Relleno de credenciales: Detección, prevención y anulación

Cuando oímos hablar de filtraciones de datos, es decir, ataques a bases de datos de información personal como direcciones de correo electrónico y, potencialmente, contraseñas, la amenaza de ataques de relleno de credenciales es la que más se cierne sobre nosotros. Así que, cuando JP Morgan Chase informa de una filtración de información asociada a 83 millones de cuentas o las direcciones de correo electrónico de 200 millones de cuentas de Twitter se filtran silenciosamente en internet, ¿hay que preocuparse?

Por desgracia, la respuesta es «quizás». Sobre todo si reutilizas la misma contraseña para muchas de tus cuentas sensibles en internet y no quieres que tus datos se conviertan en munición para un ataque de relleno de credenciales.

¿Qué es el relleno de credenciales?

El relleno de credenciales se produce cuando los delincuentes intentan entrar por la fuerza en un sitio web utilizando bases de datos de credenciales de inicio de sesión robadas o filtradas. Los robots automatizados inyectan los nombres de usuario y contraseñas robados en las solicitudes de inicio de sesión de un sitio web o en una API, y luego aprovechan cualquier intento de inicio de sesión exitoso.

Ten en cuenta que puede tratarse de cualquier sitio web, no solo del que ha sufrido la filtración, porque muchos usuarios tienden a utilizar las mismas contraseñas en todos los servicios. Según Google, hasta el 87% de las personas tienden a reutilizar contraseñas, ya sea en todos o solo en algunos de sus servicios y cuentas. Esto es en gran parte lo que hace que el relleno de credenciales tenga éxito.

El robo de cuentas (ATO) suele ser el resultado de ataques de relleno de credenciales, especialmente cuando el usuario víctima no practica una buena higiene de contraseñas. En otras palabras, un usuario cuya información ha sido violada en un sitio web no sensible corre un riesgo mucho mayor de que se viole una cuenta más importante si utiliza las mismas contraseñas en todas las cuentas y no las cambia con regularidad.

Esto se debe a que los ataques de relleno de credenciales buscan específicamente este tipo de inseguridad en las contraseñas, a menudo intentando utilizar las mismas credenciales de inicio de sesión en varios sitios diferentes. A continuación, el mismo software bot puede sustraer automáticamente de las cuentas comprometidas sus datos de pago confidenciales o realizar transacciones no autorizadas.

Ataques de relleno de credenciales vs. ataques de fuerza bruta

Los ataques de relleno de credenciales son un subconjunto de los ataques de fuerza bruta. Ambos tipos de tácticas nefastas pueden caracterizarse por forzar un gran volumen de intentos de inicio de sesión a través del ojo de la cerradura de un sitio web, con una tasa de éxito esperada baja, pero no nula. Sin embargo, mientras que un ataque de fuerza bruta intenta utilizar la automatización para generar la contraseña correcta de un nombre de usuario o dirección de correo electrónico filtrados, los ataques de relleno de credenciales ya están armados con pares de nombres de usuario y contraseñas. 

Cómo funciona el relleno de credenciales

En cierto sentido, el relleno de credenciales no suele «funcionar». Los estafadores que intentan ejecutar un ataque de bots para el relleno de credenciales esperan que la gran mayoría de los datos robados no sirvan para nada, y que el resultado no sea más que un mensaje del tipo:

| Combinación de nombre de usuario y contraseña no válida.

Los datos de investigación publicados en internet sugieren que la tasa de éxito de los ataques de relleno de credenciales se sitúa entre el 2% y el 0,1%, pero con el tamaño de algunas filtraciones de datos históricas, incluso una tasa de éxito del 0,1% podría ser enorme.

Pensemos que, en el caso de la filtración masiva de 83 millones de cuentas de JP Morgan Chase en 2014, el 0,1% de esa filtración equivale a 83.000 cuentas de las que se apoderaron con éxito los estafadores malintencionados, y esas cuentas tenían datos mucho más valiosos que los nombres de usuario y las contraseñas robados, ya que estaban vinculadas a servicios financieros.

