Credential stuffing: El robo de credenciales nunca será erradicado
La gran aceleración de la era digital va de la mano con el incremento de delitos informáticos, y mientras se espera una próxima oleada de ataques de fuerza bruta impulsados por bots, un reciente informe de F5 advierte que el robo de credenciales nunca será erradicado.
El reporte de F5 sobre Credential Stuffing, destaca que el 10 % de las personas aplica al menos una de las 25 contraseñas más utilizadas, como la propia palabra «contraseña» o «123456». A la vez que el 25% de los usuarios reutilizan y reciclan sus credenciales en todas sus cuentas.
Ver más: Roberto Ricossa: “Hoy la seguridad no es opcional”
El VP de F5 Latam, Roberto Ricossa, asegura que: “todos hemos comprado en algún establecimiento que ha sido hackeado. Es por esto que nuestra información, la de todos, ya está en mano de los delincuentes, pero sucede que aún no saben dónde aplicarla. Tienen cientos de millones de credenciales y de passwords pero -todavía- no saben cómo juntarlos“.
La falta costumbre a la hora de diseñar contraseñas robustas y complejas para preservar los datos sensibles como cuentas de bancos, información confidencial o de índole privada, potencia el éxito de los hackers. En un ataque de credential stuffing, o relleno de credenciales, los piratas informáticos utilizan credenciales robadas para intentar repetidos accesos a las cuentas de una persona, empresa u organismo.
El camino del delito
En un ataque de credential stuffing, los hackers compran en la dark web los nombres de usuario y contraseñas previamente robados. Luego, utilizan bots que intentan repetidamente rellenar, con los datos adquiridos, los campos de inicio de sesión de otros sitios web y acceder a cuentas de personas, empresas o clientes. Cuando el intento de «relleno» tiene éxito, el hacker tiene vía libre para utilizar la cuenta con fines fraudulentos. En números concretos, este camino tiene un índice de éxito que ronda el 1-2%. Así un hacker puede adquirir un millón de credenciales robadas y piratear libremente entre 10.000 y 20.000 cuentas.
Ver más: F5: Argentina y Brasil los elegidos por los hackers
La vacuna contra los ataques
El reporte también anticipa que está en nuestra naturaleza, en tanto seres humanos, la capacidad de equivocación, por lo que el robo de credenciales nunca será erradicado. Y, si bien no existe una solución mágica contra el Credential Stuffing, es posible adoptar diversas medidas para contribuir a reducir considerablemente la probabilidad de sufrir uno. Un ejercicio que se sostiene sobre 3 ejes:
– FORMAR: educar a las personas y empleados de las distintas organizaciones para que puedan distinguir mensajes maligno, y generar claves y usuarios de gran complejidad.
– DENUNCIAR: ante organismos públicos a nivel general, y ante el departamento IT en el caso de las empresas. La rapidez y la evidencia, permite alertar al resto de las personas y ampliar los controles de seguridad para que el delito no se propague.
– MEJORAR: los controles y el refuerzo de la seguridad de las distintas aplicaciones benefician su uso y promueven la confianza de las distintas aplicaciones.
