La gestión de las credenciales y las contraseñas ante la amenaza de los Traffers

A veces, con más frecuencia de la que se debería, a la vista de algunas estadísticas que en un momento comentaremos, se tiende a pensar que la ciberseguridad es una “cuestión de hackers”; profesionales especializados que en ocasiones están dispuestos a ganar acceso a sistemas, redes y equipos a través de sofisticadas técnicas de software basadas en complejos scripts ejecutados en la línea de comandos de un terminal Linux.

Esta visión, con todo lo que puede tener de real en ciertos escenarios, no es todo lo completa que debería ser. De hecho, deja en un segundo plano un apartado que, en la práctica, causa muchos de los problemas a los que tienen que enfrentarse los CISOs y los profesionales de los equipos IT que se encargan de velar por la seguridad de los sistemas, equipos, aplicaciones o redes de las empresas y organizaciones: la vulnerabilidad de las contraseñas de acceso a los recursos corporativos.

Las credenciales como negocio

El informe The Rising Threat of Traffers de Outpost24, elaborado por el equipo de Kraken Labs de esta compañía especializada en la gestión integral de la ciberseguridad, alerta sobre la irrupción de la figura de los Traffers, como agentes especializados en el robo de credenciales a través de diferentes técnicas, entre las que destaca el uso de malware incorporado en aplicaciones legales crackeadas, modificadas y distribuidas a través de anuncios fraudulentos, phishing y otras técnicas.

Las credenciales robadas, así como cualquier otro tipo de información sensible que pueda suponer una puerta abierta para los ciberdelincuentes, se subastan o ponen a la venta en diferentes foros y grupos de la dark web, canales de Telegram u otros repositorios específicos para cibercriminales.

La clave está en la magnitud del negocio que se ha creado alrededor de la creación de puntos de acceso a información sensible en las empresas, a través de tráfico orquestado por los mencionados traffers hacia esos puntos de acceso. El resultado es el aumento de riesgo de que se pongan al descubierto métodos de acceso a los recursos empresariales, a su propiedad intelectual o a contraseñas válidas para acceder a equipos, servidores o aplicaciones.

Como nos comenta David García, Account Executive en Outpost24 “Cuando hablamos de credenciales no hablamos necesariamente de contraseñas, pero cuando hablamos de contraseñas sí que hablamos de uno de los principales mecanismos de acceso a recursos que pueden ser críticos, sobre todo si están vinculadas a roles directivos o con permisos especiales dentro de la organización, así como aquellas que afecten a departamentos que manejen información sensible. Por eso, desde Outpost24, uno de los primeros recursos que ofrecemos es nuestro auditor gratuito de contraseñas para el Directorio Activo (Free Active Directory Password Audit Tool – Specops Password Auditor (specopssoft.com), de forma que las empresas puedan comprobar por sí mismas que es muy posible que existan contraseñas comprometidas o encontradas en filtraciones recientes que afectan a sus empleados, entre otros riesgos relacionados como contar con contraseñas duplicadas o políticas de contraseñas vulnerables.

Las credenciales, se han convertido en un negocio muy suculento, hasta el punto de haberse consolidado la figura de los Traffers, que son individuos o grupos de individuos que se ganan la vida robando credenciales y vendiéndolas en los círculos mencionados anteriormente. Ya no se trata de episodios más o menos aislados, sino que hay profesionales dedicados en exclusiva a usurpar identidades.

Esto hace que la superficie de ataque de las empresas y organizaciones aumente de un modo significativo ante la amenaza permanente de ser el objeto de las técnicas y estrategias de un mayor número de ciberdelincuentes interesados en mejorar sus particulares cuentas de resultados.

Esta circunstancia, está alineada con la propuesta de Gartner, en la dirección de gestionar las amenazas de ciberseguridad más que los episodios de ataques propiamente dichos: CTEM o Continuous Threat Exposure Management. Por tanto, la gestión de las credenciales en general y contraseñas en particular,  en una empresa u organización, se convierte en una prioridad a la vista de cómo están creciendo las amenazas asociadas a la usurpación de credenciales (tanto en su vertiente preventiva y de monitorización como en su perspectiva reactiva y de remediación).

