AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Credenciales de correo electrónico en tiempo real: nueva tendencia en subastas clandestinas expone riesgos críticos

admin

Introducción

La cibercriminalidad avanza a pasos agigantados y, en un giro preocupante, los actores maliciosos han comenzado a subastar credenciales de correo electrónico válidas y en tiempo real en foros clandestinos. Este fenómeno va mucho más allá de la simple venta de “combos” de usuario y contraseña filtrados: se trata de accesos activos, verificados y actualizados que abren la puerta a sistemas sensibles y datos confidenciales de organizaciones de todo el mundo. La comercialización de estas credenciales, en lugar de su distribución masiva, maximiza el beneficio para los atacantes y plantea nuevos retos para los responsables de seguridad.

Contexto del Incidente

Durante los últimos años, el mercado negro de credenciales robadas ha evolucionado. Tradicionalmente, los cibercriminales vendían grandes bases de datos de credenciales filtradas provenientes de brechas anteriores. Sin embargo, la utilidad de estos datos disminuía rápidamente debido a la caducidad de las contraseñas y la activación de los mecanismos de defensa de las organizaciones afectadas.

Actualmente, los actores de amenazas han perfeccionado sus técnicas y ahora ofrecen credenciales de acceso a cuentas de correo electrónico en “estado activo”, es decir, que han sido recientemente verificadas y cuya validez está garantizada en el momento de la venta. Estas subastas, a menudo celebradas en foros privados de la dark web y canales de Telegram, permiten a otros delincuentes pujar por accesos exclusivos y de alta calidad, optimizando las probabilidades de éxito en ataques posteriores, como phishing dirigido, compromiso de correo electrónico empresarial (BEC) y movimientos laterales en redes corporativas.

Detalles Técnicos

Las credenciales ofertadas suelen ser obtenidas mediante campañas de phishing sofisticadas, uso de infostealers como RedLine, Raccoon o Vidar, y explotación de vulnerabilidades conocidas en plataformas de correo electrónico (por ejemplo, CVE-2023-23397 en Microsoft Outlook). En ocasiones, se emplean frameworks como Metasploit para el despliegue de cargas útiles personalizadas que extraen tokens de autenticación o cookies válidas, eludiendo sistemas de doble factor mal configurados.

El proceso de verificación previo a la subasta implica el acceso real a la cuenta y la recolección de información sensible, como correspondencia interna, archivos adjuntos críticos o credenciales de acceso a otros servicios (pivoting). Los atacantes emplean técnicas del marco MITRE ATT&CK, destacando T1078 (Valid Accounts), T1081 (Credentials in Files) y T1110 (Brute Force), además de la recopilación de indicadores de compromiso (IoC) como IPs sospechosas, timestamps anómalos y cambios en el User-Agent del correo.

Impacto y Riesgos

El impacto de la compraventa de credenciales en tiempo real es potencialmente devastador. Una cuenta comprometida puede facilitar ataques BEC con una tasa de éxito considerablemente mayor, ya que el atacante dispone de contexto actualizado y acceso a hilos de comunicación legítimos. Además, permite el despliegue de ransomware, exfiltración de información clasificada, movimientos laterales y escaladas de privilegios.

Según recientes informes de la industria, alrededor del 20% de los incidentes de seguridad en grandes organizaciones durante 2023 estuvieron relacionados con accesos no autorizados a sistemas de correo. El coste medio de un incidente de BEC ronda los 5,2 millones de dólares, según datos de IBM Security. La exposición de datos personales y confidenciales puede suponer sanciones severas bajo el Reglamento General de Protección de Datos (GDPR) y la inminente aplicación de la Directiva NIS2 en la Unión Europea, que exige notificación rápida de brechas y medidas reforzadas de protección.

Medidas de Mitigación y Recomendaciones

Para contrarrestar esta amenaza, se recomienda a los equipos de seguridad implementar autenticación multifactor robusta (MFA) en todos los accesos, monitorización continua de logs de acceso y detección de anomalías de comportamiento. Es esencial deshabilitar el acceso IMAP/POP3 donde no sea necesario, restringir el acceso por geolocalización y reforzar las políticas de seguridad de correo electrónico (DMARC, DKIM, SPF).

La integración de soluciones EDR/XDR con capacidades de respuesta automatizada, así como el uso de honeypots para la detección temprana de intentos de acceso a cuentas, puede proporcionar una ventaja significativa. La formación periódica de usuarios en la detección de phishing y la revisión constante de las políticas de cambio de credenciales siguen siendo medidas cruciales.

Opinión de Expertos

Expertos en ciberinteligencia coinciden en que la profesionalización del mercado negro de credenciales representa un salto cualitativo en el ecosistema de amenazas. “La venta de accesos activos reduce la saturación y el ruido, permitiendo ataques más precisos y difíciles de detectar”, señala Pablo González, experto en Threat Hunting. Por su parte, Marina Echeverría, CISO en una multinacional tecnológica, advierte: “El acceso inicial a través del correo es solo el comienzo; el verdadero peligro reside en la capacidad de los atacantes para escalar privilegios y mantener persistencia en la red”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que la exposición de credenciales es una cuestión de “cuándo” y no de “si”. La visibilidad sobre los accesos y la capacidad de respuesta inmediata ante incidentes son ahora más críticas que nunca. Para los usuarios, la responsabilidad personal en el manejo de contraseñas y la concienciación sobre técnicas de ingeniería social sigue siendo esencial para cortar la cadena de ataque desde el inicio.

Conclusiones

La subasta de credenciales de correo electrónico activas en foros clandestinos supone una amenaza emergente y sofisticada para el tejido empresarial. La mejora continua de las estrategias de defensa, la inversión en tecnología avanzada y la formación de todos los eslabones de la organización son claves para mitigar el riesgo y reducir el impacto de estos incidentes. Ignorar esta tendencia puede tener consecuencias económicas, legales y reputacionales de gran envergadura.

(Fuente: www.darkreading.com)