El relleno de credenciales es un tipo de ataque cibernético en el que el atacante recopila credenciales de cuentas robadas , que generalmente consisten en listas de nombres de usuario o direcciones de correo electrónico y las contraseñas correspondientes (a menudo provenientes de una violación de datos ), y luego usa las credenciales para obtener acceso no autorizado a cuentas de usuario en otros sistemas a través de solicitudes de inicio de sesión automatizadas a gran escala dirigidas a una aplicación web . [1] A diferencia del cracking de credenciales, los ataques de relleno de credenciales no intentan usar fuerza bruta ni adivinar contraseñas: el atacante simplemente automatiza los inicios de sesión para una gran cantidad (de miles a millones) de pares de credenciales previamente descubiertos utilizando herramientas de automatización web estándar como Selenium . , cURL , PhantomJS o herramientas diseñadas específicamente para este tipo de ataques, como Sentry MBA, SNIPR, STORM, Blackbullet y Openbullet. [2] [3]
Los ataques de relleno de credenciales son posibles porque muchos usuarios reutilizan la misma combinación de nombre de usuario y contraseña en varios sitios; una encuesta informó que el 81 % de los usuarios ha reutilizado una contraseña en dos o más sitios y el 25 % de los usuarios usa las mismas contraseñas en la mayoría de los sitios. sus cuentas. [4] En 2017, la FTC emitió un aviso sugiriendo acciones específicas que las empresas debían tomar contra el relleno de credenciales, como insistir en contraseñas seguras y protegerse contra ataques. [5] Según el ex zar del fraude de clics de Google , Shuman Ghosemajumder , los ataques de relleno de credenciales tienen una tasa de éxito de inicio de sesión de hasta el 2%, lo que significa que un millón de credenciales robadas pueden apoderarse de más de 20.000 cuentas. [6] La revista Wired describió que la mejor manera de protegerse contra el relleno de credenciales es usar contraseñas únicas en las cuentas, como las generadas automáticamente por un administrador de contraseñas , habilitar la autenticación de dos factores y hacer que las empresas detecten y detengan los ataques de relleno de credenciales. [7]
Una fuga de credenciales, también denominada violación o fuga de datos, surge cuando personas o grupos no autorizados obtienen acceso ilícitamente a credenciales de usuario confidenciales que almacenan las organizaciones. Estas credenciales suelen incluir nombres de usuario, direcciones de correo electrónico y contraseñas. Las repercusiones de la fuga de credenciales pueden ser significativas, ya que comúnmente exponen a los usuarios a una variedad de peligros, incluido el robo de identidad, el fraude financiero y la infiltración no autorizada de cuentas. [8]
Los ataques de relleno de credenciales se consideran una de las principales amenazas para aplicaciones web y móviles como resultado del volumen de fugas de credenciales. Sólo en 2016 se filtraron más de tres mil millones de credenciales a través de filtraciones de datos en línea. [9]
El término fue acuñado por Sumit Agarwal, cofundador de Shape Security, que en ese momento se desempeñaba como subsecretario adjunto de Defensa en el Pentágono . [10]
El 20 de agosto de 2018, el minorista de salud y belleza del Reino Unido, Superdrug , fue objeto de un intento de chantaje, y los piratas informáticos mostraron supuestas pruebas de que habían penetrado en el sitio de la empresa y descargado los registros de 20.000 usuarios. Lo más probable es que la evidencia se haya obtenido a través de hackeos y derrames y luego se haya utilizado como fuente para ataques de relleno de credenciales con el fin de recopilar información para crear pruebas falsas. [11] [12]
En octubre y noviembre de 2016, los atacantes obtuvieron acceso a un repositorio privado de GitHub utilizado por los desarrolladores de Uber (Uber BV y Uber UK), utilizando los nombres de usuario y contraseñas de los empleados que habían sido comprometidos en violaciones anteriores. Los piratas informáticos afirmaron haber secuestrado las cuentas de usuario de 12 empleados utilizando el método de relleno de credenciales, ya que las direcciones de correo electrónico y las contraseñas se habían reutilizado en otras plataformas. La autenticación multifactor , aunque disponible, no se activó para las cuentas afectadas. Los piratas informáticos localizaron credenciales para el almacén de datos AWS de la empresa en los archivos del repositorio, que utilizaron para obtener acceso a los registros de 32 millones de usuarios no estadounidenses y 3,7 millones de conductores no estadounidenses, así como a otros datos contenidos en más de 100 depósitos S3 . Los atacantes alertaron a Uber y exigieron el pago de 100.000 dólares para aceptar eliminar los datos. La empresa pagó a través de un programa de recompensas por errores , pero no reveló el incidente a las partes afectadas durante más de un año. Después de que la infracción salió a la luz, la empresa recibió una multa de £ 385 000 (reducida a £ 308 000) por parte de la Oficina del Comisionado de Información del Reino Unido . [13]
En 2019, la firma de investigación de ciberseguridad Knight Lion Security afirmó en un informe que el relleno de credenciales era el método de ataque favorito de GnosticPlayers . [14]
La verificación de credenciales comprometidas es una técnica que permite a los usuarios recibir notificaciones cuando sitios web, navegadores web o extensiones de contraseña violan sus contraseñas.
En febrero de 2018, el informático británico Junade Ali creó un protocolo de comunicación (utilizando k -anonimato y hash criptográfico ) para verificar de forma anónima si se filtró una contraseña sin revelar completamente la contraseña buscada. [15] [16] Este protocolo se implementó como una API pública y ahora lo consumen múltiples sitios web y servicios, incluidos administradores de contraseñas [17] [18] y extensiones de navegador . [19] [20] Este enfoque fue replicado posteriormente por la función de verificación de contraseña de Google . [21] [22] [23] Ali trabajó con académicos de la Universidad de Cornell para desarrollar nuevas versiones del protocolo conocido como Bucketización de suavizado de frecuencia (FSB) y Bucketización basada en identificadores (IDB). [24] En marzo de 2020, se añadió relleno criptográfico al protocolo. [25]
La herramienta de relleno de credenciales más popular, Sentry MBA, utiliza archivos 'config' para los sitios web de destino que contienen toda la lógica de secuencia de inicio de sesión necesaria para automatizar los intentos de inicio de sesión.
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )