En esta tribuna, Anastasia Sotelsek, Principal Sales Engineer de CyberArk, explica cómo los ataques posteriores a la autenticación representan una amenaza creciente debido a la vulnerabilidad de los tokens de sesión.
En los últimos años, los ciberataques han ido cambiando y evolucionando, desde el robo de credenciales de texto sin cifrar hasta la autenticación basada en sesiones. Una tendencia impulsada por la proliferación de la autenticación multifactor (MFA), que dificulta que los atacantes comprometan cuentas solo con contraseñas. Sin embargo, MFA no es una solución milagrosa, ya que los tokens de sesión, cookies, claves API y certificados de máquina, aún pueden explotarse para obtener acceso a sistemas y datos confidenciales.
Los ataques posteriores a la autenticación tienen como objetivo los tokens de autenticación que se utilizan para mantener la identidad y los derechos de acceso de un usuario o una máquina después del proceso de inicio de sesión inicial. Estos tokens a menudo se almacenan en el navegador, en archivos, en la memoria o en bases de datos y se transmiten a través de la red cuando un usuario o una máquina interactúa con una aplicación web o una API.
Aunque la forma más conocida y común de ataque posterior a la autenticación es el robo de cookies, que puede llevarse a cabo de varias formas, entre ellas, explotar vulnerabilidades en la aplicación web o el navegador; accediendo al almacenamiento del navegador, donde se guardan las cookies, y copiándolas en el dispositivo del atacante; o extrayendo el espacio de memoria del proceso del navegador, ya que las cookies no se escriben en el disco y existen solo dentro de la memoria del navegador como cookies efímeras durante la sesión y mientras el navegador esté abierto. De tal manera que las cookies se han convertido en un material clave de la seguridad, por lo que, si eliminamos las cookies del navegador, la experiencia sería más segura. Sin embargo, las cookies no son la única forma de token de sesión a la que pueden apuntar los ataques basados en sesiones.
Cómo pueden las organizaciones protegerse de los ataques posteriores a la autenticación
Los ataques posteriores a la autenticación son una amenaza grave y creciente, y las organizaciones deben tomar medidas proactivas para protegerse a sí mismas y a sus usuarios de estos ataques. Desde CyberArk señalamos algunas de las mejores prácticas que pueden seguir las organizaciones:
- Implementar el principio de privilegio mínimo (PoLP) y limitar el alcance y la duración de los tokens de sesión. Los tokens de sesión solo deben otorgar los derechos de acceso mínimos necesarios, cuando sea necesario (just-in-time), para la tarea o interacción específica y deben caducar o revocarse lo antes posible.
- Aplicar fuertes controles de integridad y cifrado en la comunicación de la red y los tokens de sesión. Los tokens de sesión deben estar cifrados y firmados por el emisor y transmitirse únicamente a través de canales seguros, como HTTPS o TLS.
- Supervisar el uso y la actividad de los tokens de sesión. El emisor debe registrar y rastrear los tokens de sesión, alertando de cualquier comportamiento anormal o sospechoso, como inicios de sesión múltiples o simultáneos, ubicaciones o dispositivos inusuales o acciones anómalas.
- Educar y capacitar sobre los riesgos y las mejores prácticas de seguridad de los tokens de sesión. Los usuarios deben ser conscientes de los peligros del phishing, el malware y la ingeniería social y evitar hacer clic en enlaces sospechosos, descargar archivos desconocidos o compartir sus tokens de sesión.
Dado que los atacantes encuentran nuevas formas de explotarlos, los ataques posteriores a la autenticación son un desafío complejo y en evolución. Las organizaciones deben estar preparadas y vigilantes para defenderse de estas amenazas implementando medidas de seguridad como privilegios mínimos, monitorización y mantener una mentalidad de asumir las brechas de datos.