El dumping de credenciales se produce cuando un actor de amenazas roba tus credenciales, como tu contraseña, para realizar diversas actividades maliciosas, incluido el ransomware. A menudo se confunde con el «relleno de credenciales», un tipo de ciberataque que «rellena» credenciales robadas en múltiples sitios web. Básicamente, el relleno de credenciales consiste en esperar a que «suene la flauta», mientras que el vertido de credenciales aprovecha las vulnerabilidades de tu memoria RAM para robar y copiar tus credenciales. Una vez que se accede a tus credenciales, se dice que estos datos han sido «volcados».
En cualquier caso, ambas amenazas requieren una sólida estrategia de gestión de credenciales en tu organización.
¿Cómo funciona el dumping de credenciales?
Normalmente, los ciberdelincuentes piratean la memoria RAM del dispositivo (y no la ROM) y buscan cualquier credencial que puedan encontrar, como nombres de usuario y contraseñas. Una vez que los actores maliciosos reciben tus credenciales, intentan acceder a sus cuentas o infectar otros dispositivos conectados a la misma red (esta es una estrategia común de «preparación» para un ataque de ransomware como servicio en toda la empresa, por ejemplo).
Como tal, el robo de credenciales rara vez es una amenaza puntual y suele preceder a un ciberataque mucho más completo y con múltiples frentes. Por ejemplo, el «volcado» podría ser el primer intento de acceder al Security Account Manager (SAM) de tu dispositivo, que contiene una lista de hashes de contraseñas utilizadas para iniciar sesión en tus dispositivos. En ese momento, los ciberdelincuentes pueden utilizar las credenciales con hash robadas para obtener acceso autorizado a otros ordenadores de la misma red (lo que se conoce como ataque Pass the Hash (PtH)).
¿Por qué es tan peligroso el dumping de credenciales?
Podría decirse que la mayoría de las violaciones de datos comienzan con el dumping de credenciales. Esta es una preocupación significativa, principalmente porque los expertos han encontrado un aumento del 78% en los compromisos de datos informados públicamente en 2023 en comparación con 2022 (2023 Data Breach Report, Identity Theft Resource Center). Se espera que esta cifra aumente en los próximos años, costando a las empresas millones de dólares en pérdida de productividad. Veamos algunas cifras:
- El coste global de las filtraciones de datos en 2023 fue de 4,45 millones de dólares, un aumento del 15% en tres años (Informe sobre el coste de las filtraciones de datos, IBM).
- 6,41 millones de registros de datos se filtraron en todo el mundo solo en el primer trimestre de 2023 (Statista).
- La media de días para identificar una violación de datos es de 204, y el tiempo medio que se tarda en contener estas violaciones es de 73 días (Statistica).
- Hubo un aumento del 71% en los ciberataques causados por el robo de credenciales y la explotación de identidades (IBM).
¿A qué puede conducir el dumping de credenciales?
El dumpling de credenciales puede ser el trampolín para ciberataques mucho más peligrosos, entre ellos:
Pass the Hash (PtH)
Los hackers roban credenciales de usuario con hash (un tipo de criptografía) y las reutilizan para crear una nueva sesión de usuario en la misma red. En lugar de descifrar la credencial, los ataques PtH utilizan contraseñas almacenadas y cifradas para iniciar una nueva sesión.
Pass the Ticket (PtT)
Los ataques PtT roban tu ticket de autenticación dentro de tu dominio de Windows para hacerse pasar por ti y obtener acceso no autorizado a tu red informática. Mientras que PtH y PtT son ataques basados en autenticación, PtT abusa de los tickets Kerberos mediante robo y es más específico de entornos de dominio Windows.
Reducir el riesgo de dumping de credenciales
Hay muchas formas de reducir el riesgo de dumping de credenciales. Algunas formas de mitigar el riesgo son, entre otras:
- Revisar y actualizar los algoritmos débiles o anticuados utilizados en el cifrado SSL/TLS.
- Mantener contraseñas seguras para cada aplicación o software (evita usar la misma contraseña para todo).
- Limitar el número de cuentas con derechos de administrador.
- Implementar la autenticación multifactor o 2FA en todas las cuentas.
- Impartir formación periódica sobre ciberseguridad a todos los miembros del equipo de tu organización.
- Diseñar estrategias de protección de contraseñas en PowerShell, como requerir una contraseña al salir del modo suspensión o configurar la caducidad de la contraseña.
- Instalar un firewall.
- Mantener tu red informática en buen estado con un sólido sistema de gestión de parches.
Defiéndete contra el dumping de credenciales
El dumping de credenciales seguirá siendo una amenaza importante, sobre todo a medida que más personas utilicen diversos dispositivos para almacenar su información personal o sensible. Aunque no es posiblw eliminar el riesgo de que te roben las credenciales, puedes reducirlo dificultando al máximo el acceso de los hackers.