¿Qué es el relleno de contraseñas y qué puede hacer para protegerse contra él?

Credential Password Stuffing

Un usuario tiene una de sus cuentas en línea secuestradas, y lo primero que se pregunta es: "¿Cómo consiguieron los piratas informáticos sus manos sucias en mi contraseña?". Están enojados y quieren respuestas. Cuando las respuestas se retrasan, se frustran aún más.

Es una reacción natural, pero detengámonos un momento y pensemos cómo es al otro lado de la valla. Ponte en la piel de un proveedor de servicios.

Has leído innumerables publicaciones de blog, artículos y trabajos de investigación. Has visto a especialistas en seguridad explicar lo que debes y no debes hacer, y a diferencia de muchos otros servicios en línea, no crees que una declaración que incluya las palabras "seguridad" y "en serio" es una herramienta para calmar a las hordas de ira usuarios. Su conexión es segura, su sistema de autenticación elimina y comprime las contraseñas de los usuarios y las almacena de forma segura. Sus servidores y todas las aplicaciones de software que utiliza se supervisan constantemente y se revisan periódicamente. Y, sin embargo, de alguna manera, cientos de sus usuarios han comprometido sus cuentas, y no tiene idea de cómo sucedió eso. Es muy probable que sus usuarios hayan sido víctimas de un ataque de relleno de credenciales (o contraseñas).

Sufrir las consecuencias de las deficiencias de seguridad de otra persona.

El relleno de credenciales es el nombre de un ataque en varias etapas que se está volviendo cada vez más popular. Es posible por el hecho de que demasiados sitios web y servicios en línea no hacen lo suficiente para proteger los datos confidenciales de los usuarios. Las credenciales de inicio de sesión se almacenan en texto plano, por ejemplo, y las bases de datos en las que se encuentran están expuestas a la World Wide Web sin ningún tipo de protección.

Para los ciberdelincuentes aún menos sofisticados, piratear estos sitios web es un juego de niños, e intentan obtener tantas credenciales de inicio de sesión como sea posible. Los nombres de usuario y contraseñas filtrados también se intercambian regularmente en foros de piratería, lo cual es una buena noticia para los ciberdelincuentes porque en la mayoría de los casos, utilizan bases de datos pirateadas de múltiples sitios web para organizar un solo ataque de relleno de credenciales.

Tratar de secuestrar cuentas escribiendo todos los nombres de usuario y contraseñas de una sola IP llevará años y probablemente disparará los mecanismos de bloqueo en muchos sitios web. Es por eso que los ciberdelincuentes usan botnets (grupos de computadoras y dispositivos comprometidos conectados a Internet) y secuencias de comandos que determinan si las credenciales robadas funcionan. Sin embargo, no los prueban en los sitios web de los que fueron robados.

Los prueban en sitios web y servicios en línea donde comprometer una cuenta podría ser mucho más lucrativo. Y debido a que una gran cantidad de personas usan la misma contraseña en varios sitios web, los intentos de los piratas informáticos suelen ser exitosos.

¿Es justo culparlo todo al usuario?

La mayoría de los usuarios saben que no deberían hacerlo. Muchos de ellos saben que soluciones como Cyclonis Password Manager los ayudarán a evitarlo. Sin embargo, continúan usando contraseñas idénticas para muchas cuentas. Se podría decir que son los culpables de la existencia y, más específicamente, de la popularidad de los ataques de relleno de credenciales.

Sin embargo, la verdad es que todos tienen que soportar su propio peso. El hecho de que un foro en línea no almacene información de pago no significa que su propietario deba descuidar la seguridad. De la misma manera, un usuario no debería sentirse cómodo sabiendo que la misma cadena de letras y números protege tanto su cuenta bancaria en línea como un perfil olvidado en una red social que ya nadie usa. Todos deben ser conscientes del problema y deben hacer lo que puedan para solucionarlo.

Sin embargo, seamos realistas, ¿qué tan probable es que esto suceda?

Bueno, considere esto: es más fácil que nunca crear un sitio web. En un intento por hacer que la gente se registre, los departamentos de marketing de todo el mundo dicen que incluso su abuela puede hacerlo. Es poco probable que esto cambie en el corto plazo.

Nos damos cuenta de que hay excepciones, pero por lo general, las abuelas no están mejor calificadas para diseñar un sistema centrado en la seguridad y privacidad del usuario. Desafortunadamente, es poco probable que esto cambie pronto también. Inevitablemente, un día, terminarás registrándote en un sitio web diseñado por la abuela de alguien, y si reutilizas tu contraseña, pronto estarás en un mundo de problemas.

Entonces, nos guste o no, como usuario, la pelota está en su cancha.

November 5, 2019

Deja una respuesta