Proteger la identidad: cómo evitar ser víctima del mercado clandestino de accesos

Recientemente leíamos que solo cinco entidades cibercriminales eran responsables de alrededor del 25% de todas las ofertas de acceso a redes empresariales disponibles para la venta en foros clandestinos, durante la segunda mitad de 2021 y la primera mitad de 2022. Estos IAB facilitan detalles de cuentas VPN y de protocolo de escritorio remoto (RDP) robados, y otras credenciales que los delincuentes podían utilizar para entrar en las redes de más de 2.300 organizaciones de todo el mundo, sin esfuerzo alguno. El precio medio de estos accesos ronda los 2.800 dólares.

Es importante destacar que estos operadores son los líderes de un mercado mayor que está en rápido crecimiento.

¿Cómo funciona el mercado clandestino de accesos?

Los IAB acceden a los sistemas robando credenciales de red a terceros utilizando tácticas de ingeniería social, como el phishing, explotando vulnerabilidades de software sin parches, instalando malware localmente tras acceder físicamente a una organización a través de algo parecido a un tailgating o mediante ataques de fuerza bruta o de pulverización de contraseñas. Y, por lo general, ofrecen alguno de los siguientes tipos de acceso:

- Directorio Activo (AD)

- Redes privadas virtuales (VPN)

- Credenciales de usuario root

- Acceso Web Shell

- Monitorización y gestión remota (RMM)

- Protocolo de escritorio remoto (RDP)

- Paneles de control

¿Cómo evitar ser víctima del mercado de acceso como servicio?

Protegerse de este grupo de cibercriminales como servicio requiere de una seguridad consolidada que blinde la red de la organización y parchee cualquier agujero. Para ello, son claves soluciones como la autenticación multifactor (MFA) y la protección en el endpoint.

- Autenticación multifactor (MFA): los atacantes busca activamente sistemas que dependan de la forma tradicional de autenticación: usuario y contraseña; método que no ofrece ninguna protección. Para mitigar esta vulnerabilidad debe imponerse el uso de MFA. Si el acceso a una red requiere una forma adicional de autenticación, las credenciales de usuario robadas pierden su eficacia.

Es importante introducir esta capa de protección en los accesos remotos a la red, a las conexiones VPN, al email y a los accesos administrativos.

Nuestra solución de autenticación multifactor, permitir que los usuarios se autentiquen directamente desde su propio teléfono, ofrece protección adicional utilizando el ADN de dispositivos móviles que verifica si la autorización proviene del teléfono del usuario autorizado.

- Protección en el endpoint: la protección RDP, incluida en el servicio de Threat Hunting que está integrado en la solución WatchGuard EPDR, evita que los hackers puedan robar las credenciales en servidores RDP al detectar los ataques de fuerza bruta e impedir las comunicaciones desde servidores externos implicados en este tipo de ataque. La mejor defensa es detener el ataque en fases tempranas y, por esta razón, recomendamos en todo momento activar la protección RDP.

La supervisión continua de los endpoints impide la ejecución de procesos desconocidos, y permite el análisis de comportamiento que puede dejar en evidencia a los criminales que hayan obtenido acceso, protegiendo así contra APT, malware zero-day, ransomware, suplantación de identidad, rootkits, vulnerabilidades en la memoria y ataques sin malware.

WatchGuard EPDR no solo combina la protección de endpoints (EPP) y de detección y respuesta (EDR), sino que ofrece el módulo de gestión de vulnerabilidades que descubre e implementa los parches necesarios para proteger la organización. Esto es de suma importancia, ya que las vulnerabilidades suelen ser de las vías de entrada más utilizadas por los criminales.