Saqueo de inicio de sesión: cómo evitar que los hackers roben credenciales corporativas

El gasto destinado a reforzar la ciberseguridad en el ámbito empresarial sigue creciendo, sin embargo, las compañías alrededor del mundo continúan reportando brechas en la seguridad de sus datos. Entonces, ¿cuál es la razón de este problema persistente? Un trío de factores maliciosos compuesto por contraseñas estáticas, equivocaciones de los usuarios y ataques de suplantación de identidad (phishing) sigue minando los esfuerzos de protección. El acceso sencillo a las credenciales otorga a los delincuentes cibernéticos una ventaja considerable. La capacitación de los usuarios por sí sola no es suficiente para restaurar el equilibrio; se requiere tanto la educación de los usuarios como un enfoque sólido en la gestión de credenciales con múltiples capas de protección, garantizando que las credenciales no caigan en manos equivocadas.

El Dilema de las Contraseñas

Casi la mitad de todas las violaciones de seguridad informadas involucran la sustracción de credenciales. Una vez obtenidas, estas permiten a los hackers asumir la identidad de usuarios legítimos para propagar malware o ransomware, o bien desplazarse a través de las redes corporativas. Los atacantes también pueden extorsionar, robar información, recolectar datos estratégicos y comprometer el correo electrónico comercial (BEC), con posibles consecuencias financieras y de reputación graves. Las consecuencias por la sustracción o compromiso de credenciales tuvieron un costo promedio de 4.35 millones de dólares en 2022 y el proceso de detección y contención lleva más tiempo (327 días).

Quizás no sea sorprendente enterarse de que la dark web está repleta de credenciales robadas; de hecho, había 24 mil millones en circulación en 2022. Uno de los factores contribuyentes es una mala administración de las contraseñas. Si las contraseñas no son fáciles de adivinar o descifrar, los inicios de sesión podrían convertirse en un objetivo para el phishing, donde los usuarios pueden ser engañados o despojados de sus credenciales. La práctica común de reutilizar contraseñas significa que estas credenciales robadas pueden ser empleadas en un software automatizado para acceder a otras cuentas en línea, en ataques conocidos como ataques de relleno de credenciales. Una vez en manos de los hackers, estas credenciales se ponen en acción rápidamente. De acuerdo a un estudio, los ciberdelincuentes accedieron a casi una cuarta parte (23%) de las cuentas inmediatamente después del ataque, posiblemente utilizando herramientas automatizadas diseñadas para verificar la legitimidad de las credenciales robadas.

La Educación de Usuarios no es una Solución Total

El phishing representa una amenaza particularmente grave para las empresas y su nivel de sofisticación va en aumento. A diferencia del spam lleno de errores de antaño, algunos intentos de phishing parecen auténticos al punto de que incluso un profesional experimentado tendría dificultades para identificarlos. Los logotipos corporativos y la tipografía son replicados con precisión, y los dominios a menudo recurren al typo-squatting para parecer idénticos a los dominios legítimos. Incluso se pueden utilizar nombres de dominio internacionalizados (IDN) para imitar dominios legítimos, reemplazando letras del alfabeto romano con equivalentes en alfabetos no latinos. Esto posibilita que los estafadores registren dominios de phishing que se asemejen a los auténticos.

Lo mismo es aplicable a las páginas de phishing a las que los ciberdelincuentes dirigen a los empleados. Estas páginas están meticulosamente diseñadas para resultar convincentes. Las URL de estas páginas web con frecuencia emplean tácticas similares, como la sustitución de letras. También buscan replicar logotipos y fuentes. Algunas páginas de inicio de sesión incluso presentan barras de URL falsas que muestran la dirección real del sitio web para engañar a los usuarios. Por esta razón, no se puede asumir que los empleados siempre podrán discernir qué sitios son auténticos y cuáles son intentos de suplantación de identidad.

Esto significa que los programas de concientización de usuarios deben ser actualizados, considerando tanto los riesgos específicos del trabajo híbrido como las tácticas de phishing en constante evolución.

Especialmente en relación a las páginas de phishing, es importante instar a los usuarios a abstenerse de hacer clic en enlaces hacia páginas desconocidas. En su lugar, deben acceder directamente a sitios web de confianza y proceder con el inicio de sesión. También se debe enseñar a los empleados a siempre inspeccionar la barra de direcciones URL para asegurarse de que estén en el sitio correcto. Otra habilidad crucial será enseñar a los empleados a inspeccionar los enlaces URL y analizarlos, lo que les permitirá diferenciar entre una página de inicio de sesión auténtica y un intento de suplantación de identidad. Si bien esto no garantiza éxito en todos los casos, podría resultar útil en la mayoría de ellos.

Hacia una Protección en Tiempo Real

No existe una solución infalible y la educación de los usuarios por sí sola no es suficiente para detener el robo de credenciales. Los cibercriminales sólo necesitan tener éxito en una ocasión. Además, existen múltiples canales a través de los cuales pueden acceder a sus víctimas: correo electrónico, mensajes de texto, redes sociales y aplicaciones de mensajería instantánea. Es irreal esperar que cada usuario pueda detectar y reportar estos intentos de ataque.

Las organizaciones deben adoptar un enfoque en capas para la gestión de credenciales. El objetivo es reducir la cantidad de sitios que requieren contraseñas por parte de los usuarios. Deberían esforzarse por implementar la autenticación de un solo inicio de sesión (SSO) para todas las aplicaciones y sitios web legítimos necesarios para el trabajo. Si hay inicios de sesión que exigen diferentes credenciales, entonces una herramienta de gestión de contraseñas sería útil en el ínterin. Esto también proporciona una forma para que los empleados determinen si pueden confiar en una página de inicio de sesión específica, ya que la herramienta de gestión de contraseñas no ofrecerá credenciales para un sitio que no reconoce. Las organizaciones también deben implementar la autenticación multifactor para proteger los inicios de sesión. La adopción de FIDO2 también está creciendo y ofrecerá una solución más sólida que las aplicaciones de autenticación tradicionales, superando a los códigos enviados a través de mensajes de texto.

Cuando se combina con un enfoque integral de seguridad empresarial y se lleva a cabo un enfoque en capas para la gestión de credenciales, se puede reducir la superficie de ataque y mitigar el riesgo de una amplia gama de amenazas.