Anatomía de un ataque Credential Stuffing

¿Qué es el relleno de credenciales?

El relleno de credenciales es un tipo de ciberataque en el que los atacantes utilizan herramientas automatizadas para probar grandes volúmenes de combinaciones de nombres de usuario y contraseñas -a menudo obtenidas de una violación de datos anterior- para obtener acceso no autorizado a cuentas de usuario. Aunque no es el tipo de ataque más sofisticado, el "relleno de credenciales" representa una amenaza importante porque se basa en contraseñas débiles y en la reutilización de contraseñas. Al probar millones de combinaciones de nombre de usuario y contraseña en un corto espacio de tiempo, los atacantes pueden comprometer las credenciales con un esfuerzo mínimo. Aunque el porcentaje de éxito suele ser bajo, el gran volumen de credenciales de usuario disponibles para su comercio en la red oscura hace que esta táctica merezca la pena. A menudo se utiliza en combinación con ataques phishing para hacerse con el control de cuentas y sembrar el caos.

Por qué los atacantes utilizan el relleno de credenciales

Grupos de ransomware como Akira, Medusay Blacksuit utilizan el relleno de credenciales como una forma fácil de obtener acceso y moverse lateralmente a través de la red corporativa. Toman las credenciales obtenidas de una violación de datos y utilizan los mismos nombres de usuario y contraseñas para iniciar sesión en una VPN o aplicación empresarial. El atacante cuenta con que los empleados reutilizarán las mismas credenciales para varios servicios, y utiliza bots para eludir la autenticación multifactor (MFA) y otras herramientas de prevención.

¿Cómo funciona un ataque de relleno de credenciales?

Los ataques de relleno de credenciales son relativamente sencillos. Suelen comenzar cuando el agresor utiliza bots o scripts para automatizar el proceso de intento de inicio de sesión con credenciales robadas. Estas herramientas pueden realizar miles de intentos de inicio de sesión por segundo, lo que permite a los agresores probar de forma eficaz las credenciales en varias plataformas.

Una vez que el inicio de sesión es exitoso, el atacante puede tomar el control de la cuenta comprometida para avanzar a través de la red corporativa. Pueden robar datos confidenciales, interrumpir las operaciones y lanzar nuevos ataques, sin necesidad de ejecutar un exploit.

Cómo contrarrestar los ataques de relleno de credenciales

En el caso de la suplantación de credenciales, la formación sobre seguridad y otras medidas de seguridad preventivas no servirán de mucho: se necesita una forma de detectar los intentos de suplantación en el momento en que se producen. Pero a menudo, la única actividad sospechosa es un aumento repentino de los intentos de inicio de sesión. E incluso entonces, es difícil detener los ataques sin afectar a los usuarios legítimos.

La mejor forma de detener los ataques de relleno de credenciales es mediante una supervisión permanente respaldada por detecciones basadas en IA, como las que proporciona Vectra AI. Por ejemplo, cuando un atacante del mundo real intentó iniciar sesión en el entorno SaaS de Microsoft de una organización global, se activaron varias detecciones de Vectra AI AI, incluido el inicio de sesión sospechoso Entra ID y el uso inusual del motor de secuencias de comandos. Estas detecciones llevaron al equipo MXDR de Vectra a escalar el incidente y detener el ataque antes de que comenzara. 

Vea cómo Vectra MXDR detuvo un ataque de relleno de credenciales

Echa un vistazo a nuestra anatomía de ataque a continuación para ver lo que sucedió cuando un atacante del mundo real intentó infiltrarse en el entorno de un cliente Vectra AI utilizando el relleno de credenciales.