28 de septiembre de 2022

Las credenciales son más vulnerables que nunca

Existen decenas de miles de páginas y foros clandestinos en la Dark Web: se trata de lugares que no están indexados en los buscadores, de tal forma que se encuentran ocultos si no se conoce previamente su dirección. No solo constituyen un foro de debate donde se comparten técnicas o herramientas con los que se pueden realizar ciberataques, sino que también pueden servir de mercado negro de compra-venta de datos obtenidos ilícitamente. Por supuesto, en esos casos todas sus transacciones son realizadas con criptomonedas y otros métodos de difícil rastreo para las autoridades.


Ciberdelincuencia


¿Quién interviene en este mercado?


Cada vez es más frecuente que estas páginas sirvan para que se lleven a cabo campañas de ransomware en las que los ciberdelincuentes gastan unos pocos dólares en unas herramientas o credenciales completas y obtienen un “botín” de rescate de cientos de miles si tiene éxito. Por eso, en estos mercados intervienen dos “actores”:


  • Initial Access Brokers (IABs): son los individuos o grupos que han logrado obtener esos datos que constituyen una “mercancía” muy valiosa: las credenciales de acceso a redes corporativas de empresas.

  • Operadores de ransomware: se trata de los compradores de esas credenciales que después ejecutarán la campaña maliciosa gracias a ellas; o lo que es cada vez más habitual, podrán ofrecer sus servicios como grupo de Ransomware-as-a-Service (RaaS) a hackers que serán los que realicen el ataque.

Se triplica la venta de credenciales sustraídas


Hace unas semanas, un grupo de analistas de ciberseguridad publicó un informe en el que han analizado cientos de estos foros de la Dark Web y se han encontrado con que el número de credenciales de acceso a redes corporativas a la venta ha subido de 362 en su anterior análisis a 1.099: una subida tres veces mayor en tan solo un año.


El informe señala que la demanda de este mercado ha crecido ante la proliferación de tantos ciberataques de ransomware: muchos individuos y grupos se están animando a entrar en el mercado ante el “éxito” de que tantas organizaciones paguen rescates millonarios. Pero también señalan que a causa de la pandemia se produjo el auge del trabajo en remoto sin utilizar medidas de seguridad alguna: muchas de las credenciales a la venta pertenecen a herramientas de VPN y de RDP.


Punto de Acceso (RAP)


El Internet Security Report Q3 2021 de Watchguard, también ha reflejado este auge del ransomware y de ciberataques que se aprovechan de herramientas de trabajo remoto. Es por eso que, ante este escenario de amenazas, es recomendable que las organizaciones cuenten con soluciones de Punto de Acceso Remoto (RAP) que permitan un acceso completamente seguro a las redes corporativas de la organización.


Ya sea desde una delegación, desde un hotel o desde su casa, los empleados se conectan así a un Punto de Acceso Wi-Fi fiable que mediante una red IPSec IKEv2 VPN está vinculada a las oficinas centrales donde se alojan los servidores, que están a su vez protegidos por un dispositivo firewall de última generación.


Además, esto permite a los equipos IT de la organización que puedan gestionar de manera sencilla y centralizada todos los accesos remotos que se produzcan sobre la red corporativa y mantener un estricto control de permisos y credenciales, ya que también les permite implementar soluciones avanzadas de Autenticación Multifactor (MFA) para que comprueben y gestionen adecuadamente las identidades de cada usuario. De esta manera, las redes corporativas estarán mucho más protegidas frente a los intentos de obtener credenciales por parte de los IABs.

Fuente: Watchguard

No hay comentarios:

Publicar un comentario