Muchos ataques cibernéticos comienzan cuando los atacantes obtienen acceso a su red. Puede que no sean bienvenidos, pero los ciberdelincuentes no necesitan su permiso para entrar.
Con técnicas como los ataques de enumeración, pueden deslizarse por sus defensas. Usted tiene la responsabilidad de hacérselo difícil, si no imposible. ¿Qué son realmente los ataques de enumeración? ¿Cómo trabajan? ¿Y cómo puedes prevenirlos?
¿Qué son los ataques de enumeración?
Los ataques de enumeraciones son técnicas de piratería que utilizan los atacantes para obtener acceso no autorizado a un sistema al adivinar las credenciales de inicio de sesión de los usuarios. A forma de ataque de fuerza bruta, el hacker prueba varios nombres de usuario y contraseñas hasta obtener las combinaciones correctas.
¿Cómo funcionan los ataques de enumeración?
Un sistema promedio tiene una autenticación o autorización incorporada a la que los usuarios deben someterse para obtener acceso. Esto suele tener la forma de una ventana de inicio de sesión para los usuarios existentes, una ventana de registro para que los nuevos usuarios se registren y una pestaña "Olvidé mi contraseña" para los usuarios existentes que pueden haber olvidado sus contraseñas.
El hacker aprovecha las características antes mencionadas para lanzar ataques de enumeración de las siguientes maneras.
1. Adivinando nombres de usuario existentes con fuerza bruta
La primera etapa de un ataque de enumeración hace que el pirata informático ingrese las credenciales de inicio de sesión para obtener comentarios del sistema. Por ejemplo, digamos Nombre de usuario A existe en la base de datos de su aplicación web. Si el atacante la ingresa junto con una contraseña, recibirá una notificación de que la contraseña que ingresó es correcta pero la contraseña no lo es. Y si Nombre de usuario A no está en su base de datos, recibirán una notificación de que ni el nombre de usuario ni la contraseña existen.
El atacante tiene como objetivo obtener tantos nombres de usuario válidos como sea posible. Por cada nombre de usuario inválido que obtienen, prueban varias variaciones del nombre de usuario con fuerza bruta.
Dado que los usuarios de la web normalmente crean nombres de usuario con los que las personas están familiarizadas o pueden relacionarse, de las muchas variaciones de nombre de usuario que el atacante ingresa al sistema, algunas serán válidas.
2. Emparejamiento de nombres de usuario existentes con posibles contraseñas
Adivinar el nombre de usuario correctamente es solo la mitad del trabajo. Para acceder a su sistema, los atacantes también deben proporcionar la contraseña correcta del nombre de usuario. Usan la fuerza bruta para generar varias variaciones de contraseña, con la esperanza de encontrar una coincidencia para cada nombre de usuario.
3. Uso de Credential Stuffing para encontrar nombres de usuario y contraseñas válidos
Atacantes aprovechar el relleno de credenciales para ejecutar ataques de enumeraciones haciendo uso de los pares de nombre de usuario y contraseña que robaron de otras redes para acceder a su red.
Usar el mismo nombre de usuario y contraseña en más de una aplicación web no es saludable y puede exponerlo a múltiples ataques. Si sus credenciales de inicio de sesión caen en las manos equivocadas, todo lo que tienen que hacer es probarlas en otras aplicaciones web que utilice.
Si bien todas las credenciales de inicio de sesión que un atacante recupera de otros sitios web pueden no ser válidas, algunas resultan ser válidas, especialmente porque algunas personas repiten el mismo nombre de usuario y contraseña.
4. Uso de ingeniería social para recopilar credenciales de inicio de sesión completas
Un pirata informático determinado puede aprovechar la ingeniería social para ejecutar un ataque de enumeración. ¿Cómo? Después de usar la fuerza bruta para obtener nombres de usuario válidos en una aplicación web, si fallan otros esfuerzos para obtener las contraseñas correctas para esos nombres de usuario, es posible que recurrir a la ingeniería social para obtener las contraseñas directamente de los usuarios.
