NUEVA YORK - La fiscal general de Nueva York, Letitia James, anunció hoy los resultados de una investigación radical sobre el "relleno de credenciales" que descubrió más de 1.1 millón de cuentas en línea comprometidas en ataques cibernéticos en 17 compañías conocidas.El Fiscal General James lanzó una "Guía de negocios para ataques de relleno de credenciales" que detalla los ataques, que implican intentos repetidos y automatizados de acceder a cuentas en línea utilizando nombres de usuario y contraseñas robadas de otros servicios en línea, y cómo los negocios pueden protegerse a sí mismos.El relleno de credenciales se ha convertido rápidamente en uno de los principales vectores de ataque en línea.Prácticamente todos los sitios web y la aplicación usan contraseñas como un medio para autenticar a sus usuarios.Desafortunadamente, los usuarios tienden a reutilizar las mismas contraseñas en múltiples servicios en línea.Esto permite que los cibercriminales usen contraseñas robadas de una compañía para otras cuentas en línea.Después del descubrimiento de los ataques, la Oficina del Fiscal General (OAG) alertó a las compañías relevantes para que las contraseñas pudieran restablecerse y los consumidores pudieran ser notificados.Las lecciones de acciones de la Guía de hoy aprendidas en el transcurso de la investigación del OAG, incluida la orientación concreta sobre los pasos que las empresas pueden tomar para proteger mejor contra los ataques de relleno de credenciales.
"En este momento, se distribuyen más de 15 mil millones de credenciales robadas a través de Internet, a medida que la información personal de los usuarios se pone en peligro", dijo el fiscal general James."Las empresas tienen la responsabilidad de tomar las medidas apropiadas para proteger las cuentas en línea de sus clientes y esta guía establece salvaguardas críticas que las empresas pueden usar en la lucha contra el relleno de credenciales.Debemos hacer todo lo posible para proteger la información personal de los consumidores y su privacidad.."
¿Qué es el relleno de credenciales?
El relleno de credenciales es un tipo de ataque cibernético que implica intentos de iniciar sesión en cuentas en línea utilizando nombre de usuario y contraseñas robadas de otros servicios en línea no relacionados.Se basa en la práctica generalizada de reutilizar las contraseñas, ya que es probable que sea, una contraseña utilizada en un sitio web también se utilizó en otro.
En un ataque de relleno de credenciales típico, un atacante puede enviar cientos de miles, o incluso millones, de intentos de inicio de sesión utilizando software automatizado y listas de credenciales de credenciales robadas descargadas de la web oscura o foros de piratería.Aunque solo un pequeño porcentaje de estos intentos tendrá éxito, a través del gran volumen de intentos de inicio de sesión, un solo ataque puede producir miles de cuentas comprometidas.
Un atacante que gana acceso a una cuenta puede usarlo de cualquier cantidad de maneras.El atacante puede, por ejemplo, ver la información personal asociada con la cuenta, incluido un nombre, una dirección y compras anteriores, y usar esta información en un ataque de phishing.Si la cuenta tiene una tarjeta de crédito almacenada o una tarjeta de regalo, el atacante puede realizar compras fraudulentas.O el atacante simplemente podría vender las credenciales de inicio de sesión a otro individuo en la web oscura.
El relleno de credenciales es una de las formas más comunes de ciberataque.El operador de una red de entrega de contenido grande informó que fue testigo de más de 193 mil millones de ataques de este tipo solo en 2020.
La investigación del OAG
A la luz de la creciente amenaza del relleno de credenciales, el OAG lanzó una investigación para identificar empresas y consumidores afectados por este vector de ataque.Durante un período de varios meses, el OAG monitoreó varias comunidades en línea dedicadas al relleno de credenciales.El OAG encontró miles de publicaciones que contenían credenciales de inicio de sesión del cliente que los atacantes habían probado en un ataque de relleno de credencial y confirmado que podrían usarse para acceder a las cuentas de los clientes en los sitios web o en las aplicaciones.De estas publicaciones, el OAG compiló credenciales a cuentas comprometidas en 17 minoristas en línea, cadenas de restaurantes y servicios de entrega de alimentos conocidos.En total, el OAG recolectó credenciales por más de 1.1 millón de cuentas de clientes, todas las cuales parecían haber sido comprometidas en ataques de relleno de credenciales.
El OAG alertó a cada una de las 17 compañías sobre las cuentas comprometidas e instó a las compañías a investigar y tomar medidas inmediatas para proteger a los clientes impactados.Cada compañía lo hizo.Las investigaciones de las compañías revelaron que la mayoría de los ataques no habían sido detectados previamente.
El OAG también trabajó con las compañías para determinar cómo los atacantes habían evitado las salvaguardas existentes y proporcionaron recomendaciones para fortalecer sus programas de seguridad de datos para asegurar mejor las cuentas de los clientes en el futuro..En el transcurso de la investigación del OAG, casi todas las empresas implementadas o hicieron planes para implementar, salvaguardas adicionales.
Las recomendaciones del OAG
Los ataques de relleno de credenciales se han vuelto tan frecuentes que son, para la mayoría de las empresas, inevitables.Por lo tanto, cada empresa que mantiene las cuentas de clientes en línea debe tener un programa de seguridad de datos que incluya salvaguardas efectivas para proteger a los clientes de los ataques de relleno de credenciales.Las salvaguardas deben implementarse en cada una de las cuatro áreas:
- Defending against credential stuffing attacks,
- Detecting a credential stuffing breach,
- Preventing fraud and misuse of customer information, and
- Responding to a credential stuffing incident.
La Guía del Fiscal General James presenta salvaguardas específicas que han encontrado que son efectivas en cada una de estas áreas..Algunos aspectos destacados de la guía incluyen lo siguiente:
Este asunto fue manejado por el asesor principal de la aplicación Jordan Adler, la Fiscal General Asistente Hanna Baek, el analista de Internet y la tecnología Joe Graham, y el asistente legal Richard Borgia, toda la Oficina de Internet y Tecnología, bajo la supervisión del Jefe Adjunto de la Oficina Clark Russell y la Oficina y la Oficina.Jefe Kim Berger.La Oficina de Internet y Tecnología es parte de la División de Justicia Económica, que es supervisada por el Fiscal General Jefe Chris D'Angelo y supervisado por la primera adjunta Jennifer Levy.