Read the rest of the post ' 5 señales de que tu empresa necesita un ciberseguro '
¡Bienvenidos/as lectores! Un mes más volvemos desde estas páginas para traeros un resultado reciente sobre una modalidad de ataque que publicó el investigador Avinash Sudhodanan en su investigación financiada por Microsoft. Hablamos de los ataques de pre-registro de cuentas.
En primer lugar, debemos de entender qué es un ataque de pre-registro de cuenta. Y, para ello, debemos diferenciarlos de los ataques generales a las cuentas. Generalmente, sabemos que un ataque a nuestras cuentas, ya sea para robar información o suplantar la identidad, es un intento de obtención de los datos que componen nuestra identidad en Internet. Una vez que obtienen estos datos, los criminales ya solo tienen que usarlos para acceder a nuestra información más valiosa e intentar obtener una rentabilidad de ello. Este es el motivo por el que se han dedicado tantas páginas y seminarios a la seguridad de las contraseñas, a desplegar mecanismos de doble factor y a concienciar y formar a las personas sobre el uso de gestores de contraseñas y patrones para generar contraseñas fuertes y seguras. Pues bien, ¿y si os dijese que gran parte de todos estos esfuerzos son fútiles ante los ataques de pre-registro? Veamos qué son.
Los ataques de pre-registro son, como su propio nombre indica, ataques que se inician antes siquiera de que tengamos una cuenta en un servicio o página web. Por ejemplo, si un cibercriminal conoce el email de una víctima específica, o simplemente prueba con cualquier email que se haya filtrado en brechas de datos pasadas, puede proceder a revisar en qué servicios y páginas de Internet está dado de alta ese correo electrónico. Esto es trivial empleando herramientas de inteligencia de fuentes abiertas (OSINT) o herramientas que llevan años empleándose como parte de la suite de los cibercriminales y los analistas de seguridad como Sherlock o UserReecon. El objetivo es comprobar en cuáles de los servicios más habituales (y que tengan interés para el criminal) no tiene cuenta el usuario. Por ejemplo, que el usuario tenga las cuentas habituales de Facebook o Instagram, pero no tiene creada cuenta en PayPal o en una plataforma de criptomonedas como Coinbase.
Ya hemos determinado las cuentas que queremos robar de ese usuario, veamos el cómo. El primer paso del cibercriminal será crear cuentas en nombre de ese usuario en los servicios con ese email real que conoce y con una contraseña de su elección. Como seguramente a muchos os habrá pasado, cuando te creas la cuenta, en muchos servicios, te deja acceder ya directamente (no te pide validar el correo electrónico) o puedas, al menos, acceder a cierta funcionalidad básica. Hecho esto, el cibercriminal quiere que el usuario víctima comience a usar el servicio. Para esto, tiene dos formas de hacerlo: puede ser paciente y esperar a que el usuario, motu proprio, decida hacer uso de esos servicios o puede elaborar campañas de correo que le lleguen a ese usuario con “supuestos descuentos” para generar en él la urgencia o necesidad de entrar en estos sitios.
Conseguido esto, el usuario accederá a esos servicios pero, ¡oh sorpresa!, no le dejará crear una cuenta nueva con ese email, que ya está registrado. Éste es el punto crítico. Como usuarios, esto debería ser una señal de alerta clara. Tristemente, lo habitual es que pensemos algo como: “qué raro, me abriría una cuenta para probar en su momento y no me acuerdo”. Con lo que procedemos a la maravillosa opción de “¿Olvidaste tu contraseña?” y, como tenemos el correo electrónico legítimo, cambiamos la contraseña y accedemos. Una vez accedido, empleamos el servicio con normalidad, en nuestro ejemplo: cargamos datos de pago en PayPal y empezamos a comprar en internet o invertimos en criptomonedas con Coinbase.
¿Y cómo consigue el cibercriminal ese acceso a nuestra cuenta? A priori podríamos pensar que hemos cambiado la contraseña y que, por tanto, el cibercriminal se ha quedado fuera de juego. Nada más lejos de la realidad. Este investigador descubrió cinco métodos diferentes para mantener ese acceso a la cuenta activo, incluso después del primer cambio de contraseña del usuario. Básicamente, aprovecha los diferentes fallos de diseño de los sitios web. En definitiva, tanto el cibercriminal como nosotros mantenemos accesos legítimos a esas cuentas. Con esto, en el momento que quiera, el criminal puede modificar la contraseña y dejarnos sin acceso, realizar operativas en nuestro nombre, robarnos fondos, vender nuestros datos de acceso en la Dark Web, etc. Objetivo conseguido para él.
- Y nosotros, ¿qué podemos hacer para protegernos de estos ataques? El primero de ellos es que, ante la más mínima duda, empleemos otra dirección de correo electrónico que la que “supuestamente” ya existía, llegando incluso a crear una cuenta de cero.
- El segundo de los pasos es acostumbrarnos a revisar las sesiones abiertas en estos sitios web. Casi todos ofrecen ya la posibilidad de cerrar sesión en todas las ubicaciones o incluso reportar conexiones que no reconozcamos. Aprendamos a usar estas herramientas.
- El tercer y último mecanismo sería habilitar el doble factor en todos los servicios que lo permitan. Aunque esto no elimina los accesos ya mantenidos previamente legítimos (de ahí que el segundo paso sea más importante), sí nos puede ayudar, en combinación, a evitar que el cibercriminal pueda abrir nuevas sesiones en nuestro nombre desde ubicaciones desconocidas, al no tener acceso a nuestro segundo factor de autenticación.
Espero que el artículo de hoy os haya servido para arrojar algo de luz o incluso descubrir y acercar un poco más este tipo de ataques tan desconocidos aún hoy y que, gracias a ello, estéis un poco mejor preparados para reconocerlos. Permaneced alertas y ¡hasta la próxima!