Al final, todo se trata de una cuestión económica, ecuación en la que el tiempo claramente también es dinero. ¿Por qué los actores de amenazas se dedicarían a crear exploits para ingresar a un sistema por una puerta trasera si pueden hacerlo más fácilmente por la entrada principal? Así resumen desde Proofpoint los cálculos que motivan a muchos ciberdelincuentes a robar identidades digitales.
Los delitos más populares de este tipo son los que afectan a usuarios particulares e involucran la identidad financiera, como el robo de datos de la tarjeta de crédito o el acceso a la cuenta bancaria, y la vulneración de la identidad fiscal, utilizada para presentar declaraciones de impuestos falsas y reclamar reembolsos, desviando el dinero a sus propias cuentas, por ejemplo.
Pero estas técnicas llegan mucho más lejos. Una encuesta realizada por Identity Defined Security Alliance encontró que el 84% de las organizaciones consultadas sufrió un ataque que vulneró su identidad entre 2022 y 2023, mientras que el 96% considera que podría haber evitado ese perjuicio aumentando los controles y protegiendo sus accesos y gestión de identidades.
Las amenazas orientadas a la identidad –ya sea a empresas o a sus usuarios– tienen como finalidad el robo de datos confidenciales y su posible pérdida, el daño o interrupción de sistemas, la introducción de ransomware, el desvío de fondos, la afectación a la reputación de la empresa u organización, la pérdida de la propiedad intelectual y muchas más.
¿Cuáles son las técnicas de amenazas a la identidad más utilizadas?
Proofpoint ha analizado las últimas tendencias en los ataques de identidad, y recopiló las estrategias más frecuentes.
Los ataques de derivación de autenticación multifactor. La MFA proporciona varias opciones, incluida la biometría, un token de seguridad (PIN) o una señal de ubicación, y reduce el riesgo de acceso no autorizado. Sin embargo, los actores de amenazas han encontrado formas de eludir los métodos, como los ataques de fatiga MFA, diseñados para agotar la paciencia del usuario para que acepte una solicitud de MFA por frustración o molestia tras la repetición de notificaciones, y así permitir que un atacante acceda a su cuenta o dispositivo. Estas solicitudes suelen enviarse de forma automática hasta abrumar a la víctima, que aprueba el intento de inicio de sesión solo para detener los avisos.
Malware activado por personas. A través del phishing y otras estrategias de ingeniería social, los empleados habilitan la instalación de malware que puede llegar en forma de archivos .zip, códigos QR, enlaces .html, archivo de MS Office y más. Actualmente existen al menos 60 técnicas conocidas para plantar contenido malicioso activado por personas en redes corporativas, entre las que se encuentran la descarga de un instalador de un software legítimo pero que también contiene malware, la visita a un sitio web que contiene instaladores maliciosos mientras se utiliza navegador vulnerable, la descarga de un instalador desde un proveedor no oficial que instala malware en lugar de la aplicación legítima, hacer clic en el anuncio de una página web que convence al usuario de descargar malware, etc.
Ataques a Directorio Activo (AD). Actualmente, la mayoría de las empresas utilizan AD como método principal para servicios de directorio como autenticación, al verificar si alguien tiene las credenciales de acceso correctas, y autorización de usuarios, determinando a qué archivos o aplicaciones puede acceder según su función o membresía en el grupo. Los ciberdelincuentes están deseosos de atacar la AD, que afecta a casi todos los lugares, personas y dispositivos de una red. Este enfoque también funciona muy bien para los ciberatacantes: más de la mitad de las filtraciones relacionadas con la identidad se remontan a AD.
Recolección de credenciales en caché. Las credenciales almacenadas en caché suelen guardarse en los puntos finales, en la memoria, en el registro, en un navegador o en el disco. Los atacantes utilizan diversas herramientas y técnicas para recopilar estas credenciales y obtener acceso a identidades más privilegiadas. Una vez que hayan recopilado estas credenciales, pueden usarlas para moverse lateralmente e iniciar sesión en diferentes aplicaciones. Una investigación reciente reveló que el malware que roba credenciales almacenadas en caché es uno de los principales vectores de ataque en las empresas.
Prevención y formación
La ingeniería social es una técnica en se basa en aprovechar las emociones humanas como el miedo y la urgencia para inducir a la víctima a que realice una acción que normalmente no haría, por ejemplo, enviar dinero al atacante, divulgar datos confidenciales de un cliente o revelar credenciales. Es fundamental comprender que la ingeniería social suele ser la clave del compromiso de identidad.
De esta manera, se vuelve aún más vital para una organización proporcionar un programa de concientización sobre seguridad para sus usuarios. La capacitación en seguridad puede enseñar a los trabajadores cómo identificar y responder a estos ataques. Además, puede ayudar a reforzar por qué es esencial que guarden cuidadosamente sus credenciales.
Los expertos de Proofpoint también recomiendan auditar las brechas de cobertura de la gestión de acceso privilegiado (PAM), realizando un inventario de todos los usuarios privilegiados (cuentas humanas y de servicio) en su entorno. Solucionar las configuraciones erróneas de identidad de AD, lo que puede impedir el progreso de un atacante que intenta utilizar una identidad vulnerable para ingresar a un dominio y obtener acceso a otros. Y adoptar un enfoque proactivo para corregir las credenciales expuestas en los puntos finales, lo que hará más difícil para los actores de amenazas obtener credenciales que puedan usarse para moverse lateralmente o escalar privilegios.