por Contenidos
Muchos ataques cibernéticos comienzan cuando los atacantes obtienen acceso a su red. Puede que no sean bienvenidos, pero los ciberdelincuentes no necesitan su permiso para entrar.
Con técnicas como los ataques de enumeración, pueden traspasar sus defensas. Depende de usted hacer las cosas difíciles, si no imposibles para ellos. ¿Qué son realmente los ataques de enumeración? ¿Cómo trabajan? ¿Y cómo puedes prevenirlos?
¿Qué son los ataques de enumeración?
Los ataques de enumeración son técnicas de piratería utilizadas por los atacantes para obtener acceso no autorizado a un sistema adivinando las credenciales de inicio de sesión de los usuarios. Una forma de ataque de fuerza bruta, el pirata informático prueba varios nombres de usuario y contraseñas hasta que obtiene las combinaciones correctas.
¿Cómo funcionan los ataques de enumeración?
Un sistema promedio tiene autenticación o autorización incorporada por la que los usuarios deben pasar para obtener acceso. Esto suele tener la forma de una ventana de inicio de sesión para los usuarios existentes, una ventana de registro para el registro de nuevos usuarios y una pestaña “Olvidé mi contraseña” para los usuarios existentes que pueden haber olvidado su contraseña.
El hacker aprovecha las características anteriores para lanzar ataques de enumeración de las siguientes maneras.
1. Adivinar nombres de usuario existentes por fuerza bruta
La primera etapa de un ataque de enumeración requiere que el atacante ingrese las credenciales de inicio de sesión para obtener comentarios del sistema. Por ejemplo, digamos Nombre de usuario A existe en la base de datos de su aplicación web. Si el atacante la ingresa junto con una contraseña, recibirá una notificación de que la contraseña ingresada es correcta pero la contraseña no lo es. Y si Nombre de usuario A no se encuentra en su base de datos, se le notificará que ni el usuario ni la contraseña existen.
El atacante tiene como objetivo obtener tantos nombres de usuario válidos como sea posible. Por cada nombre de usuario no válido que obtienen, prueban varias variantes del nombre de usuario por fuerza bruta.
Dado que los usuarios de la web suelen crear nombres de usuario con los que las personas están familiarizadas o pueden identificarse, de las muchas variaciones de nombre de usuario que el atacante ingresa al sistema, algunas serán válidas.
2. Asigne nombres de usuario existentes a posibles contraseñas
Adivinar el nombre de usuario correctamente es solo la mitad del trabajo. Para acceder a su sistema, los atacantes también deben proporcionar la contraseña correcta del nombre de usuario. Utilizan la fuerza bruta para generar diferentes variaciones de contraseñas, con la esperanza de encontrar una coincidencia para cada nombre de usuario.
3. Usar Credential Stuffing para encontrar nombres de usuario y contraseñas válidos
Los atacantes aprovechan el relleno de credenciales para realizar ataques de enumeración utilizando los pares de nombre de usuario y contraseña que robaron de otras redes para obtener acceso a su red.
Usar el mismo nombre de usuario y contraseña en más de una aplicación web no es saludable y puede exponerlo a múltiples ataques. Si sus credenciales de inicio de sesión caen en las manos equivocadas, todo lo que tienen que hacer es probarlas en otras aplicaciones web que utilice.
Si bien todas las credenciales de inicio de sesión que un atacante recupera de otros sitios web pueden no ser válidas, algunas resultan ser válidas, especialmente porque algunas personas repiten el mismo nombre de usuario y contraseña.
4. Uso de ingeniería social para recopilar credenciales de inicio de sesión completas
Un pirata informático determinado puede utilizar la ingeniería social para realizar un ataque de enumeración. ¿Como? Después de usar la fuerza bruta para obtener nombres de usuario válidos en una aplicación web, si fallan otros esfuerzos para obtener las contraseñas correctas para esos nombres de usuario, pueden recurrir a la ingeniería social para obtener las contraseñas directamente de los usuarios.
