La privacidad de los datos requiere protección contra el credential stuffing

El 27 de junio de 2022, la Asamblea Global de Privacidad (GPA) , una asociación de más de 130 reguladores y encargados de hacer cumplir la ley en materia de protección de datos y privacidad, publicó las primeras directrices intergubernamentales sobre el credential stuffing, afirmando que el credential stuffing representa un riesgo para los datos personales a escala global y que las leyes de protección de datos exigen que las organizaciones se protejan contra él.

F5 se enorgullece de haber participado en la elaboración de las pautas y agradece el reconocimiento del GPA. F5 ha reconocido desde hace mucho tiempo la amenaza del credential stuffing. Fue Sumit Agarwal, de F5, quien acuñó el término "credential stuffing" cuando se desempeñaba como subsecretario de Defensa adjunto en el Pentágono, una idea que condujo a la fundación de Shape Security (ahora parte de F5) en 2011 como el principal proveedor de gestión de bots. Hoy, F5 continúa protegiendo a los bancos, minoristas de comercio electrónico, aerolíneas, proveedores de servicios hoteleros y empresas de redes sociales más grandes del mundo contra el credential stuffing y las amenazas asociadas.

Las nuevas directrices, publicadas por el Grupo de Trabajo sobre Cooperación Internacional en Materia de Aplicación de la Ley (IEWG), un grupo de trabajo permanente del GPA, documentan cómo se lleva a cabo el credential stuffing , explican la economía del atacante que impulsa su prevalencia, destacan por qué es una preocupación mundial y debe incorporarse a la legislación sobre privacidad de datos, y describen varios métodos para mitigar el credential stuffing.

Las directrices del GPA se basan en varias advertencias recientes de agencias gubernamentales. El 5 de enero de 2022, la Oficina del Fiscal General del Estado de Nueva York emitió una Guía Comercial sobre el aumento desenfrenado del credential stuffing y la necesidad de que las empresas tomen medidas preventivas. El 15 de septiembre de 2020, la Comisión de Bolsa y Valores emitió una alerta de riesgo sobre el drástico aumento del credential stuffing contra asesores de inversión, corredores y distribuidores registrados ante la SEC. El 10 de septiembre de 2020, la Oficina Federal de Investigaciones de los Estados Unidos emitió una Notificación a la Industria Privada advirtiendo sobre una serie de ataques de credential stuffing contra instituciones financieras estadounidenses que afectaron a más de 50.000 cuentas y costaron a las empresas un promedio de 6 millones de dólares al año solo en costos de notificación y remediación. Estos incidentes siguen afectando a los directores de privacidad, como lo demuestra el reciente artículo del CPO que documenta un ataque masivo contra General Motors por falta de credenciales.

El credential stuffing es un delito cibernético mediante el cual los delincuentes prueban credenciales robadas en sitios web para apoderarse de cuentas. Los delincuentes realizan estos ataques a gran escala utilizando herramientas automatizadas denominadas bots. Se trata de un delito cibernético extremadamente eficaz con un alto retorno de la inversión porque: 1) las credenciales robadas están fácilmente disponibles, 2) hasta el 60% de las personas reutilizan contraseñas en diferentes cuentas ( según el FBI ) y 3) muchas organizaciones dependen de métodos de mitigación ineficaces como CAPTCHA y listas de denegación de IP.

La cantidad de credenciales robadas es asombrosa. Solo en 2020, se robaron 1.860 millones de credenciales, según el Informe de credential stuffing de 2021 de F5 Labs . Las directrices del GPA señalan que las grandes infracciones, como la de Yahoo en 2013, han expuesto miles de millones de credenciales. Los atacantes pueden explotar estas credenciales robadas durante años antes de que las violaciones se informen públicamente.

Las pautas de GPA también señalan que las víctimas de estas violaciones de la privacidad pueden sufrir daños más allá de la pérdida monetaria, incluido el daño a la reputación causado por la desinformación o la realización de declaraciones falsas sobre un individuo mientras usa su cuenta comprometida. Es fácil imaginar cómo estas violaciones de la privacidad podrían arruinar vidas.

Lo más importante es que las directrices concluyen que las organizaciones deben considerar las protecciones contra el credential stuffing como una de las medidas de seguridad “apropiadas” requeridas por las leyes de privacidad de datos, citando disposiciones específicas del RGPD de la UE y la Regla de Salvaguardias de la Comisión Federal de Comercio de los Estados Unidos.

