Índice
Una cuenta se considera comprometida (o vulnerada) cuando un agente de amenaza obtiene acceso a las credenciales de un usuario o encuentra otra manera de actuar en su lugar. El robo de credenciales deja a las cuentas vulnerables ante numerosos ataques adicionales, tales como:
- Ransomware
- Malware de acceso remoto (rootkits)
- Keyloggers
- Espionaje y robo de datos
- Escalada de privilegios
Los agentes de amenaza roban credenciales para obtener acceso a cuentas de muchas maneras, incluyendo el phishing, la ingeniería social y otros ciberataques.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
Por qué y cómo ocurre
Todo ciberataque contra un usuario tiene un objetivo. En general, la vulneración de cuentas es tan solo el primer paso. La segunda fase es donde el atacante logra su objetivo, que es robarse los datos, destruirlos o instalar malware en la red. Esta fase podría requerir de escalado de privilegios, dependiendo del entorno y el nivel de autorización de la cuenta.
El phishing es una herramienta popular que los ciberatacantes usan para exfiltrar datos. El hackeo es un negocio, y una campaña de phishing exitosa puede producir millones de dólares en beneficios. Pero el robo de datos no es la única manera de obtener beneficios. Los atacantes también vulneran cuentas para instalar ransomware. En un ataque de ransomware, los datos se cifran con un cifrado criptográficamente seguro. Una organización con respaldos deficientes no tiene más opción que enviar dinero al atacante a cambio de recuperar sus archivos. Si la organización se niega a pagar, el atacante podría amenazar con revelar sus datos al público.
¿Cómo ocurre una vulneración de cuentas?
Phishing. Los correos electrónicos de phishing son una amenaza crítica para toda organización. Esto es porque los atacantes dependen de que la gente cometa errores. Cuando un correo electrónico de phishing llega a la bandeja de entrada, el usuario debe reconocerlo como malintencionado. Pero los usuarios podrían no tener tiempo suficiente para revisar cuidadosamente un mensaje antes de clicar un enlace o descargar un adjunto. El error humano es el eslabón débil en la seguridad de cualquier organización. Los ataques de phishing de hackers logran engañar a los usuarios para que estos divulguen sus credenciales y otra información delicada.
Un atacante tiene dos estrategias clave de phishing para engañar a los usuarios y lograr que divulguen sus credenciales. La primera es enviar un enlace a una página web malintencionada que parece una página corporativa oficial. Los usuarios introducen sus credenciales pensando que necesitan autenticar. Esta estrategia suele funcionar cuando los empleados no reciben regularmente capacitación en ciberseguridad.
Otra estrategia de phishing engaña a los usuarios para que ejecuten scripts malintencionados o ejecutable en sus dispositivos. Las macros de Microsoft Office se usan comúnmente para este tipo de ataques. Después de que un usuario abre un documento malintencionado, la macro descarga malware. El malware podría ser un keylogger para captar credenciales. O podría instalar un rootkit que le brinde al atacante acceso remoto al dispositivo local del usuario.
Ingeniería social. Esta estrategia aprovecha el impulso de confianza que tiene la mayoría de la gente. Un atacante simula ser una persona confiable, como un miembro del equipo de operaciones, para engañar a un usuario para que le envíe la información. Es importante que los usuarios aprendan a reconocer la ingeniería social. Los usuarios deben verificar la identidad de cualquiera que les pida información delicada y no simplemente entregar sus credenciales cuando alguien se los pida.
La ingeniería social y el phishing son las dos maneras principales en que los atacantes comprometen las credenciales de las cuentas. Pero es importante recordar que el panorama de ciberseguridad evoluciona constantemente. Algunas otras maneras en que los atacantes roban credenciales de usuarios e información delicada son:
- Inicios de sesión con contraseñas en texto simple.
- Bases de datos comprometidas con contraseñas almacenadas.
- Autenticación en canales de texto simple.
Tipos de cuentas que se pueden comprometer
Las cuentas de redes empresariales no son los únicos objetivos. Otras cuentas pueden ser útiles para los atacantes de manera tangencial. Por ejemplo, algunos brindan inadvertidamente datos delicados a los atacantes, que pueden llevar a una vulneración de la cuenta.
- Cuentas de correo electrónico empresarial. Estas cuentas son perfectas para una vulneración, porque se pueden usar para restablecer contraseñas en diversas aplicaciones empresariales. También pueden ser el punto de partida para el escalado de privilegios. Es aquí donde un atacante usa la cuenta para enviar solicitudes de privilegios adicionales o para engañar a otros usuarios de altos privilegios para que entreguen sus credenciales.
