Hoy en día, todos usamos decenas, quizá centenares de servicios online: proveedores de correo electrónico, cuentas de software, servicios de streaming, suscripciones de prensa y muchos más. Para acceder a ellos casi siempre utilizamos un nombre de usuario y una contraseña. Estas combinaciones de datos de acceso, por desgracia, acaban a menudo filtrándose de un modo u otro para pasar a formar parte de grandes colecciones de credenciales que los cibercriminales ponen a la venta. Para robar dinero a partir de ellas, los hackers emplean, entre otras, las llamadas estrategias de credential stuffing.
No es raro que un cibercriminal consiga colarse en la base de datos de algún gran proveedor de servicios online para robar los datos de acceso de sus usuarios. Los largos listados de credenciales robadas se venden luego en la darknet: el listado más largo del que se sabe actualmente, y también el más famoso, recibe el nombre de Collection #1-5 y contiene más de 2200 millones de pares de nombres de usuario y contraseña — ¡un volumen de datos de unos 900 gigabytes!
¿Y qué se puede conseguir con este tipo de listas? A primera vista, podría parecer que no mucho, porque el proveedor en cuestión pediría a sus usuarios que cambiasen sus contraseñas en cuanto se percatase del robo de datos.
Consejo
En la web del Instituto Hasso Plattner puedes comprobar si tu dirección de correo electrónico ya circula por la darknet.
Si bien el cambio de contraseña sí arrebata a los hackers el acceso a la cuenta en cuestión, el problema no acaba ahí: la mayoría de los usuarios optan por la vía cómoda en su día a día y utilizan la misma combinación de correo electrónico y contraseña para diferentes servicios online. Esta es la baza de los criminales a la hora de usar el credential stuffing, que les permite seguir aprovechando los datos robados para entrar en otras cuentas.
El credential stuffing, o rellenado de credenciales, consiste en tratar de entrar en un sistema usando datos de acceso robados. Para conseguirlo, los hackers se valen de un gran número de credenciales distintas que han logrado filtrar de otros servicios en Internet. El objetivo del ataque es acceder a información confidencial guardada en las cuentas: números de tarjetas de crédito, direcciones postales, documentos, datos de contacto, etc. En otras palabras, se trata de obtener cualquier dato del cual el atacante pueda sacar provecho.
Según las estadísticas, 1 de cada 1000 intentos de iniciar sesión lo consigue. Eso significa que el atacante ha de probar una media de 1000 datos de acceso distintos hasta lograr entrar en la cuenta que desea.
Para que la estrategia de rellenado de credenciales dé sus frutos, el hacker necesita cuatro herramientas:
A través de este tipo de bots, el hacker prueba un par de credenciales tras otro para entrar en el servicio en cuestión, pero lo hace cada vez con una dirección IP diferente. Este cambio de dirección IP sirve para que el servidor de destino no bloquee los intentos de iniciar sesión, que es lo que haría cualquier servidor bien configurado que detectase cierto número de intentos fallidos.
Si, finalmente, logra iniciar sesión, el bot registra toda información potencialmente valiosa, como la que mencionábamos anteriormente, además de las credenciales con las que ha conseguido entrar en la cuenta. Con estas credenciales confirmadas, el atacante podrá llevar a cabo más adelante, por ejemplo, ataques de phishing.
Estos son dos de los métodos de robo de información a los que el credential stuffing gana claramente en eficiencia:
La medida de protección más sencilla y más segura es utilizar contraseñas diferentes para cada una de tus cuentas en Internet, aunque la idea no parezca especialmente cómoda. En realidad, encontrar un sistema para recordar las distintas contraseñas es mucho más fácil que tener que cambiarlas todas si alguna vez, por una brecha en la seguridad, alguna acaba filtrándose.
Estos son algunos de los métodos más eficaces para gestionar contraseñas diferentes:
Si gestionas una página web, una tienda online u ofreces algún servicio en Internet, tienes a tu disposición toda una gama de posibilidades para proteger a tus usuarios frente al credential stuffing:
Fuente: Ionos
¿Quieres formarte dentro del amplio universo de la Seguridad Informática? En EducaciónIT tenemos una gran variedad de cursos en Seguridad Informática, mediante los cuales podrás convertirte en un experto en seguridad en Windows, Linux, desarrollo seguro de aplicaciones web, mobile, y mucho más.