El tamaño de los incidentes de derrame de credenciales crece un 234%

  • Endpoint

El volumen de credenciales derramadas en 2020 fue de 17 millones. Los ataques de acceso, que incluyen prácticas de relleno de credenciales y phishing, son la principal causa de las infracciones, señala F5, para quien el deficiente almacenamiento de contraseñas sigue siendo un problema.

Recomendados: 

Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar 

Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

Los derrames de credenciales, un incidente de seguridad que implica la filtración de una combinación de datos compuesta por nombre de usuario y/o correo electrónico y contraseña, se han duplicado en el periodo 2016-2020. Así lo indica la tercera edición del Informe Credential Stuffing Report de F5, que analiza el ciclo de vida de los incidentes de ciberseguridad asociados al robo de credenciales

Aunque el volumen total de credenciales derramadas en el periodo 2016-2020 ha caído un 46%, y en 2020 ascendió 17 millones, el informe revela que lo que está creciendo considerablemente es el tamaño de los incidentes de tamaño mediano, ya que en 2020 se vieron afectados 2 millones de registros en cada uno de ellos, lo que supone un 234% más con respecto a 2019.

La explotación de los datos filtrados, que se materializa en la práctica conocida como relleno de credenciales (credential stuffing), ya se ha convertido en un problema global. "Si está siendo pirateado en estos momentos, lo más probable es que se deba a un ataque de relleno de credenciales", afirma Sara Boddy, directora senior de F5 Labs. “Los derrames de credenciales son como un vertido de petróleo, una vez que se producen, son muy difíciles de limpiar, porque los usuarios no cambian sus datos y contraseñas y las empresas aún no han adoptado de forma masiva soluciones que impidan el relleno de credenciales. Este tipo de ataque tiene un impacto a largo plazo sobre la seguridad de las aplicaciones, por lo que no es raro que en el periodo estudiado haya superado a los ataques HTTP”.

Por su parte, Sander Vinberg, evangelista de investigación de amenazas en F5 Labs y coautor del informe, pide a las organizaciones no bajar la guardia. “Aunque el volumen general de las credenciales derramadas cayó en 2020, no hay nada que celebrar. Los ataques de acceso, que incluyen prácticas de relleno de credenciales y phishing, ya son la principal causa de las infracciones".

Según el informe, el deficiente almacenamiento de contraseñas sigue siendo uno de los problemas más recurrentes. Así, en el 42,6% de los derrames de credenciales de los últimos tres años se ha comprobado que se carecía de protección para unas contraseñas almacenadas en texto sin formato. En el 20% de los casos las credenciales relacionadas con el algoritmo hash de contraseña SHA-1 carecían de un valor único que se puede agregar al final de la contraseña para crear un valor hash diferente.

Otra observación de este informe es el incremento detectado en técnicas de fuzzing con el objetivo de mejorar la tasa de éxito a la hora de explotar las credenciales robadas. El fuzzing es un proceso que busca encontrar vulnerabilidades analizando los códigos de entrada, probando repetidamente con entradas modificadas. F5 ha probado que la mayoría de ataques fuzzing se producen antes de que se publiquen las credenciales comprometidas, lo que lleva a pensar que es una práctica muy común entre los atacantes más avanzados.

Si en 2018 un derrame de credenciales tardaba una media de 15 meses en hacerse público, en estos momentos, ese periodo ha bajado a 11 meses. Por su parte, el tiempo medio para detectar un incidente de este tipo es de 120 días. F5 afirma que el anuncio de un derrame por parte de la empresa suele coincidir con la aparición de las credenciales robadas en los foros de la Dark Web.