AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Riesgo creciente: los infostealers vinculan credenciales robadas con identidades reales y multiplican la amenaza para empresas**

admin

### 1. Introducción

Los infostealers, una de las herramientas más prolíficas en el arsenal del cibercrimen, están evolucionando rápidamente. Ya no se limitan a recolectar credenciales aisladas; los últimos análisis muestran que estos programas maliciosos ahora correlacionan nombres de usuario, cookies y patrones de comportamiento entre cuentas personales y corporativas. Este avance supone un salto cualitativo en la exposición de las organizaciones a ataques de escalada de privilegios, movimientos laterales y fraudes. Un reciente estudio de Specops, basado en el análisis de 90.000 bases de datos robadas, revela cómo la reutilización de contraseñas sigue siendo la principal vía de entrada para los atacantes y detalla estrategias efectivas para romper este ciclo de riesgo.

### 2. Contexto del Incidente o Vulnerabilidad

Históricamente, los infostealers como RedLine, Raccoon Stealer, Vidar y Taurus actuaban como recolectores masivos de credenciales, vaciando navegadores y aplicaciones en busca de cualquier dato susceptible de monetización. Sin embargo, la tendencia actual va mucho más allá del simple robo: los atacantes están agregando, correlacionando y enriqueciendo la información robada para construir perfiles completos de las víctimas, tanto a nivel personal como empresarial.

Los «dumps» de infostealers, que antes se compartían en foros clandestinos de la dark web como simples listas de credenciales, ahora incluyen datos interrelacionados: identificadores de sesión, cookies persistentes, historial de navegación, tokens de autenticación y, en muchos casos, metadatos que permiten vincular la identidad digital de una persona a múltiples servicios y roles empresariales.

### 3. Detalles Técnicos

**Vectores de ataque y TTPs MITRE ATT&CK:**
Los infostealers suelen distribuirse por campañas de phishing, explotación de vulnerabilidades en navegadores/plugins (MITRE ATT&CK T1566, T1204), ingeniería social y descargas maliciosas. Una vez desplegados, utilizan técnicas como T1555 (Credentials from Password Stores) y T1539 (Steal Web Session Cookie) para exfiltrar datos.

**CVE relevantes:**
– CVE-2023-4863 (vulnerabilidad crítica en navegadores basada en WebP)
– CVE-2023-41064 (explotación de archivos adjuntos en clientes de correo)

**IoCs más habituales:**
– Dominios de C2 ofuscados en DNS
– Hashes de ejecutables de infostealers conocidos
– Patrones de tráfico HTTP(s) anómalos con uploads masivos

**Frameworks y herramientas:**
El análisis de los dumps evidencia el uso de frameworks como Metasploit para automatizar la explotación posterior y Cobalt Strike para el movimiento lateral, aprovechando la correlación de credenciales entre entornos personales y corporativos. Además, herramientas de escaneo continuo de Active Directory (AD) permiten detectar cuentas comprometidas y patrones de reutilización de contraseñas en tiempo real.

### 4. Impacto y Riesgos

El riesgo principal proviene de la reutilización de contraseñas en múltiples servicios, que, según Specops, afecta al 62% de los usuarios analizados. La correlación de credenciales robadas facilita ataques de credential stuffing y permite a los atacantes escalar privilegios dentro de las redes corporativas.

Entre las consecuencias más relevantes destacan:
– Compromiso de cuentas privilegiadas en Active Directory
– Acceso a recursos críticos (VPN, correo interno, sistemas de gestión)
– Filtración de datos personales sujetos a GDPR, con riesgo de sanciones económicas de hasta el 4% de la facturación anual
– Pérdida de confianza y daño reputacional

Se calcula que el coste medio de una brecha vinculada a credenciales robadas supera los 4 millones de euros, según el último informe de IBM Cost of a Data Breach.

### 5. Medidas de Mitigación y Recomendaciones

Las mejores prácticas para mitigar este tipo de amenazas incluyen:
– **Escaneo continuo de AD:** Implementar soluciones que analicen ininterrumpidamente los hashes y patrones de contraseñas, identificando cuentas comprometidas y bloqueando la reutilización.
– **Políticas estrictas de contraseñas:** Forzar la rotación frecuente y evitar contraseñas previamente expuestas en brechas conocidas (puede integrarse con listas como Have I Been Pwned).
– **Autenticación multifactor (MFA):** Imponer MFA sobre todo en cuentas administrativas y acceso remoto.
– **Monitorización avanzada de endpoints:** Desplegar EDRs con detección de técnicas de exfiltración y tráfico anómalo.
– **Concienciación y formación:** Actualizar regularmente a los empleados sobre los riesgos de password reuse y phishing.

### 6. Opinión de Expertos

David Andersson, analista principal de Specops, afirma: “La correlación de credenciales, cookies y comportamientos en los dumps de infostealers reduce drásticamente el tiempo de explotación para un atacante. Las organizaciones deben asumir que la identidad digital de sus empleados está fragmentada entre lo personal y lo profesional, y actuar en consecuencia”.

Por su parte, expertos de SANS Institute insisten en que “la clave es la visibilidad continua sobre el ciclo de vida de las contraseñas en el entorno corporativo y la integración de inteligencia de amenazas en los procesos de autenticación”.

### 7. Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad, este fenómeno obliga a replantear los controles tradicionales. El perímetro ya no se limita a la red corporativa: cualquier fuga de una cuenta personal puede ser la puerta de entrada a recursos empresariales. Los CISOs deben priorizar la detección temprana de credenciales expuestas y la prevención del movimiento lateral, alineando las políticas con la normativa GDPR y las exigencias de NIS2 en cuanto a gestión de identidades y respuesta a incidentes.

### 8. Conclusiones

La evolución de los infostealers hacia la vinculación de credenciales y la construcción de perfiles de identidad supone una amenaza crítica para las organizaciones. La visibilidad sobre el ciclo de vida de las contraseñas y el uso de tecnologías de escaneo continuo de AD se consolidan como elementos clave en la defensa. La lucha contra la reutilización de credenciales y la correlación de datos robados debe ser prioritaria en cualquier estrategia de ciberseguridad corporativa, apoyada por formación, tecnología y cumplimiento normativo.

(Fuente: www.bleepingcomputer.com)