La ejecución de un ataque de relleno de credenciales implica varias piezas en juego:

• una base de datos de nombres de usuario y contraseñas mal protegida, filtrada
• un estafador que accede a esa base de datos filtrada
• software bot para convertir en armas los datos de inicio de sesión filtrados
• herramientas de suplantación de IP y dispositivos para camuflar los bots
• sitios web objetivo contra los que lanzar los datos de inicio de sesión hasta que funcione una combinación de nombre de usuario y contraseña

Los inicios de sesión exitosos casi siempre terminan con los estafadores robando cualquier dato que parezca valioso, incluidos números de tarjetas de crédito e información de identificación personal. La programación del bot a menudo despojará a la cuenta de esta información en cuestión de segundos, y puede bloquear potencialmente al usuario genuino de su propia cuenta mediante el cambio de contraseñas.

Incluso los datos no financieros pueden extraerse para utilizarlos en ataques de phishing más sofisticados, sobre todo si la cuenta comprometida está asociada a una empresa o permite el acceso a información sensible. 

¿Cómo afecta el relleno de credenciales a tu organización?

El daño que los estafadores pueden causar a tu organización puede ser grave. Esto es cierto no solo para la empresa que permitió que su base de datos fuera filtrada, sino también para los sitios web atacados que tienen sus puertas de enlace de inicio de sesión atascadas con solicitudes.

Si los ataques tienen éxito en sus dominios, las organizaciones afectadas inevitablemente tendrán que hacer limpieza para mantener su seguridad en orden, pero también pueden encontrarse ajustando cuentas para clientes inocentes cuyas finanzas o datos han sido utilizados indebidamente. Contar con un departamento de atención al cliente bien equipado se convertirá de repente en una cuestión prioritaria, o en un punto de dolor prioritario.

Para la empresa cuyas bases de datos hayan sido filtradas, con la consiguiente filtración de credenciales de inicio de sesión, la cadena negativa de acontecimientos puede incluir:

• daños a la reputación de cara al público
• mantenimiento de los recursos y mejoras de infraestructura obligatorias
• fuertes multas de organismos legales

Las grandes filtraciones de datos suelen ser el centro de atención de los ciclos de noticias, lo que, a pesar del viejo refrán de que toda prensa es buena prensa, está claro que no es nada bueno para la empresa que ha sufrido la filtración.

Incluso las empresas que consiguen eludir la cobertura mediática tienen la obligación legal de informar a sus usuarios de que sus datos pueden haberse visto comprometidos, lo que podría conducir el tráfico a un competidor. Ha habido intentos de ocultar los hackeos y las filtraciones a la opinión pública, pero esto da lugar a reportajes aún más escandalosos cuando la información sale inevitablemente a la luz. 

Desde que el Reglamento General de Protección de Datos (GDPR) de la UE se hizo legalmente exigible en mayo de 2018, este y otros organismos de gobierno financiero como la FTC también han repartido miles de millones en multas relacionadas con prácticas de datos inseguras.

Solo por filtraciones de datos de usuarios, empresas como Meta, Equifax y British Airways han recibido multas multimillonarias; el GDPR aplicó a Meta una multa de 275 millones de dólares por datos de usuarios filtrados que encontraron la forma de publicarse en sitios web de hackers.

Es seguro decir que la mayoría de las organizaciones prefieren reforzar sus defensas contra las filtraciones de datos antes que pagar multas masivas y sacrificar su marca al hacerlo. Dicho esto, el fraude no es un problema estático y requiere un enfoque proactivo para evitar multas y mantener a salvo a los consumidores.

Cómo defenderse contra un ataque de relleno de credenciales

Por supuesto, la primera línea de defensa contra los ataques de relleno de credenciales es asegurarse de que tu propia infraestructura no pueda ser violada, de modo que tus bases de datos no puedan ser utilizadas como arma en ataques de relleno de credenciales en otras plataformas. 

Como consumidor, puedes evitar que todas tus cuentas en línea se vean comprometidas por la filtración de datos de un único sitio web si practicas una buena higiene de contraseñas.

Para el sitio web objetivo -el dominio contra el que los estafadores intentan utilizar los datos de acceso robados- los procesos de defensa y detección son más complicados. La primera medida de seguridad debería ser siempre asegurarse de que tus clientes utilizan contraseñas seguras y detectar las débiles en el momento del registro. 

