En 2022, de las 4.110 millones de credenciales detectadas a través de la plataforma Axur, el 96,1% fueron expuestas en la Deep & Dark Web. Este resultado aparece en nuestro Informe de Actividad Delictiva Online 2022 y marca un cambio fundamental si se lo compara con las detecciones del año anterior, en el cual el 98,2% de las credenciales identificadas aparecían en grandes filtraciones. Este cambio indica un crecimiento de los mercados de credenciales corporativas ubicados en la Deep & Dark Web. Este es el momento de comprender el modo de operar de los ciber delincuentes en estos mercados y la forma de proteger las credenciales de su empresa.
Para empezar, es importante entender por qué los ciberdelincuentes apuntan a las credenciales de una empresa. Un estudio realizado por Verizon BR reveló que las credenciales son datos de acceso rápido para los invasores dentro de las organizaciones. Esta información es preocupante desde el punto de vista de que las credenciales corporativas constituyen datos específicos o herramientas de autenticación necesarios para corroborar la identidad de un usuario, validarlo y concederle el acceso a un sistema o ID de red.
Si un invasor se hace con una credencial que no esté bloqueada por el propietario o por el equipo de seguridad, tendrá acceso a una puerta capaz de comprometer toda la seguridad de la organización, pues podrá desplazarse lateralmente y escalar privilegios. No es casualidad que el mismo estudio de Verizon BR haya mostrado que los invasores tienen la posibilidad de alcanzar sistemas o datos críticos en el 85% de las categorías de robo de credenciales privilegiadas. En síntesis, entendemos que la existencia de los Mercados de credenciales se debe a tres puntos principales:
Ante la relevancia y el potencial de lucro del aprovechamiento de las credenciales, empezamos a entender que existan mercados dedicados a la venta de estos datos. Veamos cómo funcionan y cómo se logra la lucratividad.
La economía de la Deep & Dark Web se mueve, principalmente, a través de dos grupos: los mercados ilegales y el almacenamiento de datos. El primer grupo abarca la venta de diversos productos y servicios ilegales, como drogas, armas, tarjetas de regalo y tarjetas prepagas o robadas. Los movimientos y operaciones de tales actividades se realizan por intermedio de grupos de Telegram, WhatsApp y/o foros de la Deep & Dark Web, que permiten la comunicación entre los delincuentes. En cambio, el segundo grupo se focaliza en la información confidencial, como datos de tarjetas de crédito, detalles de cuentas bancarias, métodos de craqueo y credenciales corporativas.
Los mercados de credenciales existen hace años, y funcionan como sitios comunes. Según Webhose, en la dark web existen aproximadamente 20 mercados activos principales y decenas de otros de carácter secundario. El funcionamiento de estos comercios se asemeja a cualquier sitio de comercio electrónico, con filtros por producto, precio y compras en escrow. Además, para reforzar su autenticidad, los administradores de estos sitios utilizan valoraciones y comentarios de usuarios, exactamente como lo hace un e-commerce común.
Los valores de las credenciales vendidas en estos sitios varían de acuerdo a su peso. Nuestros análisis demuestran que pueden adquirirse datos de tarjetas de crédito por US$15, mientras que un pasaporte llega a costar US$4.000. Los delincuentes siguen el rastro de la lucratividad para precificar sus productos.
Es difícil responder a esta pregunta con precisión, ya que el propio entorno de la Deep & Dark Web posibilita el anonimato. Al ser así, en estos comercios operan grupos que usan técnicas de seguridad de punta, capaces de ocultar sus identidades y la ubicación de sus servidores, lo cual vuelve prácticamente imposible a las organizaciones legales interrumpir sus actividades.
Por eso es imprescindible trabajar con un monitoreo expandido en la Deep & Dark Web, en alianza con un equipo de especialistas en Cyber Threat Intelligence capaz de dirigir investigaciones sobre tácticas, técnicas y procedimientos, más allá de apoyar la construcción de respuestas más asertivas a los incidentes.
La lucratividad del ciberdelito con el mercado de credenciales robadas se moviliza a partir de las pérdidas causadas a las organizaciones que son víctimas de los ataques. Son numerosas las consecuencias que esto acarrea, ya sea de tipo financiero, de reputación y hasta judiciales. A saber:
Más allá de la utilización de técnicas avanzadas para ocultar su identidad y ubicación, los delincuentes también emplean diferentes estrategias para obtener credenciales corporativas.
