AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**La adopción masiva de Passkeys marca el declive del credential stuffing en los ataques de ATO**

### Introducción

Durante años, el secuestro de cuentas (Account Takeover, ATO) ha seguido un patrón predecible: los atacantes adquirían credenciales robadas a gran escala, las procesaban mediante herramientas automatizadas y esperaban coincidencias. Esta técnica —conocida como credential stuffing— era barata, escalable y, para los equipos de defensa, relativamente bien comprendida. Sin embargo, el panorama está experimentando un cambio disruptivo debido a la adopción masiva de passkeys, que complican significativamente la explotación del acceso no autorizado.

### Contexto del Incidente o Vulnerabilidad

El credential stuffing ha sido una de las principales amenazas para organizaciones de todos los tamaños, impulsada por la proliferación de bases de datos filtradas y el uso reiterado de contraseñas por parte de los usuarios. Según el informe “Verizon Data Breach Investigations Report 2023”, el 80% de las brechas relacionadas con hacking involucran de alguna forma credenciales comprometidas. Tradicionalmente, los atacantes utilizaban listas como las de “Collection #1-5” o “RockYou2021”, integrando millones de combinaciones de usuario y contraseña en ataques automatizados contra servicios web y APIs.

La tendencia ha cambiado drásticamente con la llegada y consolidación de los passkeys, una tecnología basada en autenticación asimétrica que elimina la dependencia de contraseñas reutilizables y su exposición en brechas de datos.

### Detalles Técnicos: Pasado y Presente

**Credential Stuffing:**
– **Vectores de ataque:** HTTP(S) POST automatizados, acceso a APIs, scripts personalizados y herramientas como SentryMBA, Snipr o OpenBullet.
– **TTP MITRE ATT&CK:** Técnica T1110.003 (Brute Force: Credential Stuffing).
– **Indicadores de compromiso (IoC):** Picos anómalos en autenticaciones fallidas, direcciones IP asociadas a proxies, patrones de user-agent automatizados y correlación con credenciales filtradas en dark web.
– **Alcance:** Las campañas masivas podían comprometer entre el 0,1% y el 2% de las cuentas objetivo dependiendo de la calidad de las credenciales y los controles anti-bot implementados.

**Passkeys y el nuevo paradigma:**
– **Fundamento técnico:** Basados en el estándar FIDO2/WebAuthn, los passkeys emplean criptografía de clave pública para autenticar usuarios, eliminando la transmisión o almacenamiento de contraseñas.
– **Compatibilidad:** Navegadores como Chrome, Edge y Safari, así como sistemas operativos Windows, macOS, Android e iOS, soportan passkeys de forma nativa en sus últimas versiones.
– **Implicaciones para el atacante:** No existe “contraseña” que robar o reutilizar; los ataques de credential stuffing se vuelven ineficaces, ya que no pueden ser replicados en otros servicios.

### Impacto y Riesgos

La adopción de passkeys representa un golpe significativo para el modelo de negocio de los actores de amenazas especializados en ATO. Las plataformas de venta de credenciales han visto reducir su actividad, y el éxito de los ataques de stuffing ha caído en torno a un 90% en servicios que han implementado passkeys como método principal de autenticación.

Sin embargo, los riesgos no han desaparecido. Los atacantes están pivotando hacia técnicas más sofisticadas: ingeniería social para la captura de tokens de sesión, explotación de vulnerabilidades en la implementación de WebAuthn o ataques a la cadena de suministro de dispositivos de autenticación.

El cumplimiento normativo cobra especial relevancia: la NIS2 obliga a los operadores de servicios esenciales a asegurar la autenticación robusta, y el GDPR impone sanciones severas ante brechas de datos relacionadas con credenciales débiles o mal gestionadas.

### Medidas de Mitigación y Recomendaciones

– **Implementación acelerada de passkeys:** Priorizar la integración de FIDO2/WebAuthn en portales críticos y aplicaciones móviles.
– **Desactivar contraseñas heredadas:** Eliminar los mecanismos de fallback a contraseñas tradicionales siempre que sea posible.
– **Monitorización avanzada:** Fortalecer las capacidades de detección de intentos de bypass de autenticación, como la manipulación de tokens o el ataque a dispositivos de usuario.
– **Concienciación y formación:** Capacitar a usuarios y administradores sobre los riesgos residuales y buenas prácticas en la gestión de autenticadores.
– **Auditoría y pruebas de penetración:** Actualizar los procedimientos de pentesting para incluir escenarios de bypass de passkeys e ingeniería social avanzada.

### Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Mandiant y los equipos de threat intelligence de Recorded Future, coinciden en que “la adopción de passkeys supone el cambio más significativo en autenticación de los últimos 20 años”. Sin embargo, advierten que “la seguridad total no existe; la superficie de ataque se traslada hacia los endpoints y la cadena de confianza de los dispositivos de usuario”. Desde el sector legal, se señala que “la ausencia de un segundo factor robusto puede seguir suponiendo un incumplimiento NIS2 o GDPR en determinados escenarios críticos”.

### Implicaciones para Empresas y Usuarios

Las organizaciones que lideren la transición hacia passkeys estarán mejor posicionadas para resistir las olas de credential stuffing, reducirán su exposición a sanciones regulatorias y mejorarán la experiencia de usuario. Para los usuarios finales, se elimina la fatiga de contraseñas y el riesgo de reutilización, aunque dependerán más de la seguridad de sus dispositivos.

### Conclusiones

La era del credential stuffing masivo está llegando a su fin gracias a la adopción generalizada de passkeys. Si bien nuevos vectores de ataque seguirán surgiendo, el cambio de paradigma en la autenticación representa una oportunidad única para reducir de forma drástica el secuestro de cuentas y reforzar la postura de ciberseguridad de empresas y usuarios. La vigilancia, la actualización tecnológica y la concienciación seguirán siendo claves en este nuevo escenario.

(Fuente: feeds.feedburner.com)