Dark background with blue code overlay
Blog

Seguir el ritmo de los botnets

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

Todo el mundo sabe que, a raíz de la pandemia, los agentes maliciosos y ciberdelincuentes tienen más oportunidades de atacar a empresas de servicios financieros. Durante el año 2020, los estafadores se aprovecharon de la tensión económica provocada por la COVID-19 (la promesa de ayudas económicas y el estrés generado por las adversidades financieras) para arremeter contra personas de todo el mundo a través de ataques de phishing

El asunto se complica si tenemos que seguir el ritmo con la velocidad a la que han evolucionado estos ataques, sobre todo ahora que el phishing se ha convertido en todo un negocio instantáneo. Por ejemplo, los delincuentes, que utilizan un kit que han adquirido en la Dark Web, pueden llegar a utilizar mensajes SMS falsos de instituciones financieras para persuadir a víctimas inofensivas de que compartan sus credenciales. Uno de estos kits, Kr3pto, se ha vinculado a más de 4000 campañas de phishing por SMS, dirigidas a los clientes de los principales bancos de EE. UU. y el Reino Unido.

A su vez, los responsables de estos ataques de phishing intercambian, venden y usan credenciales robadas, lo que, junto con datos robados en filtraciones a gran escala, ha impulsado un crecimiento exponencial en los ataques de Credential Stuffing. Desde el inicio de la pandemia han empezado a circular en varios foros de la Dark Web millones de nuevos nombres de usuario y contraseñas vinculados a incidentes notables. Una vez en circulación, se clasifican y se prueban en grandes instituciones financieras y una amplia gama de empresas de toda la red. Desafortunadamente, el hecho de que muchos usuarios utilicen las mismas credenciales en varias plataformas es una gran ventaja para este método de robo.

El informe del Estado de Internet de Akamai (SOTI) sobre Phishing en servicios financieros en 2021 mostró que el año anterior hubo 193 000 millones de ataques de Credential Stuffing en todo el mundo. En mayo de 2020, hubo dos fechas de especial relevancia: El 9 de mayo, el abuso de credenciales alcanzó un máximo de 786 882 475 ataques en todo el mundo. Cinco días después, el 14 de mayo, el sector de servicios financieros alcanzó su propio récord: 47 698 955 ataques. Los datos sobre Credential Stuffing que aparecieron en nuestro informe SOTI más reciente muestran que el número de ataques se mantuvo estable en 2021, con algunos altos y bajos durante los primeros dos trimestres del año y dos ataques importantes en enero y mayo. En esas fechas, el tráfico de Credential Stuffing superó los mil millones de ataques en un día determinado (ver el siguiente gráfico).

botnet1.png

Los botnets favorecen el desarrollo de ataques de Credential Stuffing a nivel global

Un director jefe de seguridad (CSO) de una empresa de servicios financieros debe tener dos cosas en mente: la seguridad de la información de identificación personal (PII) de los clientes y la disponibilidad de servicios digitales de forma ininterrumpida todos los días del año. Ambos son fundamentales para mantener a los clientes y para cumplir con los requisitos de los organismos reguladores. Los ataques de Credential Stuffing amenazan la seguridad de la información de identificación personal y pueden convertirse en ataques de denegación de servicio distribuido (DDoS), que bloquean la disponibilidad de un sitio.

Le ponemos un ejemplo de un grupo de servicios financieros de la lista Global 500. Un día, su sitio de pensiones, que suele procesar 20 000 intentos de inicio de sesión no válidos al día, empezó a recibir 50 000 intentos de inicio de sesión no válidos cada cinco minutos. Durante el ataque, la infraestructura de la compañía empezó a tener problemas, ya que los usuarios recibían errores de tiempo de espera de sesión o no podían iniciar sesión en sus cuentas. Lo peor era que el mayor temor de los clientes se había hecho realidad: no podían iniciar sesión porque alguien estaba intentando robarles las credenciales. 

A pesar de que los bancos y otras instituciones instan a los clientes a cambiar de contraseña regularmente, mucha gente se resiste a hacerlo. Es más, muchos usan las mismas credenciales de inicio de sesión en varias cuentas online (retail, banca y servicios diversos). Incluso después de que se anuncie una filtración de datos, solo alrededor de un tercio de los usuarios se suele cambiar la contraseña, según un estudio de 2020 publicado por el Instituto de Seguridad y Privacidad (CyLab) de la Universidad Carnegie Mellon. Esta apatía solo da ventaja a los atacantes. Básicamente, dos tercios de las credenciales que roben seguramente les servirán para otros sitios, sobre todo teniendo en cuenta que los delincuentes van a perfeccionar la lista de combinaciones con varias fuentes para generar nuevas contraseñas si las originales no les funcionan. 

Los bancos resultan especialmente atractivos para los ciberdelincuentes que desean robar cuentas. Más de 3400 millones de ataques de los que se produjeron en 2020 se dieron en el sector financiero, lo que supuso un incremento del 45 % respecto al año anterior. En un ataque masivo de Credential Stuffing, una institución financiera recibió 55 141 782 intentos de inicio de sesión maliciosos. Este ataque supuso el mayor pico de abuso de credenciales que ha observado Akamai contra una organización de servicios financieros desde que empezamos a hacer un seguimiento de este tipo de ataques. 

