Un informe de Rapid7 reveló que la mala política de contraseñas era el principal problema. El estudio y la palabra de los expertos.
un informe de rápido7una empresa de seguridad informática, reveló que los ciberdelincuentes prueban nombres de usuario y contraseñas muy simples para ingresar a redes ajenas: “gerente“, “usuario“, “administrador”, “raíz”; y “123456” o “qwerty”.
Los ataques de credenciales son una técnica que utilizan los ciberdelincuentes para obtener acceso a las computadoras de otras personas. Es un método que consiste en probar claves hasta que una de ellas valida el proceso de registro.
Así, a pesar de que existen millones de ciberataques de este tipo, los atacantes consiguen entrar en sistemas de terceros utilizando nombres de usuario como “usuario” o “admin” y contraseñas como “123456”, “123456789” y “qwerty”.Los atacantes están tomando el camino más fácil”, concluye Tod Beardsley, director de investigación de Rapid7.
El informe, llamado Buenas contraseñas para bots malosregistró durante 12 meses ataques a dos tipos de servidores muy utilizados (RDP y SSH), y detectó que en 512 mil casos los atacantes lograron ingresar con información de un conocido archivo llamado RockYou2021.txtun texto que tiene cerca de 8.400 millones de contraseñas utilizado por los usuarios.
RockYou2021.txt, el origen de los ataques
“El archivo original proviene de una plataforma homónima (“Rock You”), que se filtró a fines de 2009. Como su base de datos no seguía buenas prácticas de cifrado de datos en reposo (es decir, almacenaba información confidencial como el contraseñas de texto sin formato), fue muy sencillo para el atacante extraer estos datos y ponerlos a disposición”, explica a Clarín Mauro Eldritch, analista de amenazas.
“El archivo es un documento de texto plano, un simple txt pero contiene todas las claves de dicha filtración. Con el tiempo, este archivo se adoptó ampliamente y se modificó para incluir las claves más utilizados en otras filtraciones“, él añade.
Sus usos son múltiples, pero el cibercrimen está en el centro de la escena: “Es muy utilizado hoy en día para realizar ataques contra la autenticación de una plataforma o servicio, ya sea en modo recreativo o en un CTF o ejercicio coordinado, o incluso con profesionales. usos”.
Lo que hizo Rapid7 fue usar una red de “tarros de miel” (tarro de miel), o trampas deliberadas, para atraer a los atacantes y ver cómo actuaban. “Para este informe usamos nuestra red de trampas para monitorear los intentos de inicio de sesión SSH y RDP. Una vez que nos enfocamos en los intentos de autenticación (a diferencia de los intentos de explotación, los escaneos de bajo contacto y similares), encontramos que los atacantes intentaron usar 512.002 contraseñas únicas”, explica Beardsley.
“PDR” Se refiere a Protocolo de escritorio remoto, es decir, acceso remoto a una computadora. Y SSH es shell seguroes una consola remota, desde la cual puede acceder desde una computadora ajena.
Cómo entran los ciberdelincuentes
Todo esto es posible por malas prácticas y malas políticas de seguridad informática. “Cuando se almacenan datos confidenciales -como contraseñas- es obligatorio encriptarlos y enriquecer este proceso de encriptación con datos adicionales (llamados ‘Sal y Pimienta’), para dificultar al máximo que un atacante acceda a los datos originales en la cara de un escenario potencial de violación de datos”, advierte el arquitecto de ciberseguridad.
Sin embargo, el problema que detecta el informe de Rapid7 es que ni siquiera se toman medidas básicas para proteger las redes. “Lo que encontramos confirmó de muchas maneras nuestras suposiciones: Los atacantes no están ‘descifrando’ las contraseñas en Internet y todavía apestamos colectivamente en lo que respecta a la administración de contraseñas”, concluye Beardsley.
“No es tan difícil combatir este tipo de ataques. Ni siquiera tiene que tener una contraseña particularmente segura para protegerse, solo una aleatoria, tal vez agregando algunos caracteres especiales, no reutilizándolos en diferentes inicios de sesión y, sobre todo, no usando el contraseñas predeterminadas”, dice el director del estudio.
Y sugiere usar administradores de contraseñas: “Todas estas cosas se cubrirían mediante el uso de servicios de administración de contraseñas que crean contraseñas únicas y aleatorias para cada una de sus cuentas en línea”.
el informe completo
