Índice de temas
¿Cómo ha evolucionado el panorama de la ciberseguridad en los últimos años en cuanto al uso de credenciales comprometidas?
En los últimos años, los ataques han evolucionado hacia técnicas más interactivas y menos dependientes de malware. La identidad se ha convertido en un objetivo clave para los atacantes, que ya no solo se centran en entornos on-premise, sino también en infraestructuras híbridas y multicloud. El Global Threat Report de CrowdStrike señala que cinco de las diez técnicas de ataque más utilizadas están relacionadas con la identidad, según el marco MITRE ATT&CK. Además, ha aumentado el uso de herramientas de monitorización y gestión remota como vía de entrada y mecanismo de persistencia, lo que dificulta su detección.
El estudio destaca otro dato preocupante: el tiempo promedio de propagación lateral de un ataque es de 62 minutos, y el caso más rápido registrado fue de 2 minutos y 7 segundos. Esto demuestra que la identidad no solo es clave para la intrusión inicial, sino también para el movimiento dentro de la red y la evasión de defensas.
Se dice que los atacantes han pasado de utilizar malware a emplear credenciales legítimas. ¿Cómo se ha producido ese cambio?
La ciberseguridad funciona como un globo: cuando reforzamos un área, los atacantes buscan otra más vulnerable. Durante años, se ha fortalecido la protección en los endpoints con soluciones como EDR, lo que ha obligado a los atacantes a diversificar sus métodos. Ahora, en lugar de desplegar malware, buscan acceder con credenciales legítimas obtenidas de distintas formas: Bien a través de errores humanos, como credenciales expuestas en repositorios públicos como GitHub; bien por el phishing que sigue siendo una táctica efectiva o por medio de la venta de credenciales en mercados clandestinos, donde hay atacantes especializados en recopilarlas y comercializarlas.
Una vez dentro, la identidad les permite mantener persistencia, evadir detección, escalar privilegios y moverse lateralmente hasta alcanzar sus objetivos con rapidez y sigilo.
¿Hay sectores más vulnerables a este tipo de ataques o es una amenaza generalizada?
La amenaza es muy democrática. Todos los sectores dependen de la identidad como elemento clave de seguridad, por lo que ningún entorno está exento de riesgo. Aunque algunos sectores pueden ser más atractivos por la información que manejan, el problema afecta a cualquier organización que utilice credenciales como mecanismo de autenticación. Los atacantes buscan oportunidades y, si logran acceso a credenciales válidas, pueden infiltrarse en casi cualquier infraestructura.
Con la aparición de la inteligencia artificial generativa, ¿cómo está cambiando el panorama en términos de mercadeo de credenciales y acceso no autorizado?
La realidad es que, más allá de la ingeniería social, el uso de GNI por parte de los atacantes no lo estamos viendo de forma masiva. En el Global Threat Report mencionamos algunos casos anecdóticos, pero son muy excepcionales. Por ejemplo, hay un atacante que intenta comprometer Azure Vault, que es donde se almacenan credenciales protegidas. Se observa que no tiene mucho conocimiento en cloud, pero lo está intentando, y realiza búsquedas tanto en buscadores generales como en ChatGPT para averiguar cómo hacerlo.
Puede detectarse antes si las credenciales robadas aparecen en foros del underground o en la dark web. Hay servicios de inteligencia, como los que ofrecemos, que permiten monitorizar esto y alertar a las organizaciones si sus credenciales están expuestas.
ÁLVARO DEL HOYO, CROWDSTRIKE
Otro caso documentado muestra un atacante que ha generado un script en PowerShell para atacar a EnterID, el Active Directory Cloud, con el objetivo de volcar credenciales y suplantar identidades. Aunque no lo podemos confirmar al 100%, por cómo está estructurado el script parece haber sido creado con un modelo concreto, 270B. Pero, en general, lo más significativo hasta ahora es la mejora en la ingeniería social.
El National Cyber Security Center del Reino Unido publicó en enero del año pasado un análisis sobre el uso del GNI por parte de los atacantes, y básicamente concluyen que todo el mundo está experimentando con ello, pero no esperan que en los próximos dos años haya una explosión de uso masivo y efectivo.
Como usuarios, muchas veces combinamos lo personal y lo profesional en el mismo equipo. Si accedemos a herramientas como ChatGPT o cualquier otra IA generativa, ¿eso puede generar una vulnerabilidad para la empresa?
Sí, es un riesgo conocido. A veces, los empleados manejan información corporativa en plataformas no autorizadas. Existen soluciones que identifican y controlan estas aplicaciones para evitar el uso de Shadow IT o tecnología no autorizada, previniendo así que se filtren datos corporativos.
¿Y cómo puede una empresa saber que sus credenciales han sido robadas? ¿Hasta que sufre un ataque no se da cuenta?