Elegir una solución de gestión de bots para evitar o mitigar ataques

Los botnets automatizados intentan validar cientos de miles de credenciales de usuarios en sitios web de banca. Reutilizan las que funcionan para robar cuentas, solicitar créditos fraudulentos y vaciar el contenido de las cuentas. (A veces pueden ir directamente al tercer paso). Detener estos ataques no es nada sencillo: la información de inicio de sesión es legítima; es el usuario o la herramienta que intenta acceder a la cuenta quien no lo es. 

Como proveedores de seguridad, hemos visto hasta 300 000 intentos fraudulentos de inicio de sesión por hora desde un solo botnet, lo que podría resultar en la pérdida de dinero, privacidad y (en el peor de los casos) la confianza de los consumidores. Según un estudio del Instituto Ponemon, "el coste total asociado al Credential Stuffing, incluidos las pérdidas por fraude, la seguridad operacional, el tiempo de inactividad de las aplicaciones y el abandono de clientes, puede oscilar entre los 6 y los 54 millones de dólares al año".

Para detener los ataques de Credential Stuffing es esencial elegir las herramientas adecuadas. Si bien la mayoría de las soluciones están diseñadas para distinguir a los bots de los agentes legítimos, se deben tener en cuenta dos cuestiones importantes: 

  • La eficacia de la solución para seguir el ritmo de evolución de los botnets 
  • Su eficacia a la hora de garantizar las mínimas molestias a la experiencia de los clientes

¿Cuán sofisticados son los bots y con qué velocidad mutan?

Debido a la abundancia de oportunidades, los ataques de Credential Stuffing son un medio al que recurren algunos de los hackers más experimentados, por lo que se llegan a desarrollar bots muy sofisticados. Por lo tanto, es primordial conocer detalladamente el panorama actual de los bots en su sector y la disponibilidad de tecnologías de detección de bots. La mejor solución será la que pueda detectar los bots más sofisticados con los que seguramente se encontrará. 

Los bots sofisticados pueden mutar. Muchas soluciones de gestión de bots pueden detectar a la mayoría de ellos inicialmente, pero luego dejan de verlos cuando estos empiezan a mutar. Esto ocurre cuando los atacantes se dan cuenta de que usted ha identificado su bot y enseguida dan con una forma de eludir su solución actualizando el software. Entonces, los bots que han mutado pueden evitar que los detecte la solución original y pueden volver a emplearse. Por lo tanto, las soluciones deben ser tanto o más sofisticadas e incorporar tecnologías de detección de bots como el análisis de comportamiento de usuarios, que sigue siendo efectivo aunque los bots muten. 

Otro factor crucial es la capacidad de crear avisos. Al recabar datos concretos sobre bots, características de bots o botnets específicos, se obtiene información rápida y fiable sobre el ataque. Sin unos datos claros, no obtendrá una respuesta óptima. 

Denegar inicios de sesión de bots sin afectar negativamente a los clientes 

A causa de la pandemia, hay más clientes de bancos que realizan transacciones online y a través del móvil que nunca. Los volúmenes de tráfico web de un cliente de servicios financieros de Akamai experimentó un aumento dramático tras el confinamiento de marzo de 2020. Ahora, más de un año y medio después, la banca digital se ha convertido en la nueva norma del sector. Esto significa que es todavía más importante elegir soluciones de seguridad que funcionen de la forma más sencilla posible para no entorpecer la experiencia del cliente. 

Por ejemplo, los controles pesados con captcha tienden a dificultar esta experiencia y generan frustración entre los clientes, lo que hace que empiecen a cambiar de proveedor. (A nadie le gusta sentir que pierde el tiempo buscando todos los pasos de peatones tras fallar en la misma prueba con fotos de aviones). Una solución de autenticación intuitiva (multifactorial) que funcione en un entorno protegido por una herramienta de gestión de bots eficaz sirve para identificar a los usuarios y ahuyentar a los bots maliciosos de forma correcta sin que los primeros tengan que pasar por un proceso más complejo. 

Además, la tecnología avanzada de aprendizaje automático y el análisis de anomalías en el comportamiento utilizados contra estas amenazas más sofisticadas proporcionan una mayor precisión. Cuanto más preciso sea el algoritmo, mejor será el análisis y mayor será su capacidad de evitar problemas de rendimiento y eliminar falsos positivos.

Akamai ofrece más criterios a la hora de seleccionar las herramientas adecuadas para fortalecer su base de seguridad sin interferir en la experiencia de los usuarios. Lograr estos objetivos juntos supondrá una gran ventaja para mantener la confianza y la fidelidad de sus valiosos clientes y atraer a otros nuevos. Los botnets trabajan sin descanso, pero usted los puede vencer.

Obtenga más información acerca de lo que ofrece Akamai a las empresas de servicios financieros.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.