Los piratas informáticos son una gran amenaza tanto para las empresas como para las personas. Se supone que la autenticación los mantiene fuera de las áreas seguras, pero no siempre funciona.
Los ciberdelincuentes tienen una variedad de trucos que pueden usarse para hacerse pasar por usuarios legítimos. Esto les permite acceder a información privada que se supone que no deben. Esto puede ser usado o vendido.
Los piratas informáticos a menudo pueden acceder a áreas seguras debido a vulnerabilidades de autenticación rotas. Entonces, ¿cuáles son estas vulnerabilidades y cómo puede prevenirlas?
¿Qué son las vulnerabilidades de autenticación rota?
Una vulnerabilidad de autenticación rota es cualquier vulnerabilidad que permite a un atacante hacerse pasar por un usuario legítimo.
Un usuario legítimo normalmente inicia sesión con una contraseña o una ID de sesión. Una ID de sesión es algo en la computadora del usuario que indica que ha iniciado sesión previamente. Cada vez que navega por Internet y no se le pide que inicie sesión en una de sus cuentas, es porque el proveedor de la cuenta ha encontrado su ID de sesión.
La mayoría de las vulnerabilidades de autenticación rotas son problemas con la forma en que se manejan las ID de sesión o las contraseñas. Para evitar ataques, debe ver cómo un pirata informático podría utilizar uno de estos elementos y luego modificar el sistema para que hacerlo sea lo más difícil posible.
¿Cómo se obtienen los ID de sesión?
Dependiendo de cómo esté diseñado un sistema, los ID de sesión se pueden obtener de varias maneras diferentes. Una vez que se acepta la identificación de la sesión, el pirata informático puede acceder a cualquier parte del sistema a la que pueda acceder un usuario legítimo.
Secuestro de sesión
Secuestro de sesión es el acto de robar una ID de sesión. Esto a menudo se debe a que el usuario comete un error y hace que su ID de sesión esté disponible para otra persona.
Si el usuario está usando Wi-Fi no seguro, los datos que van y vienen de su computadora no estarán encriptados. Entonces, un pirata informático puede interceptar la identificación de la sesión cuando se envía desde el sistema al usuario.
Una opción mucho más fácil es si el usuario usa una computadora pública y se olvida de cerrar la sesión. En este escenario, la identificación de la sesión permanece en la computadora y cualquier persona puede acceder a ella.
Reescritura de URL de ID de sesión
Algunos sistemas están diseñados de tal manera que las ID de sesión se almacenan en una URL. Después de iniciar sesión en dicho sistema, se dirige al usuario a una URL única. El usuario puede entonces acceder de nuevo al sistema visitando la misma página.
Esto es problemático porque cualquiera que obtenga acceso a la URL específica de un usuario puede hacerse pasar por ese usuario. Esto puede ocurrir si un usuario está usando Wi-Fi no seguro o si comparte su URL única con otra persona. Las URL a menudo se comparten en línea y no es raro que los usuarios compartan ID de sesión sin saberlo.
¿Cómo se obtienen las contraseñas?
Las contraseñas se pueden robar o adivinar de diferentes maneras, con o sin la ayuda del usuario. Muchas de estas técnicas se pueden automatizar, lo que permite a los hackers intentar descifrar miles de contraseñas en una sola acción.
Pulverización de contraseñas
El rociado de contraseñas implica probar contraseñas débiles a granel. Muchos sistemas están diseñados para bloquear a los usuarios después de varios intentos incorrectos.
El rociado de contraseñas soluciona este problema al intentar contraseñas débiles en cientos de cuentas en lugar de intentar apuntar a una cuenta individual. Esto permite que el atacante intente obtener contraseñas de forma masiva sin alertar al sistema.
Relleno de Credenciales
El relleno de credenciales es el acto de usar contraseñas robadas para intentar acceder a cuentas privadas de forma masiva. Las contraseñas robadas están ampliamente disponibles en línea. Cada vez que se piratea un sitio web, los detalles del usuario pueden ser robados y, a menudo, el pirata informático los revende.
El relleno de credenciales implica comprar estos datos de usuario y luego probarlos en sitios web de forma masiva. Debido a que las contraseñas a menudo se reutilizan, a menudo se puede usar un solo par de nombre de usuario y contraseña para iniciar sesión en varias cuentas.
Suplantación de identidad
Un correo electrónico de phishing es un correo electrónico que parece ser legítimo pero que en realidad está diseñado para robar las contraseñas de las personas y otros detalles privados. En un correo electrónico de phishing, se le pide al usuario que visite una página web e inicie sesión en una cuenta de su propiedad. La página web provista, sin embargo, es maliciosa y cualquier información ingresada es robada inmediatamente.
Cómo mejorar la gestión de sesiones
La capacidad de un pirata informático de hacerse pasar por un usuario utilizando ID de sesión depende de cómo esté diseñado el sistema.
No almacene ID de sesión en URL
Los ID de sesión nunca deben almacenarse en direcciones URL. Las cookies son ideales para los ID de sesión y son mucho más difíciles de acceder para un atacante.
Implementar cierres de sesión automáticos
Los usuarios deben cerrar la sesión de sus cuentas después de una cierta cantidad de inactividad. Una vez implementada, una ID de sesión robada ya no se puede usar.
Rotar ID de sesión
Los ID de sesión deben reemplazarse regularmente, incluso sin que el usuario tenga que cerrar la sesión. Esto actúa como una alternativa a los cierres de sesión automáticos y evita un escenario en el que un atacante pueda usar una ID de sesión robada durante el mismo tiempo que el usuario.
Cómo mejorar las políticas de contraseña
Todas las áreas privadas deben requieren contraseñas seguras y se debe pedir a los usuarios que proporcionen autenticación adicional.
Implementar reglas de contraseña
Cualquier sistema que acepte contraseñas debe incluir reglas sobre qué contraseñas se aceptan. Se debe solicitar a los usuarios que proporcionen una contraseña de una longitud mínima y una combinación de caracteres.
Hacer que la autenticación de dos factores sea obligatoria
Las contraseñas se roban fácilmente y la mejor manera de evitar que los piratas informáticos las utilicen es implementar la autenticación de dos factores. Esto requiere que un usuario no solo ingrese su contraseña, sino que también proporcione otra información, generalmente almacenada solo en su dispositivo.
Una vez implementado, un pirata informático no podrá acceder a la cuenta, incluso si conoce la contraseña.
Las vulnerabilidades de autenticación rota son una amenaza importante
Las vulnerabilidades de autenticación rotas son un problema importante en cualquier sistema que almacene información privada. Permiten a los piratas hacerse pasar por usuarios legítimos y acceder a cualquier área que esté disponible para ellos.
La autenticación rota generalmente se refiere a problemas con la forma en que se administran las sesiones o cómo se usan las contraseñas. Al comprender cómo los piratas informáticos pueden intentar acceder a un sistema, es posible hacerlo lo más difícil posible.
Los sistemas deben diseñarse de modo que las ID de sesión no sean fácilmente accesibles y no funcionen más de lo necesario. Tampoco se debe confiar en las contraseñas como el único medio de autenticación del usuario.