Puede detectarse antes si las credenciales robadas aparecen en foros del underground o en la dark web. Hay servicios de inteligencia, como los que ofrecemos, que permiten monitorizar esto y alertar a las organizaciones si sus credenciales están expuestas.
Otro método es detectar el password reuse, es decir, cuando un usuario usa la misma contraseña en su cuenta personal y laboral. Si esa cuenta personal es comprometida y la contraseña reutilizada, puede detectarse con inteligencia de amenazas.
¿Cómo pueden las empresas detectar y mitigar el uso de credenciales robadas en sus sistemas?
Experto: Primero, hay que entender que la gestión de identidades en entornos híbridos y multicloud es compleja. Se requiere federación de identidades, single sign-on, y mantener un control adecuado de accesos.
Los atacantes suelen dirigirse a los repositorios de identidad como Active Directory o sus equivalentes en la nube para obtener el mayor número posible de credenciales con altos privilegios.
Por eso, es clave aplicar buenas prácticas: Implementar el principio de mínimos privilegios, detectar intentos de extracción de credenciales e identificar accesos anómalos o no autorizados.
Si un atacante obtiene credenciales, intentará usarlas para persistencia, escalado de privilegios y movimientos laterales. Detectarlo temprano es fundamental.
¿Qué estrategias y tecnologías recomendáis para esto?
En CrowdStrike ofrecemos una plataforma unificada basada en la nube e IA, que proporciona visibilidad y control sobre identidades, tanto de empleados como de proveedores. Ayudamos a evaluar riesgos y aplicar medidas correctivas.
También detectamos usos anómalos de credenciales y reducimos el tiempo de detección de atacantes. Según el informe anual de IBM, cuando un atacante usa credenciales válidas, la detección suele tardar una media de 292 días. Nuestra tecnología tiene la misión de atajar este problema.
La autenticación multifactor, ¿es la solución definitiva o tiene vulnerabilidades?
Tiene su complejidad. Primero, implementarla correctamente puede ser complicado. Y segundo, los atacantes han encontrado formas de evadirla, por ejemplo, bombardeando al usuario con solicitudes de MFA hasta que finalmente acepta.
Por eso, hemos incorporado en nuestra solución de Identity Protection un acceso controlado just-in-time: en lugar de permitir acceso basado solo en identidad, evaluamos el contexto, restringiendo el acceso según ubicación, tiempo, y actividad. Además, si durante una sesión detectamos actividad anómala, podemos revocar el acceso en tiempo real y tirar abajo esa sesión.
¿Cuándo has sido atacado de esta manera cómo limpias todo? ¿Qué problemas puedes tener?
Sí, hay distintos problemas. Algunos tienen que ver con vulnerabilidades en los propios repositorios de identidad, que pueden no estar resueltas. Por ejemplo, un atacante podría descargar una base de datos de usuarios en un DAM (Data Access Management, es decir, un sistema de gestión de acceso a datos), con credenciales que, aunque estén hasheadas (encriptadas), pueden ser vulneradas con el tiempo. Existen ciertos comportamientos sospechosos que buscan este objetivo y que pueden ser detectados para identificar a los atacantes.
En otros casos, el problema está más relacionado con la complejidad de la gestión. Un ejemplo claro es el de los usuarios huérfanos: cuando alguien deja la compañía y, por fallos en los procesos de recursos humanos, su cuenta sigue activa hasta que alguien lo detecta y la revoca. Mientras tanto, esa cuenta podría ser utilizada por un atacante o incluso por el propio exempleado.
También existe el riesgo de que un empleado se convierta en insider y actúe por represalias. Hay documentos muy interesantes, como los de los Five Eyes (las agencias de inteligencia de EE. UU., Canadá, Reino Unido, Australia y Nueva Zelanda), que explican los tipos de ataques más comunes contra Active Directory.
Podemos dividir estos ataques en dos grandes categorías:
- Los relacionados con la gestión, donde se busca aplicar el principio de mínimos privilegios para reducir la exposición a amenazas.
- Los que explotan vulnerabilidades en repositorios de identidad, tanto en Active Directory como en proveedores cloud.
Y no solo Active Directory tiene estos problemas, sino que también los repositorios de identidad de los proveedores cloud presentan riesgos. Por ejemplo, en el Global Threat Report se menciona el Instance Metadata Service, una técnica que permite obtener credenciales y moverse dentro del entorno cloud para escalar privilegios.
¿Las empresas españolas son conscientes de este problema e invierten en soluciones? ¿Vosotros habláis con ellas?
Sí, obviamente, trabajamos para concienciar a nuestros clientes sobre estos riesgos. No hay referencias públicas que pueda compartir, pero es un problema identificado. La mejor prueba son las evidencias recogidas en nuestro Global Threat Report, y, de hecho, ya hay empresas en España utilizando este tipo de tecnología para protegerse.