La apuesta y propuesta de Outpost24 en la gestión de contraseñas

Según nos cuenta David García, “Aunque Outpost24 tiene un origen bastante anterior en 2021 se produjo la adquisición de dos compañías líderes y especialmente relevantes para este artículo: Blueliv y Specops Software, añadiendo la capacidad de autenticación de contraseñas y usuarios a nuestra oferta de productos,

Specops sigue teniendo su propia identidad dentro de Outpost24, aunque forma parte de esta última desde 2021. Su catálogo de productos va ligado a un hecho crítico: aproximadamente el 90% de las empresas usa el Directorio Activo como su herramienta principal para la autenticación de empleados, la gestión de identidades y el control de acceso,, lo cual hace que sea especialmente interesante contar con un buen arsenal de herramientas específicas para auditar, securizar y gestionar el AD (Active Directory), por sus siglas en inglés

Por otro lado, las soluciones de Specops (Specops Password Policy, Specops uReset, Specops Secure Service Desk y la gratuita Specops Password Auditor, entre otras) tienen ganada una merecida reputación, al tiempo que Outpost24 las comercializa, o bien como parte de propuestas integrales, o bien como soluciones independientes.

Según David García, “la parte de Specops, … es la parte de Access Risk. Es un producto más sencillo pero con mucho valor, que atiende a necesidades muy específicas. Un caso de uso sería el poder disponer de una política de contraseñas más compleja, avanzada y estructurada; o atender una necesidad específica para que el propio empleado se pueda reiniciar su contraseña sin tener que ir a la oficina”.

Las contraseñas como vector de ataque

Un ejemplo sobre cómo las contraseñas pueden dar lugar a serios problemas de seguridad, lo encontramos en Microsoft, cuando allá por noviembre de 2023 sufrió un ataque mediante la técnica de “password spraying”.  Gracias a ello, los atacantes consiguieron acceso a una cuenta que, a su vez, tenía privilegios para acceder a documentación interna de la compañía.

Mediante el acceso a cuentas con contraseñas débiles o incluso sin contraseñas, es posible acceder a recursos que comprometen la integridad de los datos en cualquier empresa. Además, al tratarse de un acceso legítimo, las empresas pueden tardar semanas en darse cuenta de que están siendo atacadas. En el caso de Microsoft, este fue precisamente el caso.

Outpost24 cuenta con soluciones para identificar puntos débiles en la gestión de contraseñas en la cuentas corporativas, así como para identificar contraseñas que hayan sido filtradas y estén circulando en la dark web, aunque aquí ya entramos en el territorio de la ciberinteligencia.

La importancia de la ciberinteligencia

En una solución de seguridad que aspire a cubrir las necesidades de las organizaciones en un momento en el que la superficie de ataque aumenta de forma constante, la ciberinteligencia juega un papel de excepcional relevancia. En este sentido, Outpost24 cuenta con una unidad especializada en ciberinteligencia, KrakenLabs, que ahora también se ha convertido en una fuente de datos para las soluciones especializadas en la gestión de contraseñas de Specops.

Concretamente, Specops Breached Password Protection cuenta ahora con los datos de contraseñas sustraídas a través de malware, provenientes del trabajo realizado por KrakenLabs. De este modo, podemos decir, en cierto modo, que se cierra el círculo alrededor de la protección de las contraseñas, al contemplar también aquellas que pudieran sustraerse a través de la actividad de nuevos agentes maliciosos como los Traffers.

Auditar las contraseñas y vigilar las filtraciones: políticas clave en una estrategia CTEM

El informe 2024 Specops Breached Password, además, muestra que las contraseñas siguen siendo un punto débil en las organizaciones. Es un informe esclarecedor, en tanto en cuanto muestra que el 88% de las empresas siguen usando las contraselas como el principal método de autenticación, o que solo el 50% de las empresas comprueban si tienen contraseñas comprometidas más de una vez al mes.

Outpost24 cuenta con diversas herramientas para gestionar activamente y de manera efectiva las contraseñas. Specops Password Auditor es un punto de partida, aunque Specops Password Policy y Breached Password Protection permiten gestionar este apartado de manera continua y con datos actualizados sobre identidades comprometidas.

El aumento de la superficie de ataque en las organizaciones precisa de soluciones proporcionales a ese aumento, tanto en lo que concierne a la ciberinteligencia como en lo que concierne a las passwords, especialmente cuando ambos aspectos empiezan a estar más íntimamente relacionados una vez que el negocio generado por la ciber delincuencia aumenta y abre las puertas a estructuras organizadas como las de los traffers.