Los productos provistos por los vendedores de los mercados de la Deep & Dark Web generalmente se obtienen a través de ataques phishing, malwares, ransomwares, BEC (Business E-mail Compromise) y, obviamente, ataques de relleno de credenciales.
Los ataques de phishing se utilizan para robar las credenciales de una empresa, normalmente con sitios falsos. Se aplican estrategias ya conocidas, en las que un sitio falso es proyectado para parecerse a una página de login legítima, como en los sitios de Bancos on-line o aplicaciones. Para guiar al usuario hasta el sitio falso, el invasor envía un mensaje de spear phishing, desde una fuente aparentemente confiable: un Banco, un colega o una autoridad. Cuando el usuario intenta loguearse en el sitio de phishing, la credencial se envía automáticamente al invasor.
Con los ataques de ransomware, los ciberdelincuentes logran obtener las credenciales en la primera etapa de la invasión, donde la criptografía se aplica para secuestrar la información confidencial de la empresa, además de impedir el acceso a la misma. La acción puede iniciarse en forma similar al phishing, a través de un usuario que cliquee en un link falso, o que realice un download aparentemente confiable. Los perjuicios causados anualmente por los ataques de ransomware son enormes: cerca de US$ 621 millones en 2021 y US$ 692 millones en 2020, sólo en el pago de rescates. Y las pérdidas por el cese de operaciones de las empresas ascienden a los miles de millones.
Otra forma de robar credenciales es involucrar un e-mail corporativo (BEC). En 2021, esta estrategia representó el 8% de los ataques cibernéticos más llevados a cabo contra las organizaciones, de acuerdo con Unitrends. Los escenarios de aplicación pueden variar, como, por ejemplo:
Los agentes de amenazas continúan focalizando sus ataques BEC en zonas donde la implementación de la MFA (Autenticación Multifactor) todavía es esporádica, como en Latinoamérica, región donde los ataques tienen gran éxito.
Otra forma de obtener credenciales corporativas es a través de los malwares, softwares creados para robar información de la sesión del navegador, contraseñas almacenadas y otros datos confidenciales como cajas fuertes, billeteras criptográficas etc. Un ejemplo de malware programado a este fin es el Oski, creado en 2019 y escrito en C++. Oski se programó para robar todos los ejemplos de información ya citados y utiliza dos técnicas de ofuscación:
El Stealer Oski fue creado para robar información confidencial y sensible de aproximadamente 60 aplicaciones diferentes. A pesar de ser antiguo, Oski constituye un ejemplo de cómo los ciberdelincuentes usan malwares para robar credenciales corporativas.
Pasamos, por último, al relleno automático de credenciales, una estrategia con una escala de uso preocupante. El ataque sucede cuando el ciberdelincuente emplea un bot para probar las credenciales filtradas en otros sitios, o a través de las contraseñas que los usuarios utilizan con mayor frecuencia. Si el proceso es exitoso, las credenciales pueden ofrecerse como productos en los mercados de la Deep & Dark Web.
Las estrategias mencionadas son sólo algunas formas que los ciberdelincuentes utilizan para obtener credenciales corporativas y alimentar los mercados. Más allá del análisis sucinto que aquí realizamos, esta información resulta fundamental pues los delincuentes aprovechan todas las vulnerabilidades posibles para hacerse con las credenciales. Además de los ejemplos de productos y estrategias que aquí presentamos, se utilizan otros canales como streaming de contenido que divulga estafas, venta de “me gusta” y seguidores falsos, propagandas fraudulentas, etc.
No por casualidad los datos indican la necesidad urgente de identificar estas actividades y adoptar estrategias más eficaces en la lucha contra la comercialización de credenciales corporativas, como veremos a continuación.