Un arma fiable contra los estafadores basada en datos son herramientas como haveibeenpwned, de Troy Hunt. Esta enorme base de datos de contraseñas filtradas permite mejorar la seguridad y, al utilizar un método llamado k-anonimato, sigue siendo privada y segura a pesar de manejar información sensible filtrada. También se ofrece a través de Cloudflare. Bloquear este tipo de conexiones y advertir a los usuarios de esta situación es una sólida salvaguarda contra los robos de cuentas por relleno de credenciales. 

Sin duda, los estafadores intentarán eludir las medidas de seguridad normales de los sitios web, programando sus bots para que cambien de dirección IP por cada nombre de usuario único, por ejemplo. Así, la prevención debe ir un paso por delante de la seguridad cotidiana de los dominios. 

Técnicas de prevención de relleno de credenciales

Para mantener tus puertos libres de bots merodeadores, hay ciertas medidas que cualquier empresa puede aplicar y que abordan específicamente el comportamiento de los bots, aunque con distintos grados de fricción para el cliente. 

Naturalmente, los estafadores que buscan una tasa de éxito del 0,1% querrán lanzar una red enorme, aprovechando tantos nombres de usuario y contraseñas como sea posible para maximizar su éxito. Utilizar bots en este proceso significa que su programación rara vez, o nunca, será lo suficientemente específica como para dirigirse a las pasarelas de seguridad que cuentan con una capa de seguridad de seguimiento.

Algunas medidas comunes pero eficaces que proporcionan una mayor seguridad a través de pasarelas de alta fricción incluyen:

• La autenticación multifactor, que requiere que el usuario confirme su identidad a través de otro dispositivo, es extremadamente eficaz contra los ataques automatizados de relleno de credenciales, ya que los bots simplemente no están programados para abrir una aplicación de autenticación en un teléfono para verificarse a sí mismos. Al iniciar sesión, pocas empresas quieren introducir este nivel de fricción con el cliente. Las más astutas pueden desplegar un sistema de fricción dinámica para añadir solo una capa de seguridad MFA cuando los datos de conexión de un usuario plantean indicadores de alerta.
• CAPTCHA y otros módulos de detección humana pueden reducir significativamente la probabilidad de que un bot pueda acceder a un sitio web. Sin embargo, también en este caso son pocas las empresas que quieren introducir incluso un modesto momento de fricción de seguridad, y se ha demostrado que muchos CAPTCHA se pueden superar sistemáticamente.
• Los PINs y los desafíos escalonados, incluidas las preguntas de seguridad adicionales son eficaces para mitigar los bots, ya que es increíblemente improbable que un ataque de relleno de credenciales a escala esté programado para completarlos.

Lograr un equilibrio entre fricción y seguridad es siempre la cuerda floja sobre la que hay que caminar. Muchas empresas pueden querer introducir un método de autenticación sin fricción, examinando los datos de conexión y otros identificadores únicos en busca de señales alarmantes para, a continuación, solo introducir fricción cuando sea necesario para la protección de la cuenta. Entre ellos se incluyen:

• La reputación de IP, que consulta la procedencia de una dirección IP de conexión. Aunque muchos bots estarán programados para cambiar o rotar por varias direcciones IP al conectarse, estas direcciones IP pueden llevar las cicatrices del fraude. La dirección IP puede sugerir que viene a través de un proxy de centro de datos, lo que puede ser una señal de advertencia para el apetito de riesgo de algunas empresas, o estar contabilizada en una base de datos de IPs de una lista negra.
• La huella del dispositivo también es particularmente eficaz contra los bots. Esto se debe a que la huella digital del dispositivo reconocerá la máquina física con la que se conecta el tráfico, y algunas soluciones contra el fraude podrán reconocer marcadores sospechosamente similares entre usuarios aparentemente no relacionados. Por ejemplo, los estafadores que rellenan credenciales no suelen programar sus bots para que aparezcan como si utilizaran distintos navegadores web o resoluciones de pantalla.
• Los tests de velocidad se realizan cuando el software mide el comportamiento de un usuario en busca de señales de un comportamiento concreto, en este caso, señales de acciones automatizadas del usuario, así como indicadores de multicuenta. Además de comparar los resultados de los hashes de dispositivos y otros, como hemos visto antes, los tests de velocidad pueden detectar comportamientos repetitivos y sospechosos. Los bots están programados para intentar iniciar sesión y realizar acciones maliciosas cada vez que lo consiguen. Es muy probable que estas acciones sean las mismas en un solo dominio, tal vez cambiando automáticamente las contraseñas o transfiriendo fondos almacenados en caché a otro lugar, todo ello en un plazo de tiempo similar al de una máquina, probablemente solo segundos. Este comportamiento automatizado será distinto de los patrones normales de uso humano, y los tests de velocidad pueden ajustarse para detectarlos, especialmente si existe un ejemplo histórico en el que basar el patrón.

