La protección de las identidades digitales se ha convertido en un campo de batalla para los equipos de ciberseguridad, que ven cómo una quinta parte de las solicitudes de autenticación provienen de sistemas automatizados maliciosos, según señala una nueva investigación de F5 Labs.
El informe 2023 Identity Threat Report: The Unpatchables, que se publica aprovechando la presencia de F5 en el ISMS Forum que se celebra esta semana en Madrid, analiza 320.000 millones de transacciones de datos que se produjeron en los sistemas de 159 organizaciones entre marzo de 2022 y abril de 2023.
En los casos en los que no se implementaban medidas de mitigación, la tasa media de automatización (un fuerte indicador de la existencia de credential stuffing) fue del 19,4%. Este porcentaje se redujo en más de dos tercios, hasta el 6%, cuando el tráfico malicioso se mitigó de forma proactiva.
Los ataques de credential stuffing implican que los ciberdelincuentes aprovechan los nombres de usuario y contraseñas robados en un sistema para violar otros. Las herramientas automatizadas son fundamentales para esto, ya que permiten a los atacantes maximizar la cantidad de intentos que realizan.
«Las identidades digitales son desde hace tiempo una prioridad para los atacantes, y la amenaza crece a medida que aumenta la prevalencia de identidades no humanas«, dice Javier Múgica, major account manager en F5. “Nuestra investigación muestra hasta qué punto las identidades digitales están siendo atacadas y la importancia de una mitigación eficaz. De forma significativa, encontramos un patrón consistente en el que el uso de automatización maliciosa disminuye inmediatamente cuando existe algún tipo de protección, haciendo que los atacantes pasen a buscar objetivos más fáciles”.
Las medidas de mitigación influyen en la sofisticación de los ataques
Este informe explora también el impacto de las medidas de mitigación en los ataques de credential stuffing, que deberían cambiar el comportamiento de los atacantes y provocar una disminución en el uso de automatización maliciosa.
En este sentido, F5 Labs descubrió que cuando no hay medidas de mitigación los ataques se dirigen con más frecuencia a endpoints móviles. Por el contrario, cuando se introducen estas medidas se observa un crecimiento de los ataques a través de endpoints web y una disminución a móviles.
Por otra parte, el 64,5% del tráfico malicioso que se dirige a endpoints desprotegidos responde a un formato de ataque «básico», lo que significa que no hay intentos de emular el comportamiento humano o de contrarrestar la protección contra bots. Sin embargo, cuando se implementan medidas de mitigación, este porcentaje cae de forma significativa, situándose en el 44%.
Los ataques «intermedios» (que hacen algunos esfuerzos para alterar las soluciones anti-bots) se vuelven mucho más frecuentes cuando detectan medidas de mitigación, aumentando del 12% al 27%. Finalmente, los ataques avanzados, que utilizan herramientas que pueden emular fielmente la navegación de un usuario humano (incluyendo el movimiento del ratón, las pulsaciones de las teclas y las dimensiones de la pantalla), aumentan del 20% al 23%.
«Nuestro análisis muestra que una gran parte de los atacantes sigue adelante a pesar de que se implementen medidas de protección«, afirma Múgica. “Los ciberdelincuentes que continúan con sus actividades a pesar de las soluciones de mitigación implementadas son claramente más decididos y sofisticados, y aprovechan herramientas que les permiten replicar el comportamiento humano y ocultar sus acciones”.
“Por ejemplo, observamos un ataque que emuló 513.000 interacciones de usuarios únicos en 516.000 solicitudes, reciclando características identificables en menos del 1% de los casos. En los ataques más sofisticados, a veces se requiere observación manual para identificar comportamientos maliciosos y crear una nueva firma”.
Aumentan los desafíos
En su informe, F5 Labs también examina la cadena de suministro de las credenciales comprometidas, encontrando que los defensores tienen mucha menos visibilidad de lo que piensan. Así, no sabían que hasta el 75% de las credenciales utilizadas durante los ataques estaban comprometidas.
Además, los defensores se ven obligados a dar respuesta a amenazas de identidad diseñadas para superar las soluciones de mitigación. Por ejemplo, las organizaciones pueden intentar monitorizar los ataques de relleno de credenciales buscando una tasa de éxito anormalmente baja en las solicitudes de autenticación. El estudio de F5 Labs muestra que los atacantes se adaptan a esta técnica utilizando cuentas «canary», lo que les permite aumentar artificialmente la tasa de éxito general. Por ejemplo, se detectó que una campaña de relleno de credenciales inició sesión en la misma cuenta canary 37 millones de veces en la misma semana para este propósito.
El informe de F5 Labs analiza también la evolución de los ataques de phishing, dejando constancia que los ciberdelincuentes están intensificando sus esfuerzos para combatir las contramedidas. Más concretamente, a medida que crece el uso de la autenticación multifactor, crece también el phishing de proxy inverso, modalidad en la que los atacantes crean páginas de inicio de sesión falsas que alientan a los usuarios a introducir sus credenciales.
Asimismo, los ciberdelincuentes utilizan cada vez más capacidades de detección-evasión como AntiRed, una herramienta Javascript diseñada para superar el análisis de phishing basado en navegador, como Google Safe Browsing (que envía al usuario un mensaje de alerta cuando encuentra un site potencialmente inseguro).
Nuevas amenazas en el horizonte
En un escenario en continua evolución, F5 Labs también observa cómo está surgiendo una nueva generación de amenazas.
Por ejemplo, en agosto de 2022 se detectó un anuncio en la Dark Web que promocionaba un sistema de phishing por voz que utiliza inteligencia artificial para automatizar llamadas de phishing. La creciente sofisticación y la disminución de los costes de la IA hacen que estas prácticas sean cada vez más comunes y eficaces.
“De cara al futuro, los proveedores de identidades deberían emplear una solución anti-bots para mitigar la automatización maliciosa, como el credential stuffing. Incluso las soluciones anti-bot simples pueden mitigar la mayor parte del credential stuffing poco sofisticado”, añade Javier Múgica.
“Las organizaciones pueden fortalecer aún más sus defensas mediante el uso de soluciones MFA basadas en criptografía, como las basadas en los protocolos WebAUthn o FIDO2. En última instancia, no existe una solución milagrosa para combatir los ataques de identidades. Los defensores deben monitorizar y detectar ataques, cuantificar la tasa de error de su detección y adaptarse en consecuencia. Cuanto más estudiemos estos ataques y su naturaleza en constante cambio, mejor podremos gestionar el riesgo de vulnerabilidades inherentes a cualquier sistema en el que los usuarios deban demostrar su identidad a la hora de acceder”.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
