En los ataques de reutilización de credenciales, se usan procesos automatizados para probar listas de pares de nombre de usuario y contraseña robados, y obtener acceso no autorizado a sitios web y aplicaciones. Estos ataques pueden causar millones de dólares en daños. La táctica tiene éxito en parte porque, si bien es posible que se solicite a los usuarios que creen una contraseña más compleja, las políticas de complejidad de contraseñas no tienen forma de tener en cuenta que las personas usan las mismas credenciales en distintos sitios web o servicios.
A continuación, analizaremos con más detalle qué es la reutilización de credenciales, cómo se diferencia de la fuerza bruta y de la difusión de contraseñas, los tipos de fraude que pueden seguir a una apropiación de cuentas exitosa y cómo detener estos ataques mediante una defensa en capas.
Aspectos destacados
La reutilización de credenciales aprovecha el uso repetido de contraseñas en distintas cuentas. Por sí solas, las políticas de contraseñas seguras no son una defensa eficaz contra este tipo de ataque.
Las plataformas de software como servicio (SaaS) y de inteligencia artificial (IA) enfrentan riesgos de ataques de reutilización de credenciales, lo que incluye apropiaciones de cuentas, abuso de la interfaz de programación de aplicaciones (API) y explotación de niveles sin cargo.
Una defensa eficaz requiere una estrategia en capas que combine detección de bots, revisión de credenciales comprometidas y señales compartidas en los puntos de conexión de inicio de sesión, creación de cuenta y API.
¿Qué son los ataques de reutilización de credenciales?
La reutilización de credenciales es un ciberataque en el que los delincuentes toman pares de nombre de usuario y contraseña filtrados en anteriores brechas de datos y los prueban automáticamente en otros servicios. Funciona porque la reutilización de contraseñas es habitual. Según los estudios, muchas personas usan las mismas credenciales en distintas cuentas; el 72 % de la generación Z afirma reutilizar contraseñas.
¿Cómo funcionan los ataques de reutilización de credenciales?
Los atacantes de reutilización de credenciales obtienen listas de credenciales, a veces llamadas «listas combinadas», de bases de datos de brechas de seguridad en foros criminales y marketplaces de la Web oscura. Algunas de estas listas contienen cientos de millones de pares de nombre de usuario y contraseña verificados. Cargan estas listas en software capaz de enviar millones de solicitudes de inicio de sesión, resolver pruebas de Turing públicas completamente automatizadas para diferenciar a computadoras de humanos (CAPTCHA), rotar direcciones de protocolo de Internet (IP) a través de proxies y analizar respuestas de éxito o fallo.
Para evitar reglas simples de límite de frecuencia, los atacantes envían estas solicitudes de inicio de sesión desde miles de direcciones diferentes, a menudo proxies residenciales que se parecen al tráfico legítimo de usuarios. Cuando un inicio de sesión tiene éxito, la herramienta lo marca. El atacante ahora tiene una cuenta verificada y funcional, y puede extraer métodos de pago almacenados, información personal, acceso a la API o créditos de la cuenta.
¿En qué se diferencian los ataques de reutilización de credenciales de los de fuerza bruta y los de difusión de contraseñas?
Los ataques de reutilización de credenciales, los ataques de fuerza bruta y la difusión de contraseñas están relacionados, pero son estructuralmente diferentes. La contramedida adecuada para uno no necesariamente detendrá los otros.
A continuación, te presentamos un resumen:
Fuerza bruta: un ataque de fuerza bruta prueba sistemáticamente todas las combinaciones de contraseñas posibles en una cuenta específica. Es costoso a nivel computacional, lento y en gran medida poco práctico frente a los puntos de conexión de inicio de sesión orientados a la Web con políticas de bloqueo de cuentas.
Difusión de contraseñas: un ataque de difusión de contraseñas prueba una o algunas contraseñas comunes (p. ej., Password1!, Welcome2024) en una gran cantidad de cuentas. Está diseñado para mantenerse por debajo de los umbrales de bloqueo por cuenta mientras explota opciones de contraseñas débiles. Las políticas de contraseñas pueden evitar que los usuarios tengan estas contraseñas comunes en primer lugar y son una contramedida útil.
Ataques de reutilización de credenciales: a veces considerados una subcategoría de los ataques de fuerza bruta, estos ataques prueban pares legítimos de nombre de usuario y contraseña en páginas de inicio de sesión no verificadas y toman el control de cualquier cuenta a la que logran acceder. Las políticas estándar de contraseñas no ayudan mucho contra la reutilización de credenciales porque no pueden evitar que los clientes reutilicen contraseñas en distintas cuentas.
¿Cuáles son las señales de advertencia tempranas de un ataque de reutilización de credenciales?
Los ataques de reutilización de credenciales pocas veces aparecen como un aumento drástico. Suelen verse más como una acumulación lenta de señales.
Ten en cuenta lo siguiente:
Índices elevados de fallos de inicio de sesión en todas las cuentas: un ataque de fuerza bruta muestra muchos fallos en una cuenta. La reutilización de credenciales muestra un índice de fallos moderado distribuido de manera simultánea entre miles de cuentas. Si tu índice de fallos de inicio de sesión de referencia es del 2 % al 5 % y de repente salta al 15 % o al 20 % en todos los ámbitos, ese cambio justifica una investigación inmediata.
Una afluencia repentina de nuevas IP: las redes de proxy residenciales generan solicitudes desde direcciones que parecen confiables en las listas de reputación. Pero un aumento de IP que nunca antes habían accedido a tu plataforma es una señal importante cuando se correlaciona con la actividad de inicio de sesión.