Las pautas del GPA recomiendan que las organizaciones consideren múltiples métodos de mitigación para protegerse contra el credential stuffing:

• Pago como invitado, lo que elimina el uso de credenciales
• Políticas de contraseñas seguras para minimizar el riesgo de reutilización
• Alternativas a las contraseñas como el inicio de sesión único (SSO)
• Autenticación multifactor (MFA)
• Contraseñas y PIN secundarios
• Huella digital del dispositivo
• Nombres de usuario impredecibles
• Identificación de contraseñas filtradas
• Limitación de velocidad
• Página de inicio de sesión y procesos (inicio de sesión en varios pasos)
• Monitoreo/detección de cuentas
• Comprobaciones adicionales para redes de anonimato (como TOR)
• CAPTCHA
• WAF
• Listas de direcciones IP bloqueadas y permitidas
• Planes de respuesta a incidentes y notificaciones a usuarios

Éstas son ciertamente técnicas válidas que han contribuido a mitigar los ataques de credential stuffing . Al evaluar qué enfoques se adaptarían mejor a su organización, F5, habiendo innovado en este espacio durante muchos años, recomienda que considere técnicas que mitiguen eficazmente los bots en tiempo real sin agregar fricción a la experiencia del usuario y sin requerir un rediseño de la aplicação .

Si bien las contraseñas y PIN secundarios, los nombres de usuario impredecibles y las páginas de inicio de sesión de varios pasos agregan protección, lo hacen a costa de aumentar la fricción del usuario. Las empresas que quieran mejorar las conversiones de clientes y reducir el abandono del carrito de compra querrán evitar poner obstáculos entre el cliente y la compra. El pago como invitado también puede ayudar, pero impide que las organizaciones brinden una experiencia personalizada y específica. La MFA, si bien es efectiva, también agrega fricción a la experiencia del usuario y ha sido un blanco frecuente de los delincuentes.

El CAPTCHA también añade fricción y proporciona una defensa menos efectiva de lo que mucha gente cree. Los servicios de resolución de CAPTCHA, que utilizan aprendizaje automático y granjas de clics, hacen que sea económico para los bots evitar el CAPTCHA. (Lea sobre las aventuras de Dan Woods en Tales of a Human CAPTCHA Solver .)

Las organizaciones que han trabajado con F5 han descubierto que las listas de bloqueo de IP y las reglas WAF estáticas son demasiado difíciles de mantener. Los servicios de proxy permiten que los bots utilicen millones de direcciones IP residenciales válidas. Mientras tanto, los bots se reestructuran en cuestión de horas cuando son bloqueados. Estos enfoques obligan a los equipos de seguridad a entrar en un juego perdedor de golpear topos.

De manera similar, la detección y el monitoreo de cuentas, los planes de respuesta a incidentes y las notificaciones a usuarios son todos importantes y deben ser parte de un programa de gestión de bots, pero estas protecciones se aplican después del hecho. Afortunadamente, hay técnicas disponibles para evitar que los delincuentes se apropien de las cuentas en primer lugar.

F5 trabaja con organizaciones que están decididas a protegerse a sí mismas y a sus clientes de los abusos fraudulentos resultantes del credential stuffing, al tiempo que proporciona excelentes experiencias digitales que deleitan a los clientes y triunfan en el competitivo mercado actual. F5 se ha ganado la fidelización de clientes al proteger contra bots con la mayor eficacia disponible sin imponer fricción al usuario. La tecnología se basa en años de investigación y desarrollo en JavaScript y señales nativas móviles que cubren los entornos de los dispositivos y las características de comportamiento de los bots. Además de la detección en tiempo real basada en estas señales, F5 Distributed Cloud Bot Defense incluye un servicio de análisis de aprendizaje automático que detecta y responde rápidamente a la reestructuración de los bots. Para garantizar la eficacia a largo plazo, el código de recolección de señales pasa por una técnica de ofuscación avanzada, que evita la ingeniería inversa y la manipulación de la señal.

F5 cree en hacer que la ciberseguridad sea personal, y los ataques de credential stuffing (que defraudan a las organizaciones y devastan a las personas) representan exactamente el tipo de problema que nos dedicamos a resolver. Como señala Dan Woods, director global de inteligencia de F5, en Fast Company , hasta ahora estos ataques han recibido muy poca atención. Afortunadamente, la GPA y varias agencias de privacidad están poniendo de relieve los riesgos a la privacidad individual.

En esta era digital, en la que gran parte de nuestra vida se almacena como datos en línea, dependemos de que las organizaciones aborden la privacidad de los datos con la mayor seriedad, un punto que queda claro a partir de las leyes de privacidad cada vez más estrictas promulgadas por los gobiernos de todo el mundo. La legislación sobre privacidad de datos, como el RGPD, exige que las organizaciones tomen todas las medidas adecuadas para defender la privacidad. Debido a lo que ahora sabemos sobre el credential stuffing, estas pautas de GPA dejan en claro que la protección credential stuffing debe ser parte de las medidas apropiadas de cualquier organización.

Para obtener más información sobre el ROI de la protección contra bots, consulte el Informe de impacto económico total de Forrester . Obtenga más información y programe una conversación con un experto en bots de F5 en f5.com/bot-defense .