- Cuentas individuales de correo electrónico. Un atacante usa la cuenta comprometida para enviar correos a sus amigos y engañarlos para que revelen sus credenciales. Este tipo de vulneraciones se suele usar para restaurar las contraseñas de cuentas muy delicadas, como aplicaciones financieras.
- Cuentas de redes sociales. Estas cuentas suelen ser auténticos tesoros de información delicada del usuario. Por ejemplo, una cuenta de Facebook podría tener información acerca del cumpleaños, lugar de trabajo, nombres de amigos, mascotas, hijos y parientes, y otros datos personales. Todos estos se pueden usar en un ataque de fuerza bruta. Los usuarios suelen crear contraseñas usando información personal, así que recolectar la mayor cantidad posible de datos puede ayudar a un atacante a comprometer sus cuentas empresariales.
- Cuentas financieras. Los objetivos pueden incluir cuentas de tarjetas de crédito, cuentas bancarias, cuentas comerciales o cualquier otra cuenta que maneje dinero. Los atacantes pueden vender información de la cuenta en mercados de la darknet o usarla para transferir dinero. Las instituciones bancarias cuentan con sistemas de detección de fraude para evitar las vulneraciones de cuentas. Pero tanto usuarios como empresas deben permanecer atentas para evitar el robo de credenciales.
Cómo saber si una cuenta está comprometida
Los atacantes intentarán hacer todo lo posible para evitar su detección. Tanto usuarios como sistemas de monitorización empresariales deben estar atentos a señales de una vulneración. Los sistemas de monitorización continuamente recopilan datos y usan la inteligencia artificial para saber si una cuenta está comprometida con precisión. Existen diversos indicadores observables de una cuenta comprometida:
- Tráfico saliente inusual. A medida que los atacantes recopilan datos, podrían enviar datos poco a poco a una red externa. O podrían también transferir grandes cantidades de archivos durante horas no pico.
- Actividad irregular de usuarios de altos privilegios. Los usuarios de altos privilegios trabajan comúnmente con datos delicados, pero suelen hacerlo en patrones. Por ejemplo, un individuo de RR.HH. podría aceptar datos de los empleados durante el día cada viernes. En contraste, un atacante podría exfiltrar datos de los empleados de una sola vez durante las horas de bajo tráfico.
- Solicitudes de red de geolocalizaciones desconocidas. Si todos sus empleados residen en los EE. UU., entonces un acceso a la red o VPN desde direcciones IP de otros países podría implicar que la cuenta haya sido comprometida.
- Gran cantidad de solicitudes de autenticación fallidas. En un ataque de fuerza bruta, habrá una gran cantidad de intentos de autenticación fallidos. Los bloqueos de cuenta detienen estos intentos de autenticación. Pero un atacante continuará intentándolo con otras cuentas hasta que haya encontrado un conjunto de credenciales que coincida con las de la cuenta comprometida.
- Incremento en las lecturas de bases de datos. Un atacante que busque datos vulnerables sondeará las tablas de bases de datos y enviará múltiples solicitudes.
- Intentos de acceso excepcionalmente elevados a archivos importantes. En el espionaje corporativo, los archivos más valiosos contienen secretos comerciales y propiedad intelectual.
- Cambios sospechosos en la configuración. Un atacante podría cambiar las configuraciones del sistema para crear una puerta trasera para acceso persistente y amenazas.
- Exceso de tráfico de dispositivos a una dirección específica. Los dispositivos hackeados se pueden usar como parte de una botnet en un ataque denegación de servicio distribuido (DDoS) contra un objetivo específico.
Resultados de una cuenta empresarial comprometida
Algunos atacantes se enfocan en cuentas individuales. Pero el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés) es más común. Esto es porque brinda a los atacantes acceso a datos empresariales altamente delicados. Los usuarios de altos privilegios suelen ser objetivos principales, especialmente en ataques de spear phishing. Con acceso a la cuenta de correo electrónico del director general o al vicepresidente de RR. HH., un hacker puede acceder casi a cualquier dato de la red.
Una vez que han obtenido acceso a la cuenta de altos privilegios del usuario, los atacantes típicamente suplantan la identidad de sus víctimas. En un fraude del CEO o director general, un atacante se hace pasar por el CEO y envía correos a los empleados incautos para que hagan cosas, como transferir dinero a la cuenta de un atacante. El atacante usa la urgencia y posición del CEO para convencer a los empleados de que hagan lo que el atacante les pide.
Las estafas con facturas también son comunes. Un atacante puede simular ser un contable corporativo y ordenar a un empleado financiero que pague una factura fraudulenta. Las estafas con facturas suelen usar una combinación de ingeniería social y cuentas de correo comprometidas para engañar a los usuarios objetivo.
