticas interesantes: el 78 % de los clientes de la Generación Z usan la misma contraseña para varias cuentas en línea.

6. Usar un firewall de aplicaciones web (WAF)

La implementación de un firewall de aplicaciones web es una excelente manera de detectar el tráfico anormal de los ciberdelincuentes.

La mayoría de los WAF identifican posibles intentos de inicio de sesión, especialmente cuando los ciberdelincuentes intentan de repente muchos intentos.

Además de identificar posibles instancias de Credential Stuffing, WAF previene las filtraciones de datos provocadas durante un ataque web.

Consejo profesional: implemente WAF en todos sus sitios web para evitar filtraciones de datos y relleno de credenciales.

7. Usar hash de credenciales

Para evitar que los ciberdelincuentes roben contraseñas, utilice el hash de credenciales. En el proceso de hashing de credenciales, el sistema codifica la contraseña de un usuario antes de almacenarla en su base de datos. Incluso si los ciberdelincuentes obtienen acceso a estas contraseñas, no podrán usarlas.

Aunque el hashing de contraseñas puede ser demasiado eficaz para evitar el relleno de credenciales, ayuda a limitar lo que los ciberdelincuentes pueden hacer con esas contraseñas robadas.

Consejo profesional: la piratería de credenciales se diferencia del cifrado en que es una función criptográfica unidireccional, mientras que el cifrado funciona en ambos sentidos. Como el proceso de cifrado es reversible,

los ciberdelincuentes obtienen la clave secreta para descifrar el texto.

8. Usar listas negras de IP

Por lo general, los ciberdelincuentes tienen acceso a un conjunto limitado de direcciones IP. Cuando observe intentos de inicio de sesión en varias cuentas desde la misma dirección IP, incluya en la lista negra todas esas direcciones IP.

Para evitar ser víctima de falsos positivos, realice un seguimiento de las últimas direcciones IP utilizadas para iniciar sesión en la cuenta de su cliente. Luego, compare las direcciones IP con las sospechosas.

Fuente

El único inconveniente de usar el backlisting de IP es que los ciberdelincuentes pueden usar técnicas como la suplantación de IP, lo que da la impresión de que se están conectando al sistema usando una dirección IP diferente.

Esto permite a los ciberdelincuentes eludir las listas negras mientras ocultan su identidad.

Consejo profesional: un proceso integral de inclusión en la lista negra de IP evita que los ciberdelincuentes roben credenciales y obtengan acceso a las credenciales de su cliente.

9. Bloquear el uso de navegadores sin cabeza

Un navegador sin cabeza es un navegador web sin una interfaz de usuario. Aunque estos navegadores acceden a la página web, la interfaz gráfica de usuario o GUI está oculta para los usuarios.

Por lo general, los desarrolladores usan navegadores autónomos para probar aplicaciones y sitios web y para probar la biblioteca de JavaScript, pero los ciberdelincuentes los usan para hacer clic en fraudes y obtener acceso a las credenciales de los clientes.

Bloquear el acceso a estos navegadores sin cabeza significa prevenir actividades sospechosas.

Consejo profesional: como estos navegadores no tienen una GUI para navegar, usted controla o bloquea dichos navegadores mediante scripts automatizados o una interfaz de línea de comandos.

Ejemplos de ataques de relleno de credenciales

Desde sus inicios, los ataques de Credential Stuffing han afectado a empresas de todos los sectores. Algunos ataques prominentes y dignos de mención son:

La cara norte

The North Face, un conocido minorista de actividades al aire libre, enfrentó un ataque masivo de relleno de credenciales en 2020. Los atacantes obtuvieron acceso a información, como nombres de clientes, números de teléfono, facturación, direcciones de envío, preferencias de correo electrónico y productos favoritos.

Después del ataque, North Face tuvo que restablecer las contraseñas de un número indeterminado de clientes. Además, la empresa redujo la tasa de inicio de sesión de cuentas de cualquier fuente sospechosa.

HSBC

Hacia fines de 2018, HSBC enfrentó un importante ataque de Credential Stuffing, que comprometió la seguridad financiera de miles de clientes.

El banco suspendió el acceso a las cuentas en línea para todos los clientes afectados e inició procedimientos para cambiar las contraseñas de las cuentas bancarias en línea. El banco finalmente aplicó varias medidas de ciberseguridad para evitar que se produjeran futuros ataques.

DailyMotion

En 2019, DailyMotion se encontró con un ataque de relleno de credenciales continuo y a gran escala por parte de ciberdelincuentes. La plataforma para compartir videos alertó a todos sus clientes afectados y brindó asistencia personalizada a cada uno de ellos.

Dunkin Donuts

En tres meses, Dunkin Donuts fue víctima de un ataque de relleno de credenciales dos veces. Los atacantes obtuvieron acceso al nombre, apellido, dirección de correo electrónico y número de cuenta de Dunkin Donuts de 16 dígitos de su cliente y al código QR de beneficios. Dunkin Donuts notificó activamente a los clientes sobre este ataque.

La empresa utilizó varias medidas para evitar nuevos ataques y garantizó la seguridad de los datos de los clientes.

Prevención de ataques de relleno de credenciales como un profesional

Si bien no existe una solución definitiva para prevenir los ataques cibernéticos de relleno de credenciales, seguir las medidas mencionadas anteriormente proporciona una capa adicional de seguridad.

Los ciberdelincuentes y sus clientes usan los mismos navegadores, por lo que su negocio requiere una protección de relleno de credenciales sólida y eficiente para detectar posibles ataques.

Independientemente de si es una pequeña o mediana empresa, es imperativo contar con un socio de seguridad de confianza que lo ayude a cumplir con sus requisitos de seguridad y garantizar que las credenciales de su cliente permanezcan en buenas manos.

No deje piedra sin remover cuando implemente estos nueve consejos, ya que es su negocio y sus clientes, y debe proteger sus credenciales.