Del mismo modo que los ciberdelincuentes aplican tácticas para robar y vender las credenciales corporativas, los profesionales de la seguridad también se empeñan en analizar y utilizar estrategias para identificar los mercados ilegales, con el monitoreo de la Deep & Dark Web. A continuación conoceremos algunos ejemplos:
Snowball Sampling
Snowball Sampling es una metodología que se emplea para localizar servicios ocultos en la Deep & Dark Web, inclusive la recolección de datos y flujos de CTI. Este método consiste en una arquitectura de rastreador web que usa un URL raíz y rastrea el sitio en busca de links de salida hacia otros sitios. Es muy similar al modo de funcionamiento de los primeros rastreadores web, y es muy utilizado para los foros de la Deep & Dark Web, donde la información sobre filtraciones, robos y comercialización de datos está presente.
Monitoreo de sitios con inteligencia OSINT
Otra manera de identificar las credenciales e información robadas es el monitoreo de sitios oscuros. La inteligencia de código abierto utiliza estrategias avanzadas para identificar los ataques, las vulnerabilidades y los ataques exitosos. A través del reconocimiento, las fuentes de información, la recolección, el procesamiento y el análisis de los datos, los profesionales de seguridad pueden obtener información del contexto, realizando análisis más precisos sobre el escenario de las amenazas.
Análisis de las redes sociales
Como la surface web, la Deep & Dark Web también posee sus redes sociales, más precisamente los foros, utilizados para comunicación y publicidad de la información y los servicios robados. De esta manera, un correcto análisis de los foros de la Deep & Dark Web puede proporcionar información importante sobre las tendencias actuales de ataques, datos recién recolectados y estrategias de los ciberdelincuentes que operan en el entorno de la Deep & Dark Web.
Estas estrategias, como muchas otras, componen la inteligencia de amenazas, utilizada para el monitoreo, lucha y proactividad de las acciones delictivas en torno a los datos corporativos en la Deep & Dark Web.
Existen algunos caminos y estrategias que pueden implementarse para trabajar en la prevención y evitar que las credenciales de su empresa terminen en los exhibidores de los mercados de la Deep & Dark Web.
Utilizar contraseñas exclusivas para todas las cuentas y sistemas
Parece obvio, pero siempre es importante reforzar el uso de contraseñas exclusivas para cada cuenta y sistema diferentes. Y aún siendo obvio, esto sigue siendo un gran desafío para las organizaciones y sus colaboradores. Incentivar el uso de una caja fuerte de contraseñas puede ser una alternativa adecuada para mitigar el problema, evitando la reutilización de contraseñas para aplicaciones diferentes.
Realizar la gestión de parches
La gestión de parches es fundamental para la seguridad de las empresas, principalmente para manejar amenazas como el robo de credenciales. En vista de esto, se recomienda desarrollar una estrategia de gestión de parches, y asegurarse, así, de que todas las actualizaciones de los sistemas estén al día.
Activar la MFA
La autenticación multifactor puede impedir la mayoría de los ataques de control, además de agregar una capa adicional de protección de los accesos. Sin embargo, la MFA no es infalible, y los ciberdelincuentes pueden interceptar, falsificar y romper este sistema.
Aun con todas las medidas de protección, es imposible impedir totalmente las filtraciones de información. Sobre todo cuando nos referimos a credenciales corporativas, ya que estamos hablando de variables que, muchas veces, alcanzan miles de empleados y sus experiencias personales.
Tanto sea la exposición accidental o delictiva, es fundamental contar con un monitoreo de riesgos fuera del perímetro, con tecnologías de inspección y detección suficientemente ágiles para que la reacción sea inmediata.
Las soluciones especializadas, como el Monitoreo Deep & Dark Web de Axur, permiten que la detección suceda en los principales grupos, canales y foros cerrados y no indexados de la web, con tecnología para automatizar el tratamiento de estas amenazas.
Además, el Research Team - ART de Axur es especialista en el análisis, la detección y la provisión de información estratégica para desarrollar acciones asertivas contra las amenazas, y ofrece la asistencia necesaria, inclusive en la interacción con delincuentes, buscando la raíz del problema.
Conozca el Monitoreo Deep & Dark Web de Axur y sepa cómo monitorear y proteger su empresa de riesgos como este.
Authorities Seize Online Marketplace for Stolen Credentials
Stolen company credentials used within hours, study says
Credential stuffing is fuelling the dark web trade in customer log-ins
How credentials became an attacker’s easiest target
Collective dynamics of dark web marketplaces
5 Dark Web Marketplaces Security Professionals Need To Know About
How to Locate Dark Web Hacker Forums for Security Research