Lamentablemente, es cada vez más común leer en las noticias sobre filtraciones de datos sensibles en distintos sitios —esto incluye tanto credenciales como logins, contraseñas y hashes. Por más que este sea un tema en alza en los medios especializados, aún son pocos los gestores que se han detenido a pensar en cómo esa tendencia puede afectar la seguridad de su ambiente corporativo, causando pérdidas financieras y sacudidas entre sus consumidores.
¿Conoce la práctica llamada credential stuffing? De ocurrencia cada vez más frecuente, este ataque se aprovecha del hecho de que generalmente utilizamos dos o tres contraseñas para distintos servicios digitales, lo que significa que, en el caso de que consigan robar la password registrada en una tienda virtual, existe una gran posibilidad de que esa misma contraseña pueda ser utilizada para acceder a otros servicios en línea.
Siempre es válido recordar que, por naturaleza, tendemos a ser descuidados con nuestras contraseñas. Si se puede usar el límite mínimo exigido de caracteres, utilizar únicamente números y repetir el uso de una contraseña en otros sitios, lo haremos.
Si a esto le sumamos que, en pleno 2019, continuamos encontrando contraseñas de secuencias numéricas (como “123456”), nombres propios (“Gabriel”), palabras simples (“éxito”) y secuencias obvias (“qwerty”, “a1b2c3”), y lo unimos al hábito de reutilizar credenciales, obtenemos una situación peligrosa tanto para su empresa como para el individuo como persona física.
Con el credential stuffing los delincuentes se apoderan de credenciales filtradas en internet (ya disponibles para el público o a través de una invasión dirigida) y realizan pruebas automatizadas en centenares de servicios en la web para encontrar si alguna combinación de login y contraseña puede ser utilizada para acceder a otra plataforma.
Si se alimenta a un bot con una filtración de 100 millones de credenciales y se consigue reutilizar el 2% de ellas, eso significa que el hacker obtendrá 2 millones de contraseñas válidas. Así, puede obtener acceso tanto a servicios destinados al usuario final (Netflix, Spotify, Paypal, etc.), como a plataformas en la nube que almacenan archivos, datos e información corporativa sensible (Trello, Slack, Dropbox, Google Drive, Github y otros).
La práctica del credential stuffing es lucrativa para el criminal independientemente de cómo utilice las credenciales reutilizables. Puede, por ejemplo, ir a la deep web y vender los logins de Netflix a precios de risa y, al mismo tiempo, extorsionar a su empresa con la amenaza de difundir informaciones confidenciales que obtuvo a través del acceso ilegal a los sistemas internos. Con esto último, el resultado son daños financieros y de la reputación de su empresa.
Es importante recordar que recientemente entraron en escena dos legislaciones relacionadas con la protección de datos sensibles: la europea General Data Protection Regulation (GDPR) y la mexicana Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados creada para endurecer a la ya vigente Ley de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
La previsión de los especialistas es de que, en 2019, el gasto a nivel mundial a causa de las filtraciones de datos va a ascender a un total de US$ 2.1 millones de millones.
Como podrá notar, el credential stuffing es un ataque difícil de controlar: su punto de partida es una filtración que no necesariamente es de su empresa. La eficacia para los criminales depende de si el usuario final cuenta con buenas prácticas de seguridad —evitar utilizar la misma contraseña y adoptar credenciales complejas—, o no. Con esto en mente, es imprescindible monitorear y ser el primero en saber si credenciales ligadas a su marca (en emails bajo su dominio) están expuestas en la web.
Precisamente por esa razón existe Hashcast, nuestra solución con centenares de bots que rastrean canales públicos y privados de internet en busca de contraseñas compartidas en servicios como Pastebin (y decenas de similares) o datos vendidos en foros de la deep & dark web. Cuando los robots encuentran algo, emiten notificaciones en tiempo real (por email o SMS) para que su empresa pueda reaccionar lo más rápido posible con el fin de que sus colaboradores alteren sus contraseñas.
Tan sólo en el año 2018, nuestro monitoreo de WhatsApp, Telegram, Discord, Facebook y de la dark web, dio como fruto más de 17 millones de nuevas credenciales filtradas, que se sumaron a nuestro banco de datos con 1.8 mil millones de credenciales. Entre en contacto con nosotros y conozca la solución a detalle.