Los atacantes no piratean, inician sesión: El punto ciego de la AMF

4 de marzo de 2025
Lucie Cardiet
Responsable de marketing de productos
Los atacantes no piratean, inician sesión: El punto ciego de la AMF

Campañas de gran repercusión -como las redes de bots masivas dirigidas a Microsoft 365 y el ataque Mango Sandstorm- demuestran la escala y sofisticación de las amenazas modernas basadas en credenciales. Estos incidentes ponen de relieve que los agresores ya no se basan en la fuerza bruta, sino que orquestan esfuerzos coordinados que aprovechan las credenciales robadas para obtener acceso.

Una tendencia notable es el uso de inicios de sesión no interactivos para eludir las alertas de seguridad convencionales. Al dirigirse a los procesos de autenticación automatizados, utilizados habitualmente para las cuentas de servicio, los agresores pueden evitar los disparadores activados por la autenticación multifactor y las políticas de acceso condicional. Este sutil método permite el acceso no autorizado sin las habituales señales de alarma que alertan a los equipos de seguridad.

Anatomía de un ataque Mango Sandstorm

Los atacantes utilizan cada vez más dispositivos comprometidos para realizar estos inicios de sesión no interactivos. La naturaleza distribuida de las grandes redes de bots permite a los autores de las amenazas llevar a cabo ataques de pulverización de contraseñas de gran volumen, en los que cada dispositivo comprometido desempeña un papel en la comprobación de las credenciales robadas. Esta estrategia minimiza el riesgo de detección y pone a prueba los controles de seguridad tradicionales debido al enorme volumen de intentos de inicio de sesión.

Además, el análisis de la infraestructura revela que las sólidas configuraciones de mando y control -que a menudo aprovechan redes distribuidas por todo el mundo, como los servidores C2 con sede en Estados Unidos- son fundamentales para estas operaciones. Esto aumenta la resistencia operativa de los atacantes y pone de relieve la necesidad de vigilar tanto las vías de autenticación como la infraestructura subyacente que sustenta estos ataques furtivos.

Por qué las protecciones de autenticación tradicionales son insuficientes

Las contraseñas siguen siendo un punto de entrada habitual para los atacantes, pero los mecanismos diseñados para protegerlas pueden ser burlados cuando operan de formas inesperadas. En la actualidad, los agresores se aprovechan de losprocesos de autenticación automatizados y no interactivosutilizados para las cuentas de servicio, con el fin de eludir los controles tradicionales de autenticación multifactor. Este método permite que la actividad maliciosa continúe bajo el radar, incluso en sistemas que parecen seguros.

Para contrarrestar estas vulnerabilidades emergentes, es esencial entender cómo pulverización de contraseñas por qué centrarse únicamente en la protección del inicio de sesión interactivo es insuficiente y qué medidas técnicas pueden proteger todas las facetas de la autenticación de identidad.

Vulnerabilidades de la AMF en entornos no interactivos

Deficiencias en la eficacia del AMF

La autenticación multifactor (MFA) es muy eficaz para proteger los inicios de sesión interactivos, en los que los usuarios introducen activamente sus credenciales y superan pasos de verificación adicionales. Sin embargo, la MFA se queda corta cuando se trata de autenticación no interactiva, de servicio a servicio.

Los protocolos heredados, como la autenticación básica, siguen siendo especialmente vulnerables en este contexto, ya que a menudo no admiten ni activan retos de AMF. Esto crea una brecha importante en entornos que, por lo demás, pueden parecer seguros, permitiendo que los procesos automatizados y las cuentas de servicio funcionen con una supervisión mínima.

Consecuencias de los fichajes olvidados

Los riesgos asociados a los inicios de sesión no interactivos van más allá del mero acceso no autorizado. Una vez que los atacantes consiguen entrar, pueden moverse lateralmente dentro de la red, robar credenciales y mantener una presencia persistente sin ser detectados. Estas brechas suelen pasar desapercibidas porque eluden las alertas tradicionales diseñadas para las sesiones interactivas.

Ejemplos recientes del sector, como el ataque masivo a la red de bots de Microsoft 365, ponen de manifiesto lo inadecuado de confiar únicamente en las medidas preventivas.

Por el contrario, para mitigar estas amenazas en evolución es esencial adoptar un enfoque integral que incluya una sólida supervisión y detección de todas las vías de autenticación.

Reforzar la seguridad de la identidad con un sistema híbrido de detección y respuesta

Enfoque Una sólida estrategia híbrida de detección y respuesta de identidades combina controles preventivos con supervisión proactiva. Mediante la revisión continua de los registros de inicio de sesión no interactivos, la rotación periódica de credenciales y la desactivación de protocolos heredados vulnerables, las organizaciones pueden establecer múltiples capas de defensa. Este enfoque no sólo bloquea los intentos de acceso no autorizados, sino que también garantiza la detección y respuesta en tiempo real a las anomalías, asegurando todas las vías de autenticación.

Superar la brecha de detección con la IA

Los análisis avanzados basados en IA desempeñan un papel fundamental a la hora de detectar irregularidades sutiles que las herramientas de seguridad tradicionales suelen pasar por alto. Nuestro reciente ebook, Cierre las brechas de detección, investigación y respuesta a amenazas de Microsoft con Vectra AIilustra cómo las simulaciones de ataques en el mundo real revelan que los atacantes simplemente inician sesión con credenciales robadas en lugar de "piratear".

Estas simulaciones ponen de relieve los riesgos que plantean los inicios de sesión no interactivos, en los que se producen movimientos laterales, robos de credenciales y violaciones no detectadas. Las conclusiones subrayan que, sin una supervisión continua y sin información sobre amenazas, las organizaciones siguen siendo vulnerables a pesar de la robustez de la AMF para los inicios de sesión interactivos.

Acortando distancias con la plataforma Vectra AI

La plataforma Vectra AI está diseñada para mitigar vulnerabilidades uniendo la detección basada en IA con la caza proactiva de amenazas. Supervisa continuamente los registros de autenticación, detectando anomalías sutiles y activando alertas en tiempo real que permiten a los equipos de seguridad intervenir antes de que se intensifique el movimiento lateral o el uso indebido de credenciales. Incluso los entornos fortificados con MFA para sesiones interactivas pueden quedar expuestos a vulnerabilidades de cuentas de servicio.

Por ejemplo, en un escenario de ataque escenario de ataque Midnight Blizzard-como se ilustra en el siguiente gráfico- Vectradetecta comportamientos maliciosos en cada etapa de la cadena de ataque, desde la pulverización de contraseñas con credenciales comprometidas hasta la escalada de privilegios no autorizada. Vectra también está vigilando de cerca e innovando continuamente para adelantarse a estas técnicas de ataque en evolución en señales no interactivas.

Anatomía de un ataque de Ventisca de Medianoche

Cerrar el círculo de las vulnerabilidades

Los atacantes se aprovechan de los inicios de sesión no interactivos para eludir las defensas convencionales, dejando muchos sistemas vulnerables a pesar de la AMF. Adoptar una estrategia híbrida de detección y respuesta que aproveche los análisis avanzados y la caza proactiva de amenazas es crucial para proteger todos los canales de autenticación.

Descubra cómo la plataforma Vectra Vectra AI puede fortalecer sus defensas. Programe una demostración hoy mismo para obtener más información sobre la protección integral de Vectra AI.

Preguntas frecuentes