El informe más reciente de Cisco Talos concluye que más de la mitad de las brechas de seguridad registradas el año pasado se originaron por el uso indebido de identidades digitales válidas. Según este hallazgo, los atacantes aprovecharon cuentas legítimas para obtener acceso inicial y desplazarse con mayor facilidad entre distintos sistemas, esquivando así los sistemas de detección de malware. El estudio indica que la táctica se observó en el 60% de las investigaciones de incidentes y, en el caso de las intrusiones relacionadas con ransomware, la proporción alcanzó el 70%.
La información recopilada señala que el uso de credenciales robadas, incluidas contraseñas tradicionales, tokens de sesión, API keys y certificados digitales, resultó más efectiva y problemática para detectar. De esta manera, los actores malintencionados consiguieron pasar inadvertidos durante periodos prolongados y, en algunas ocasiones, llegar a tener un control sin restricciones de redes internas enteras.
Los expertos resaltan que el robo de credenciales proviene de diversas fuentes. Muchas se obtienen gracias a programas especializados, diseñados para explorar dispositivos y aplicaciones en busca de credenciales guardadas. Así mismo, se recurre a la compra de datos a proveedores ilegales conocidos como initial access brokers, quienes comercian con credenciales en mercados clandestinos a precios variables según la importancia de la empresa afectada.
Obtención de acceso inicial
La investigación revela que gran parte de los grupos de ransomware recurre a credenciales sustraídas para penetrar en redes corporativas. Según el mismo informe, un 20% de los ataques de este tipo empleó vulnerabilidades conocidas en aplicaciones expuestas públicamente, mientras que un 12% se apoyó en técnicas de drive-by compromise. El phishing sigue figurando como uno de los métodos de acceso inicial más frecuentes, presente en casi una cuarta parte de los sucesos investigados por el equipo de respuesta a incidentes de Cisco.
Entre las marcas suplantadas en correos electrónicos engañosos aparecen nombres reconocidos en el ámbito corporativo y de consumo, como Microsoft Outlook, Apple, LinkedIn, Amazon y PayPal, además de otras orientadas a servicios corporativos. El método más empleado consiste en distribuir enlaces maliciosos, seguido de adjuntos infectados y, en menor medida, de llamadas telefónicas fraudulentas.
La suplantación de marcas o departamentos de las firmas permite que los atacantes convenzan a las víctimas de aceptar inicios de sesión aparentemente legítimos. Una vez dentro, pueden aprovechar permisos que, en muchos casos, están mal configurados o resultan excesivos, lo que facilita su avance por la red.
Expansión interna con credenciales privilegiadas
La investigación evidencia que casi la mitad de los ataques basados en identidad se centró en Active Directory, donde los ciberdelincuentes buscan recopilar credenciales mediante herramientas de código abierto como Mimikatz. Este software ayuda a extraer contraseñas y tokens de la memoria del sistema, lo que, a su vez, permite ejecutar acciones de lateral movement. Otra herramienta muy observada en este contexto es PsExec, empleada para ejecutar procesos en remoto apoyándose en cuentas válidas.
Estas técnicas resultan especialmente peligrosas cuando se trata de entornos con una segmentación de red inadecuada y un número elevado de dispositivos, como se ha visto en sectores como los de la educación, la administración pública, la producción y la sanidad. En uno de los incidentes recientes, los atacantes llegaron a desinstalar varias soluciones de seguridad de servidores y controladores de dominio, lo que sugiere que habían tomado el control total de la infraestructura de Active Directory antes de intentar desplegar ransomware.
Acceso a la nube en entornos híbridos
Con la adopción de servicios en la nube y la interconexión entre instalaciones locales y plataformas como Azure, el escenario del ataque se amplía; herramientas públicas creadas específicamente para examinar y manipular el identificador de sesión de Microsoft, permiten a los atacantes recopilar información sobre usuarios, dispositivos y configuraciones, y a menudo se combinan con tácticas que evitan o abusan de la MFA. En algunos casos, se utilizan estrategias de envío masivo de notificaciones de autenticación, con el fin de agotar la paciencia del usuario y lograr que acepte el acceso.
En otra investigación, el equipo de Cisco analizó la invasión de una universidad con más de 100.000 cuentas. El vector de ataque incluyó que un administrador aprobara la incorporación de un dispositivo desconocido a su lista de credenciales autorizadas. Una vez conseguido el acceso, los intrusos enviaron correos fraudulentos a otros integrantes de la institución desde una cuenta legítima, lo que aumentó la credibilidad del engaño.
El auge de chatbots de grandes modelos de lenguaje, ha contribuido también a que las técnicas de ingeniería social se perfeccionen, complicando todavía más la detección de este tipo de maniobras por parte de usuarios finales. Según el mismo estudio, la mayoría de los usos de herramientas de inteligencia artificial por parte de atacantes está enfocada a la ingeniería social.
Medidas de prevención
La insistencia en reforzar la MFA encabeza las recomendaciones, de la misma manera que la adopción de contraseñas seguras, la reducción de privilegios excesivos y la supervisión de la actividad de las cuentas. Los investigadores señalan que no basta con habilitar la autenticación multifactor, ya que un error de configuración o la falta de alertas en la actividad de las cuentas pueden anular sus ventajas. Instan, además, a educar a los usuarios para que reconozcan intentos de suplantación de identidad mediante notificaciones, y sugieren emplear procesos de verificación adicional o preguntas de seguridad. También recalcan la necesidad de vigilar las políticas de incorporación de nuevos dispositivos autorizados y de endurecer la red con segmentaciones adecuadas, siguiendo así las sugerencias de la CISA ante las técnicas de compromiso más frecuentes contra Active Directory.
