AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Aumentan los ataques basados en identidad: el 83% implica el uso de credenciales comprometidas**

admin

### Introducción

El ecosistema de la ciberseguridad está siendo testigo de una creciente sofisticación en las técnicas empleadas por los atacantes. En este contexto, los ataques basados en la identidad han experimentado un auge significativo, consolidándose como una de las principales amenazas para las organizaciones de todos los sectores. Según los últimos informes del sector, como el *Verizon Data Breach Investigations Report* (DBIR), se observa que el 83% de los ciberataques incluyen el uso de credenciales comprometidas o secretos robados, una cifra que pone de manifiesto la gravedad de este vector de ataque.

### Contexto del Incidente o Vulnerabilidad

El incremento de las amenazas relacionadas con la identidad está directamente vinculado a la digitalización masiva de los procesos empresariales y la proliferación de servicios en la nube. Los actores maliciosos han adaptado sus tácticas para explotar las debilidades inherentes a la gestión de identidades, como la reutilización de contraseñas, la falta de autenticación multifactor (MFA) y la exposición accidental de tokens de acceso, secretos API o llaves SSH en repositorios públicos.

El uso de credenciales robadas permite a los atacantes eludir las defensas perimetrales tradicionales, accediendo directamente a los activos más críticos de la organización. Este tipo de ataque, conocido como *identity-based attack*, no solo se limita al acceso inicial, sino que también facilita el movimiento lateral y la persistencia dentro de la red corporativa.

### Detalles Técnicos

#### CVEs y Vectores de Ataque

Entre los vectores más habituales se encuentran la explotación de vulnerabilidades como:

– **CVE-2023-23397**: Vulnerabilidad en Microsoft Outlook que permite el robo de hashes NTLM mediante mensajes especialmente diseñados.
– **CVE-2023-28252**: Falla en el componente CommonLog de Microsoft Windows usada para la escalada de privilegios tras el acceso inicial con credenciales válidas.

#### TTPs según MITRE ATT&CK

Los métodos utilizados por los atacantes suelen alinearse con las siguientes técnicas del framework MITRE ATT&CK:

– **T1078 – Valid Accounts**: Uso de cuentas legítimas para el acceso inicial y movimientos laterales.
– **T1555 – Credential Dumping**: Extracción de credenciales de memoria o archivos de configuración.
– **T1110 – Brute Force**: Ataques de fuerza bruta sobre interfaces de autenticación remota.
– **T1552 – Unsecured Credentials**: Búsqueda de secretos expuestos en servidores, repositorios de código o contenedores.

#### Indicadores de Compromiso (IoC)

– Accesos inusuales desde direcciones IP anómalas o ubicaciones geográficas atípicas.
– Uso de agentes de usuario que simulan navegadores legítimos.
– Detección de tokens o llaves API en plataformas como GitHub o GitLab.
– Elevación de privilegios no autorizadas en logs de sistemas.

#### Herramientas y Frameworks

Los atacantes suelen emplear herramientas como **Mimikatz**, **LaZagne**, **Metasploit** (módulos de credential harvesting) y **Cobalt Strike** para el manejo de beacons y persistencia.

### Impacto y Riesgos

La explotación de identidades comprometidas permite a los atacantes acceder a información sensible, desplegar ransomware, exfiltrar datos críticos o incluso sabotear infraestructuras. Según datos recientes, el coste medio de una brecha de seguridad asociada a credenciales robadas supera los 4,5 millones de euros, con incidentes que pueden acarrear sanciones bajo normativas como la **GDPR** y la nueva **NIS2** en caso de no aplicar medidas de protección adecuadas.

Además, los ataques basados en identidad no discriminan por tamaño o sector: tanto grandes corporaciones como pymes y organismos públicos se han visto afectados, comprometiendo la integridad, disponibilidad y confidencialidad de sus sistemas.

### Medidas de Mitigación y Recomendaciones

1. **Implementar MFA por defecto** en todos los accesos, especialmente para cuentas privilegiadas y acceso remoto.
2. **Auditorías regulares** de cuentas privilegiadas y revisión de logs de autenticación.
3. **Rotación frecuente de secretos y contraseñas**, así como la monitorización de exposiciones accidentales en repositorios públicos.
4. **Uso de soluciones de gestión de identidades y accesos (IAM)** con detección de anomalías basada en comportamiento.
5. **Despliegue de controles de Zero Trust**: validación continua de identidades y minimización de privilegios.
6. **Formación y concienciación** del personal sobre phishing y técnicas de ingeniería social.

### Opinión de Expertos

Especialistas del sector, como los analistas de Mandiant y CrowdStrike, coinciden en que la gestión deficiente de secretos y credenciales es el “eslabón débil” en la mayoría de incidentes de seguridad. Recomiendan invertir en tecnologías de *identity threat detection and response* (ITDR) y en la automatización de la detección de anomalías de acceso, así como en la integración de soluciones SIEM/SOAR para una respuesta inmediata ante incidentes.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben adoptar un enfoque proactivo en la protección de identidades, revisando sus políticas de acceso, implementando controles técnicos y promoviendo la cultura de la seguridad. Los usuarios, por su parte, deben evitar la reutilización de contraseñas y utilizar gestores de contraseñas robustos, además de activar MFA siempre que sea posible.

Para las empresas sujetas a normativas como **GDPR** y **NIS2**, la falta de protección de credenciales puede derivar en sanciones económicas significativas y daño reputacional, además de la posible interrupción de operaciones críticas.

### Conclusiones

El auge de los ataques basados en identidad representa una amenaza crítica en el panorama actual de la ciberseguridad. La gestión adecuada de secretos, la adopción de MFA y la monitorización continua son elementos indispensables para mitigar estos riesgos. La tendencia apunta a que los ataques de este tipo seguirán en aumento, por lo que es fundamental reforzar las defensas y concienciar a todos los niveles de la organización.

(Fuente: feeds.feedburner.com)