Con nombres de usuario válidos a mano, el pirata informático podría enviar mensajes maliciosos a los usuarios por correo electrónico o mensajes de texto, haciéndose pasar por los operadores de la plataforma. Podrían engañar a los usuarios para que proporcionen sus contraseñas por sí mismos. Dichos mensajes pueden parecer legítimos para las víctimas desprevenidas porque el ciberdelincuente ya tiene sus nombres de usuario correctos.
¿Cómo se pueden prevenir los ataques de enumeración?
Los ataques de enumeración prosperan con la respuesta que reciben de las aplicaciones web cuando los usuarios intentan iniciar sesión. Si elimina esa información de la ecuación, son más difíciles de ejecutar, ya que los ciberdelincuentes tendrán poca o ninguna información con la que trabajar. Entonces, ¿cómo puede prevenir estos ataques o reducir su ocurrencia al mínimo?
1. Evite los comentarios de inicio de sesión con la autenticación de múltiples factores
Todo lo que un atacante debe hacer para conocer la validez de un nombre de usuario en una aplicación web es ingresar casi cualquier nombre de usuario, y el servidor les dará la información que necesitan. Puede evitar que tengan esa información fácilmente al implementar la autenticación multifactor.
Cuando un usuario, o un atacante en este caso, ingresa sus credenciales de inicio de sesión para acceder a su aplicación, pídales que verifiquen su identidad de varias maneras, como proporcionar contraseñas de un solo uso (OTP), códigos de correo electrónico o mediante aplicaciones de autenticación.
2. Reduzca los intentos de inicio de sesión con CAPTCHA
Los ciberdelincuentes tienen la libertad de lanzar ataques de enumeración cuando tienen intentos de inicio de sesión ilimitados. Es raro que adivinen los pares correctos de nombre de usuario y contraseña con solo unos pocos intentos de inicio de sesión.
Implemente CAPTCHA para ralentizarlos y frustrar sus esfuerzos. Dado que no pueden omitir CAPTCHA automáticamente, lo más probable es que se sientan frustrados al verificar que son humanos después de algunos intentos.
3. Adopte la limitación de velocidad para bloquear inicios de sesión múltiples
Los actores de enumeración prosperan con los múltiples intentos de inicio de sesión disponibles en las aplicaciones web. Podrían adivinar los nombres de usuario y las contraseñas todo el día hasta que encuentren una coincidencia.
Si tiene un límite de velocidad en su red, solo pueden intentar iniciar sesión una cantidad específica de veces. Si no tienen éxito en esos intentos, su red bloqueará sus direcciones IP o nombres de usuario.
La desventaja de la limitación de velocidad es que afecta a los usuarios legítimos que realmente no recuerdan sus credenciales de inicio de sesión. Puede mitigar esto proporcionando alternativas para que dichos usuarios recuperen el acceso.
4. Instalar un cortafuegos de aplicaciones web
Un firewall de aplicaciones web es una herramienta que bloquea múltiples intentos de inicio de sesión de direcciones IP maliciosas o sospechosas. Funciona con un conjunto de estándares de seguridad para examinar el tráfico a sus servidores de red, cumpliendo con los requisitos de seguridad HTTPS y SSL descritos.
Con un firewall de aplicaciones web en su lugar, los actores de enumeración no tienen el lujo de tiempo para piratear su sistema.
Proteja sus credenciales de inicio de sesión para evitar ataques de enumeración
Los ataques de enumeración plantean preocupaciones sobre el acceso y la usabilidad de la red. Le gustaría que los usuarios de su red pudieran obtener acceso sin problemas. Pero al hacerlo, debe tomar medidas que no expongan su red a amenazas y ataques cibernéticos.
No se dispare en el pie ayudando a los ciberagresores con sus credenciales de inicio de sesión en la red. Convierta en un deber ocultar dicha información tanto como pueda. Si no lo saben, estarán en la oscuridad donde merecen estar.
