Millones de credenciales son filtradas y vendidas cada año a raíz de diferentes ataques a bases de datos, esto ha generado un gran mercado negro y a su vez la sofisticación en los ataques a partir de esos datos. Hoy en día, cada una de estas credenciales son comprobadas de manera automatizada contra cientos de servicios en cuestión de segundos. Hablamos del relleno de contraseñas o credential stuffing.

ataques informaticos X credential stuffing relleno de contraseñas

 

Por estas fechas suelen aparecer los típicos artículos de las peores contraseñas del año, etc.. pero aún peor que eso es la práctica de reutilizar contraseñas en diferentes servicios. Esto obviamente se hace por comodidad y potencialmente por ignorancia. Imaginemos un usuario que utiliza la misma contraseña en una web de citas, para un juego online y para docenas de otros servicios. Si alguno de estos servicios ve su seguridad comprometida y su base de datos de usuarios y contraseñas filtradas, es más que probable que en pocas horas o días, todas esas cuentas se vean comprometidas o atacadas de una manera u otra.

Esto es a grandes rasgos el ataque de credential stuffing, en el que partiendo de un listado de credenciales y a través de sistemas automatizados, los atacantes testean las mismas contra cualquier servicio o web inyectandolas en los procesos de autenticación. Una suerte de ataque de fuerza bruta.

Por lo general, el uso de las mismas contraseñas una y otra vez es, lamentablemente, norma general debido a la despreocupación de los usuarios o la escasa noción de peligro respecto a que alguien las consiga. Por otro lado el uso de gestores de contraseñas, no siempre la solución ideal para todos los usuarios, dista de ser algo común.

Debido a esto, el ataque de relleno de contraseñas es tremendamente efectivo en porcentajes, sencillo de automatizar, difícil de defender porque no es más que un intento de login y por todo lo anterior muy lucrativo para los revendedores ya que los ciberdelincuentes finales, si no las mismas organizaciones pueden sacar grandes beneficios económicos.

Supongamos como ejemplo una base de datos robada cualquiera de cientos de miles de combinaciones de correo y contraseña, un significante porcentaje de estos a través de credential stuffing serán sin duda válidos para servicios de pago de video streaming, audio streaming, juego en línea que permitirán a los atacantes revenderlos, además de la posible obtención de datos que permitan posteriores ataques más sofisticados de spear phishing o ransomware..y todo por reutilizar contraseñas..

Este proceso está llevando también a un cambio en cómo se venden estos paquetes de credenciales robadas en la dark web. Hasta ahora lo normal era ofrecer paquetes de credenciales en bruto, es decir sin comprobar, pero gracias al credential stuffing ha surgido una nueva categoría “vip” en la que las credenciales son automáticamente testeadas previamente a la venta de las mismas.

Mitigación del ataque

Para evitar sufrir este ataque, volvemos al punto básico, nunca hay que reutilizar una misma contraseña para diferentes registros. Aquí entra el potencial uso de gestores de contraseñas, de la buena memoria o de simplemente usar contraseñas aleatorias y recuperarlas en caso de necesitar entrar de nuevo al servicio.

Siempre que sea posible y la plataforma lo permita hay que activar el multiple factor de autenticación, que por lo menos evitará que entren a nuestra cuenta en ese determinado servicio.

Monitorización del tráfico para intentar identificar patrones anormales o orígenes de peticiones sospechosas.

Desconfianza de cualquier email, sms, etc.. recibido especialmente a la hora de acceder a links y introducir credenciales ya que la segunda fuente más importante de datos para el ataque de relleno de contraseñas tras las propias bases de datos robadas serían las obtenidas a través de ataques de phishing.