Si aparecen comportamientos o señales sospechosas cuando una solución de software investiga el tráfico, pueden -y deben- desplegarse los métodos de mayor fricción antes mencionados. En el mejor de los casos, una combinación de estas técnicas se integraría en el recorrido del usuario. Si bien esta estrategia de gestión de riesgos puede dar lugar a que algunos buenos clientes se vean obligados a pasar por un inicio de sesión de alta fricción y, potencialmente a que se den de baja, la pérdida que representan será seguramente menor que una multa por parte del GDPR.

¿Cómo combate SEON los ataques de relleno de credenciales?

El paquete de software de prevención del fraude de SEON proporciona herramientas óptimas para prevenir y detectar los ataques de relleno de credenciales. El software identificará cientos de puntos de datos y los utilizará para señalar tanto configuraciones sospechosas como conexiones entre usuarios, por ejemplo, aquellos que olvidaron sospechosamente sus contraseñas el mismo día.

Las soluciones facilitan fácilmente un entorno de fricción dinámica, que permite a los usuarios obviamente no fraudulentos y no automatizados pasar por la fase de inicio de sesión con las mínimas molestias. La distinción entre usuarios buenos y maliciosos se identifica a través de la huella digital avanzada de dispositivos y navegadores, así como del análisis de IP y de la huella digital, que se ejecutan silenciosamente en cuanto un usuario entra en el dominio.

Un usuario que ingresa sus datos de inicio de sesión de forma extrañamente rápida, desde una IP asociada a un proxy de un centro de datos y utilizando credenciales que se sabe que están implicadas en una reciente filtración de datos, será rápidamente señalado por el motor de puntuación de fraude personalizable de SEON. A este tipo de conexiones se les debe pedir que realicen una MFA o que completen un cuestionario de seguridad.

En caso de que los estafadores consigan entrar, SEON monitorea todo el recorrido del usuario y detectará comportamientos de riesgo dentro de tu plataforma. Las puntuaciones de fraude pueden ajustarse para que aumenten rápidamente si un usuario, por ejemplo, inicia sesión en una cuenta y luego intenta retirar fondos a una velocidad que probablemente no sea humana. Las revisiones manuales pueden activarse en puntos de contacto reveladores, como los usuarios que intentan cambiar sus contraseñas con una velocidad automatizada.

Estos casos de fraude también pueden etiquetarse e introducirse en los algoritmos avanzados de machine learning de SEON, para reconocer mejor casos similares en el futuro, especialmente si sus señales de riesgo son demasiado sutiles para una revisión humana.  

SEON ayuda a las empresas a proporcionar una plataforma más segura para los usuarios, cerrando brechas en la infraestructura que, de otro modo, podrían ser explotadas. Esta seguridad se extiende no solo a los datos personales almacenados internamente, sino también a la probabilidad de que tu empresa se vea sometida a enormes multas o a daños irreversibles en tu reputación.

Al mismo tiempo, el enfoque de fricción dinámica garantiza que SEON pueda mantener tu seguridad sin introducir fricciones innecesarias en el recorrido de los clientes legítimos.

Fuentes

• OWASP: Credential Stuffing Prevention Cheat Sheet
• CSO Online: The 12 biggest data breach fines, penalties, and settlements so far
• IT Governance: The damaging after-effects of a data breach
• Wikipedia: 2014 JPMorgan Chase data breach
• Google: Online Security Survey Google / Harris Poll