En los últimos años, los ciberataques han ido cambiando y evolucionando, desde el robo de credenciales de texto sin cifrar hasta la autenticación basada en sesiones. Una tendencia impulsada por la proliferación de la autenticación multifactor (MFA), que dificulta que los atacantes comprometan cuentas solo con contraseñas. Sin embargo, MFA no es una solución milagrosa, ya que los tokens de sesión, cookies, claves API y certificados de máquina, aún pueden explotarse para obtener acceso a sistemas y datos confidenciales.
Los ataques posteriores a la autenticación tienen como objetivo los tokens de autenticación que se utilizan para mantener la identidad y los derechos de acceso de un usuario o una máquina después del proceso de inicio de sesión inicial. Estos tokens a menudo se almacenan en el navegador, en archivos, en la memoria o en bases de datos y se transmiten a través de la red cuando un usuario o una máquina interactúa con una aplicación web o una API.
Aunque la forma más conocida y común de ataque posterior a la autenticación es el robo de cookies, que puede llevarse a cabo de varias formas, entre ellas, explotar vulnerabilidades en la aplicación web o el navegador; accediendo al almacenamiento del navegador, donde se guardan las cookies, y copiándolas en el dispositivo del atacante; o extrayendo el espacio de memoria del proceso del navegador, ya que las cookies no se escriben en el disco y existen solo dentro de la memoria del navegador como cookies efímeras durante la sesión y mientras el navegador esté abierto. De tal manera que las cookies se han convertido en un material clave de la seguridad, por lo que, si eliminamos las cookies del navegador, la experiencia sería más segura. Sin embargo, las cookies no son la única forma de token de sesión a la que pueden apuntar los ataques basados en sesiones.
Los ataques posteriores a la autenticación son una amenaza grave y creciente, y las organizaciones deben tomar medidas proactivas para protegerse a sí mismas y a sus usuarios de estos ataques. Desde CyberArk señalamos algunas de las mejores prácticas que pueden seguir las organizaciones:
Dado que los atacantes encuentran nuevas formas de explotarlos, los ataques posteriores a la autenticación son un desafío complejo y en evolución. Las organizaciones deben estar preparadas y vigilantes para defenderse de estas amenazas implementando medidas de seguridad como privilegios mínimos, monitorización y mantener una mentalidad de asumir las brechas de datos.
En esta tribuna, Miguel Palomares, Business Development Manager en Altia, analiza cómo la combinación de…
En esta tribuna, Rainer W. Kaese, director sénior de Desarrollo de Negocio de HDD de…
En esta tribuna, Enric Delgado, director de Client Engineering Team de España, Portugal, Grecia e…
En esta tribuna, Justin Murrill, director de Responsabilidad Corporativa en AMD, explica cómo la arquitectura…
En esta tribuna, Mario Carranza, especialista en observabilidad de CPO WOCU-Monitoring, explica cómo la observabilidad…
Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike, explica cómo combatir las amenazas transversales…