Únase a Dan Woods (vicepresidente del Centro de inteligencia de seguridad Shape en F5) y Sander Vinberg (evangelista de amenazas de F5 Labs), mientras profundizan en el nuevo Informe de credential stuffing de F5 Labs con John Wagnon y Jason Rahm de DevCentral.
Para obtener más información, consulte el Informe completo de credential stuffing de 2021 y mire una versión ampliada del debate sobre DevCentral Connects aquí . También encontrará a continuación un resumen de las principales conclusiones del informe.
La cantidad de incidentes anuales de fuga de credenciales casi se duplicó entre 2016 y 2020, según el último Informe de credential stuffing de F5 Labs .
La iniciativa de investigación más completa de su tipo informó una disminución del 46% en el volumen de credenciales filtradas durante el mismo período. El tamaño promedio de los derrames también disminuyó, pasando de 63 millones de registros en 2016 a 17 millones el año pasado. Mientras tanto, el tamaño medio de los derrames en 2020 (2 millones de registros) representó un aumento del 234 % con respecto a 2019 y fue el más alto desde 2016 (2,75 millones).
El credential stuffing, que implica la explotación de grandes volúmenes de nombres de usuario y/o pares de correo electrónico y contraseña comprometidos, es un problema global creciente. Como ejemplo ilustrativo, una notificación de la industria privada emitida por el FBI el año pasado advirtió que la amenaza representó el mayor volumen de incidentes de seguridad contra el sector financiero de EE. UU. entre 2017 y 2020 (41%).
“Los atacantes han estado recopilando miles de millones de credenciales durante años”, dijo Sara Boddy, directora sénior de F5 Communityities (F5 Labs y DevCentral). “Los derrames de credenciales son como un derrame de petróleo: una vez que se filtran, son muy difíciles de limpiar porque las credenciales no pueden ser cambiadas por consumidores inocentes y las soluciones de credential stuffing aún no han sido ampliamente adoptadas por las empresas. No es sorprendente que durante este período de investigación, hayamos visto un cambio en el tipo de ataque número uno, de ataques HTTP a credential stuffing. Este tipo de ataque tiene un impacto a largo plazo en la seguridad de las aplicações y no va a cambiar pronto. Si le preocupa que lo hackeen, lo más probable es que se trate de un ataque de credential stuffing .
Basándose en los hallazgos, Sander Vinberg, Evangelista de Investigación de Amenazas en F5 Labs y coautor del informe, instó a las organizaciones a permanecer alertas.
“Si bien es interesante que el volumen y el tamaño general de las credenciales filtradas disminuyeran en 2020, definitivamente no deberíamos celebrar todavía”, advirtió. “Los ataques de acceso, incluidos el credential stuffing y el phishing, son ahora la principal causa de las infracciones. Es muy poco probable que los equipos de seguridad estén ganando la guerra contra la exfiltración de datos y el fraude, por lo que parece que estamos viendo cómo un mercado previamente caótico se estabiliza a medida que alcanza una mayor madurez”.
A pesar del creciente consenso sobre las mejores prácticas de la industria, una de las conclusiones clave del informe es que el almacenamiento deficiente de contraseñas sigue siendo un problema perenne.
Aunque la mayoría de las organizaciones no revelan los algoritmos de hash de contraseñas, F5 pudo estudiar 90 incidentes específicos para obtener una idea de los culpables más probables de la fuga de credenciales.
En los últimos tres años, el 42,6% de las filtraciones de credenciales no tenían protección y las contraseñas estaban almacenadas en texto sin formato. A esto le siguió un 20% de credenciales relacionadas con el algoritmo de hash de contraseña SHA-1 que eran "sin sal" (es decir, que carecían de un valor único que se pudiera agregar al final de la contraseña para crear un valor hash diferente). El algoritmo bcrypt “salado” quedó en tercer lugar con un 16,7%. Sorprendentemente, el algoritmo hash ampliamente desacreditado, MD5, representó una pequeña proporción de credenciales filtradas, incluso cuando los hashes estaban salados (0,4%). Durante décadas, el método MD5 se ha considerado débil y una práctica deficiente, con sal o sin ella.
Otra observación notable en el informe es que los atacantes utilizan cada vez más técnicas de "fuzzing" para optimizar el éxito de la explotación de credenciales. El fuzzing es el proceso de encontrar vulnerabilidades de seguridad en el código de análisis de entrada probando repetidamente el analizador con entradas modificadas. F5 descubrió que la mayoría de los ataques de fuzzing ocurrieron antes de la publicación pública de las credenciales comprometidas, lo que sugiere que la práctica es más común entre atacantes sofisticados.
En el Informe credential stuffing de 2018 , F5 informó que tomó un promedio de 15 meses para que una filtración de credenciales se hiciera de conocimiento público. Esto ha mejorado en los últimos tres años. El tiempo medio para detectar incidentes, cuando se conoce tanto la fecha del incidente como la fecha de descubrimiento, es ahora de unos once meses. Sin embargo, esta cifra está sesgada por un puñado de incidentes en los que el tiempo de detección fue de tres años o más. El tiempo medio para detectar incidentes es de 120 días. Es importante tener en cuenta que los derrames de información suelen detectarse en la Dark Web antes de que las organizaciones revelen una violación.
El anuncio de un derrame generalmente coincide con la aparición de credenciales en los foros de la Dark Web. Para el Informe sobre robo de credenciales de 2020, F5 analizó específicamente el período crucial entre el robo de credenciales y su publicación en la Dark Web.
Los investigadores realizaron un análisis histórico utilizando una muestra de casi 9 mil millones de credenciales de miles de violaciones de datos independientes, denominadas "Colección X". Las credenciales se publicaron en los foros de la Dark Web a principios de enero de 2019.
F5 comparó las credenciales de Collection X con los nombres de usuario utilizados en ataques de credential stuffing contra un grupo de clientes seis meses antes y después de la fecha del anuncio (la primera vez que una filtración de credenciales se hace pública). Se estudiaron cuatro clientes de Fortune 500 (dos bancos, un minorista y una empresa de alimentos y bebidas), que representan 72 mil millones de transacciones de inicio de sesión en 21 meses. Utilizando la tecnología Shape Security, los investigadores pudieron "rastrear" las credenciales robadas a través de su robo, venta y uso.
A lo largo de 12 meses, se utilizaron 2.900 millones de credenciales diferentes en transacciones legítimas y ataques a los cuatro sitios web. Casi un tercio (900 millones) de las credenciales fueron comprometidas. Las credenciales robadas aparecieron con mayor frecuencia en transacciones humanas legítimas en los bancos (35% y 25% de los casos, respectivamente). El 10% de los ataques tuvieron como objetivo el comercio minorista, y alrededor del 5% se centró en el negocio de alimentos y bebidas.
Basado en el estudio, el informe Credential Stuffing identificó cinco fases distintas de abuso de credenciales:
“El credential stuffing seguirá siendo una amenaza mientras exijamos a los usuarios iniciar sesión en sus cuentas en línea”, añadió Boddy. “Los atacantes seguirán modificando sus ataques a técnicas de protección contra el fraude , lo que genera una gran necesidad y oportunidad de contar con controles adaptativos basados en IA relacionados con el credential stuffing y el fraude. Es imposible detectar instantáneamente el 100% de los ataques. Lo que es posible es que los ataques sean tan costosos que los estafadores se den por vencidos. Si hay algo que es cierto en el mundo de los ciberdelincuentes y los empresarios, es que el tiempo es dinero.
Para obtener perspectivas adicionales sobre inteligencia de amenazas y ciberseguridad, visite https://www.f5.com/labs .