El 68% de las brechas de seguridad implican credenciales, un porcentaje que refleja el papel central que juega la información de autenticación como vector de ataque inicial en los entornos corporativos.
Pueden ser documentos físicos, como diplomas o identificaciones, o versiones digitales que se presentan en aplicaciones.
Lo más preocupante es que muchas de las credenciales expuestas pertenecen a plataformas que forman parte de la vida digital cotidiana de millones de personas y organizaciones.
Gran parte de estos datos fueron robados mediante malware especializado en extraer contraseñas guardadas, cookies y sesiones activas.
Su destino final, como es habitual, fue la Dark Web, donde se comercia con la identidad digital como con cualquier otro bien.
“Precisamente, la Dark Web se consolidó como un mercado global para este tipo de datos, donde además de intercambiar credenciales robadas circulan también herramientas automatizadas basadas en IA, que facilitan a los atacantes su explotación”, indica Iratxe Vazquez, Sr. Product Marketing Manager de Ciberseguridad en WatchGuard.
“Esto afecta directamente tanto a las empresas como a los proveedores de servicios gestionados (MSP), cuyos sistemas se convierten en un objetivo fácil para intentos automatizados de acceso, especialmente si los empleados reutilizan contraseñas o si el acceso remoto no cuenta con mecanismos adicionales de autenticación”, señala.
EL USO NO ES INMEDIATO
Según informa, las credenciales robadas no se utilizan de inmediato, sino que permanecen expuestas durante semanas o incluso meses antes de que alguien intente explotarlas, lo que ofrece a las organizaciones una ventana crítica de tiempo que solo puede aprovecharse si se cuenta con una defensa eficaz estructurada en dos principios basados en la visibilidad y el control de acceso inteligente.
Recomienda disponer de herramientas que alerten si las credenciales de empleados, clientes o sistemas de la organización se publican en la Dark Web.
De modo de poder tomar medidas antes de que las credenciales sean explotadas, en lugar de reaccionar tras una brecha.
En este sentido, la monitorización de credenciales en la Dark Web marca la diferencia, ya que permite detectar, aislar y revocar credenciales de acceso antes de que sean utilizadas por los atacantes.
Este tipo de solución ofrece a las empresas y a los MSP la capacidad de identificar credenciales comprometidas sin intervención manual, analizando en tiempo real grandes volúmenes de datos, no solo de la Dark Web, sino también de campañas de phishing.
Así, las organizaciones pueden aplicar medidas de mitigación de riesgos como solicitar cambios de contraseña, especialmente si las credenciales ya han sido comprometidas y están a la venta en la Dark Web.
CIBERDELINCUENTES HIPERACTIVOS
Los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales y podrían explotarlas para apropiarse de cuentas, robar identidad y realizar ataques de phishing dirigidos.
Una credencial de autenticación es una orden que autoriza el acceso a una red social, correo electrónico u otros sitios web que requieren información personal de un usuario registrado.
El phishing (suplantación de identidad) es un ataque fraudulento desde sitios web engañosos a credenciales de autenticación.
Más de 16.000 millones de contraseñas, cookies y tokens se expusieron en una de las mayores brechas de datos de la historia.
La magnitud del robo, con información procedente de servicios como Google, Apple, Facebook, Amazon y Microsoft, deja una conclusión evidente: las credenciales son el primer paso para comprometer datos críticos.
Además de la monitorización continua en la Dark Web, Vazquez considera fundamental implementar controles de acceso sólidos para impedir que las credenciales se utilicen de forma sencilla para acceder a los sistemas.
La adopción de autenticación multifactor (MFA) y de modelos adaptativos basados en análisis de riesgo en tiempo real permite evitar accesos no autorizados incluso con credenciales comprometidas.
Explica que así se ayuda a las empresas y a los MSP a impedir que los atacantes accedan a los sistemas, aunque las credenciales hayan sido expuestas, al tiempo que refuerza la protección de entornos críticos y proporciona garantías de seguridad continuas.
