Genérico 3min de Leitura - 07 de julio de 2021

Crackers prueban manualmente contraseñas robadas pocas horas después de su fuga

dedos tocando tela com códigos binários

This post is also available in: Português Español

Investigadores crearon logins falsos para descubrir cuanto tiempo les lleva a los cibercriminales utilizarlos, algo que sucedió en menos de 12 horas.

Quién sea objeto de un ataque virtual, donde su contraseña haya quedado al descubierto, puede esperar bastante rapidez de parte de los crackers envueltos en el proceso. Sea que sepan o no de la invasión, las credenciales de la víctima serán probadas manualmente por los atacantes en máximo 12 horas. Esto sucede con el 40% de las fugas de logins, sin embargo, tal plazo puede ser menor.

En las pruebas realizadas por profesionales de seguridad digital, el “mejor” descubrimiento fue el tiempo de 12 horas. Ya que en el 20% de los casos el acceso ilegal sucedió en máximo 60 minutos, y un 40% en seis horas máximo. Los números muestran que los invasores son extremadamente rápidos en probar si los nombres de usuario y las contraseñas funcionaban de verdad, ya que los cibercriminales buscan explorar credenciales robadas lo más rápido posible.

Los responsables por el estudio fueron los investigadores de seguridad cibernética de la multinacional Agari. Durante seis meses, ellos plantaron miles de credenciales en sitios web y fórums clandestinos conocidos por divulgar nombres de usuarios y contraseñas robadas. Todos los logins y contraseñas fueron creados para simular que pertenecían a usuarios reales, pero la verdad estaban bajo el control de los investigadores.

«Cerca del 40% de las cuentas fueron accedidas 12 horas después de la difusión de los sitios web. Aproximadamente el 20% son accedidos en una hora y 40% en seis horas. Eso realmente muestra la rapidez con la que una cuenta comprometida es explorada», dice Crane Hassold, director senior de investigaciones de amenazas de Agari.

Trabajo duro y efectivo

Casi todas las cuentas fueron accedidas manualmente. Aunque se trata de una tarea agotadora, es útil para los criminales cibernéticos, pues pueden probar con precisión si las credenciales realmente funcionan.

Al acceder a una cuenta de esa forma, un invasor puede encontrar información confidencial en los buzones de entrada de los usuarios de correo electrónico, incluso en su software de almacenamiento en nube. Son datos que pueden ser robados y usados para ayudar en nuevos ataques – o incluso vendidos en el bajo mundo del crimen virtual.

También existe la posibilidad de que los invasores consigan usar las cuentas comprometidas para cometer otros crímenes, como ataques de phishing o comprometimiento de correo electrónico comercial (BEC, por sus siglas en inglés), usando la cuenta invadida para lanzar campañas adicionales.

Un ejemplo de eso es que, durante las pruebas, un invasor intentó usar una cuenta robada para realizar ataques de BEC contra el sector inmobiliario, disparando correos electrónicos que buscan redireccionar a las víctimas a un sitio web que roba logins de empresas inmobiliarias. Pero como las credenciales falsas eran controladas por investigadores, ninguno de los correos electrónicos realmente llegó a los destinatarios pretendidos.

No obstante, el proceso demuestra como los cibercriminales obtienen las credenciales comprometidas e intentan explotarlas para obtener acceso a más cuentas. Es como un efecto dominó; el phishing de credencial lleva a una cuenta comprometida, que lleva a más campañas de phishing de credencial, que llevan a más cuentas comprometidas – y así por delante.

Vida corta

Aunque las cuentas robadas sean accedidas rápidamente, la investigación mostró que por costumbre son abandonadas después de una semana. Luego de siete días, probablemente el invasor ya mudó su objetivo a otros logins, tal vez después de usar la cuenta inicial como un trampolín para llegar a otros objetivos.

Con relación a eso, las empresas deben tomar precaución con el fin de proteger sus aplicaciones en nube, y a la rede más amplia, de phishing y otros ataques. Como mínimo tenga las defensas adecuadas instaladas y activas constantemente, como softwares antivirus y filtros eficientes de spam.

El uso da autenticación multifactorial también lo ayudará a evitar que cuentas comprometidas sean explotadas, pues vuelve mucho más difícil la vida del cracker – y al mismo tiempo alerta a la víctima de que algo está fallando. Sea cual sea el sistema de protección, debe ser totalmente eficaz, pues – si llega a fallar – en pocas horas los correos electrónicos de una empresa toda pueden caer bajo el dominio de cibercriminales.

This post is also available in: Português Español