Con nombres de usuario válidos a mano, el pirata informático podría enviar mensajes maliciosos a los usuarios por correo electrónico o mensajes de texto, haciéndose pasar por operadores de la plataforma. Pueden engañar a los usuarios para que proporcionen sus contraseñas ellos mismos. Dichos mensajes pueden parecer legítimos para las víctimas desprevenidas porque el ciberdelincuente ya tiene sus nombres de usuario correctos.
¿Cómo se pueden prevenir los ataques de enumeración?
Los ataques de enumeración prosperan con la respuesta que reciben de las aplicaciones web cuando los usuarios intentan iniciar sesión. Si elimina esa información de la ecuación, son más difíciles de ejecutar, ya que los ciberdelincuentes tendrán poca o ninguna información con la que trabajar. Entonces, ¿cómo puede prevenir estos ataques o reducir su ocurrencia al mínimo?
1. Evite los comentarios de inicio de sesión con la autenticación multifactor
Todo lo que un atacante debe hacer para conocer la validez de un nombre de usuario en una aplicación web es ingresar cualquier nombre de usuario y el servidor les dará la información que necesitan. Puede evitar fácilmente que tengan esa información implementando la autenticación de múltiples factores.
Cuando un usuario, o un atacante en este caso, ingresa sus credenciales de inicio de sesión para acceder a su aplicación, pídale que verifique su identidad de varias maneras, como proporcionar contraseñas de un solo uso (OTP), códigos de correo electrónico o usar una aplicación de autenticación.
2. Reduzca los intentos de inicio de sesión con CAPTCHA
Los ciberdelincuentes tienen la libertad de lanzar ataques de enumeración cuando tienen intentos de inicio de sesión ilimitados. Rara vez adivinan los pares correctos de nombre de usuario y contraseña con solo unos pocos intentos de inicio de sesión.
Implemente CAPTCHA para ralentizarlos y obstaculizar sus esfuerzos. Dado que no pueden omitir automáticamente los CAPTCHA, lo más probable es que se sientan frustrados al verificar que son humanos después de algunos intentos.
3. Adopte la limitación de velocidad para bloquear más inicios de sesión
Los actores de enumeración prosperan con los múltiples intentos de inicio de sesión disponibles en las aplicaciones web. Podrían estar adivinando nombres de usuario y contraseñas todo el día hasta que encuentren una coincidencia.
Si tiene un límite de velocidad en su red, solo pueden intentar iniciar sesión una cantidad específica de veces. Si no tienen éxito en estos intentos, su red bloqueará sus direcciones IP o nombres de usuario.
La desventaja de la limitación de velocidad es que afecta a los usuarios legítimos que en realidad no recuerdan sus credenciales de inicio de sesión. Puede mitigar esto proporcionando alternativas para permitir que esos usuarios recuperen el acceso.
4. Instale un cortafuegos de aplicaciones web
Un firewall de aplicaciones web es una herramienta que bloquea múltiples intentos de inicio de sesión de direcciones IP maliciosas o sospechosas. Funciona con un conjunto de estándares de seguridad para examinar el tráfico a los servidores de red, cumpliendo con los requisitos de seguridad HTTPS y SSL descritos.
Con un firewall de aplicaciones web en su lugar, los actores de enumeración no tienen el lujo de tiempo para piratear su sistema.
Proteja sus credenciales de inicio de sesión para evitar ataques de enumeración
Los ataques de enumeración plantean preocupaciones sobre el acceso y la usabilidad de la red. Le gustaría que los usuarios de su red pudieran acceder sin problemas. Pero al hacerlo, debe tomar medidas que no expongan su red a amenazas y ataques cibernéticos.
No se dispare en el pie ayudando a los ciberdelincuentes con sus credenciales de inicio de sesión en la red. Convierta en un deber ocultar dicha información tanto como sea posible. Si no lo saben, no tendrán ni idea de dónde merecen estar.