En vez de estafar a los empleados, un atacante puede usar la cuenta comprometida para robar datos. Con una cuenta de altos privilegios, los datos se pueden exfiltrar fácilmente a un servidor externo. El atacante podría ocultar puertas traseras en cuentas de usuario estandarizadas menos vigiladas. O podrían intentar hacer una escalada de privilegios para acceder a datos clave adicionales.
Cómo se comprometen las cuentas
El phishing es la vía principal en que los atacantes roban credenciales y vulneran cuentas. Las empresas y organizaciones que no cuentan con soluciones de protección y seguridad para correo electrónico están en alto riesgo de sufrir este tipo de ataques. Para que un correo electrónico luzca legítimo, los atacantes suplantan los encabezados del correo o registran nombres de dominio con una sola letra de diferencia. Los usuarios que no reconozcan estas sutiles señales son vulnerables a estos ataques.
La gente usa frecuentemente la misma contraseña tanto para sus cuentas personales como para las empresariales. No todas las páginas web cifran las credenciales de los usuarios. Los atacantes que roban contraseñas en una base de datos comprometida las usarán para descubrir otras cuentas usando las mismas contraseñas.
El malware puede espiar silenciosamente a los usuarios y robar su información. Los keyloggers, rootkits y otras herramientas de espionaje permiten a los atacantes recopilar credenciales de usuario y enviarlas a un servidor externo. Los archivos malintencionados adjuntos a correos electrónicos instalan malware automáticamente en la red, para que los atacantes puedan obtener credenciales.
Además, malas configuraciones de cortafuegos y un sistema comprometido brindan al atacante acceso a la red interna. Una vez dentro, un atacante puede recorrer la red a sus anchas para hallar datos vulnerables. Después de una vulneración, casi cualquier dato es vulnerable al robo y la revelación.
Recuperación de cuentas comprometidas
Si le parece que su cuenta podría haber sido comprometida, tiene opciones. Existen diversos pasos que se pueden seguir para eliminar la amenaza y recuperar su cuenta. Los estudios forenses de vulneración de datos solo los puede realizar un profesional. Pero es posible seguir algunos pasos para contener y erradicar la amenaza inmediata. Esto comienza por retomar el acceso a su cuenta y cambiar su contraseña. Después, debe reportar la cuenta comprometida a las autoridades competentes.
Primeros pasos para recuperar su cuenta:
- Autentique su acceso a su cuenta y cambie su contraseña. Algunos sistemas, como el correo electrónico, le permiten cerrar cualquier sesión adicional, para que usted sea el único usuario autenticado.
- Lea su correo electrónico. Vea en su basura a ver si alguna otra contraseña fue restablecida usando su cuenta de correo electrónico. Asegúrese de iniciar sesión en esas cuentas y también de restablecer esas contraseñas.
- Restablecer contraseñas de cuentas clave. Esto incluye sus cuentas bancarias, sus recursos empresariales (como aplicaciones y bases de datos fundamentales) y sus cuentas de redes sociales.
- Configurar la autenticación de múltiples factores (MFA). Este paso puede evitar otra vulneración. La MFA precisa de un PIN adicional, que evitará que ningún tercero pueda iniciar sesión en su cuenta, incluso si tiene sus credenciales.
- Cambie sus preguntas de seguridad. Use respuestas incorrectas que no coincidan con sus detalles privados actuales, como mascotas, familiares y fechas importantes.
- Cambie sus contraseñas cada 30 días. Las contraseñas antiguas brindan a los atacantes una ventana de oportunidad más grande.
- No use contraseñas en múltiples sistemas. Esto le ayuda a evitar vulneraciones adicionales a las cuentas después de que una aplicación sea comprometida.
- Implemente un gestor de seguridad para acceso a la nube o protecciones contra apropiación de cuentas. Busque una solución que acelere la investigación de respuesta y repare las cuentas, cambios malintencionados en reglas de buzón de correo y manipulaciones de aplicaciones externas, y también exfiltración de datos en entornos de correo electrónico y basados en la nube.
Cómo puede ayudar Proofpoint
Proofpoint puede ayudarle a monitorizar, defender, investigar y corregir las vulneraciones de cuentas y las vulneraciones de datos que suelen producirse después. Ofrecemos un completo gestor de seguridad de aplicaciones en la nube que monitoriza y protege sus aplicaciones basadas en la nube para que no resulten víctimas de una vulneración. Permítanos proteger sus aplicaciones clave, salvaguardar a sus usuarios y brindarle las herramientas para monitorizar y mitigar completamente los ataques comunes que involucran a sus cuentas empresariales. Nuestras soluciones de protección de información aplican soluciones de seguridad y otras tecnologías, así como procesos y políticas, para proteger la información en sus servicios en la nube, correo electrónico, puntos de contacto e intercambio de archivos in situ.