Distribuciones geográficas inusuales: los inicios de sesión agrupados en regiones que no coinciden con los patrones de acceso históricos de una cuenta pueden indicar un acceso automatizado.
Cadenas de agente de usuario constantes en muchas solicitudes: las poblaciones de usuarios legítimos muestran una enorme variación en las huellas de los navegadores. En los ataques de reutilización de credenciales, la misma cadena de agente de usuario suele repetirse en miles de solicitudes, lo que es un patrón que vale la pena señalar.
Una alta proporción entre intentos y aciertos: los usuarios normales fallan una o dos veces y, luego, tienen éxito o restablecen la contraseña. Las herramientas de reutilización de credenciales tienen una baja tasa de éxito, pero generan muchos intentos por sesión.
Aumentos de volumen inexplicables en el punto de conexión de inicio de sesión: incluso con rotación de IP, el punto de conexión mismo ve más solicitudes totales durante los ataques de reutilización de credenciales. Un enorme aumento sin un evento de marketing correspondiente o lanzamiento de producto es una señal de advertencia.
¿Por qué los ataques de reutilización de credenciales son peligrosos para las plataformas de IA y SaaS?
Los ataques de reutilización de credenciales verifican las credenciales que funcionan para crear un conjunto de accesos. Una vez que ingresan, pueden causar aún más daño.
Si operas una plataforma de SaaS o IA, debes saber lo siguiente:
Apropiación de cuentas y robo de datos: una vez que acceden a la cuenta de un cliente, los atacantes pueden extraer información personal, información de pago, archivos privados o comunicaciones. Si en tu plataforma se gestiona información confidencial sobre la empresa, una sola cuenta vulnerada puede generar una exposición que va más allá del objetivo original del atacante.
Monetización inmediata de la cuenta: es posible que los atacantes moneticen de inmediato una cuenta vulnerada. La cuenta podría quedar sin créditos o usarse para compras fraudulentas, o las credenciales podrían revenderse en foros delictivos.
Fraude mediante métodos de pago almacenados: las cuentas con métodos de pago guardados son objetivos de gran valor. Los atacantes pueden iniciar compras, transferir créditos o desviar pagos, lo que crea una exposición financiera directa tanto para la plataforma como para sus usuarios.
Fraude en cuentas nuevas: una vez que confirmaron que tu plataforma tiene valor accesible, los atacantes suelen comenzar a crear más cuentas fraudulentas. Las pruebas sin cargo, las bonificaciones de creación de cuenta y el acceso a la API vinculados a nuevas cuentas son todos objetivos.
Abuso de pruebas sin cargo y explotación de nivel sin cargo: los ataques de reutilización de credenciales pueden convertirse en otros tipos de fraude. Es posible que los atacantes alternen el acceso al nivel sin cargo en muchas cuentas para evitar los límites de consumo. Este es un problema financiero importante para las plataformas de IA porque otorgar llamadas API y créditos de inferencia tiene un costo directo para la plataforma.
Abuso de la API: por lo general, las cuentas en plataformas de IA vienen con acceso a la API y cuotas de consumo. Los atacantes que se apropian de las cuentas pueden agotar esas cuotas, revender el acceso o usar los recursos informáticos para sus propios fines. Todo esto crea costos de infraestructura para la plataforma.
Carga de soporte: los clientes cuyas cuentas sufrieron una vulneración requieren de mucho soporte. Los restablecimientos de contraseñas, las disputas por fraude y los flujos de trabajo de recuperación de cuentas consumen tiempo, dinero y otros recursos.
Daño a la reputación: es posible que los usuarios cuyas cuentas sufrieron una vulneración en tu plataforma culpen a tu plataforma, sin importar dónde se hayan filtrado sus credenciales originalmente.
¿Cómo pueden las plataformas combatir los ataques de reutilización de credenciales sin dañar la experiencia de inicio de sesión?
La prevención de ataques de reutilización de credenciales se basa en una estrategia en capas de múltiples defensas, de modo que cada una aumente el costo del ataque. A continuación, tienes algunas opciones.
Límite de tasa con matices
Si configuras un límite de frecuencia general por IP, los atacantes podrían eludirlo mediante la rotación de proxies. Los enfoques más eficaces limitan la frecuencia por cuenta (p. ej., ¿cuántos intentos con error tuvo esta cuenta específica en los últimos 10 minutos?), por huella del dispositivo o por patrón de comportamiento. Una combinación es aún mejor.
Detección de bots y análisis de tráfico
Implementa una solución de gestión de bots que analice señales de comportamiento (p. ej., patrones de movimiento del mouse, cadencia de escritura, cadencia de solicitudes, respuestas a desafíos de JavaScript). Herramientas como Cloudflare Bot Management o Akamai Bot Manager califican el tráfico incluso antes de que llegue a tu lógica de autenticación.
Revisión de credenciales vulneradas
El modelo de k-anonimato permite a los usuarios comprobar si se vulneró su contraseña sin compartir la contraseña completa. Servicios como la herramienta Pwned Passwords de Have I Been Pwned lo usan para comprobar si la contraseña de un usuario apareció en conjuntos de datos de brechas de seguridad conocidas.
Autenticación multifactor (MFA) condicional
En lugar de requerirla en cada inicio de sesión, reserva las solicitudes de MFA para señales anómalas. Si un intento de inicio de sesión proviene de un nuevo dispositivo, un nuevo país o después de un largo período de inactividad de la cuenta, es un buen momento para solicitar un segundo factor. Esto mantiene una experiencia eficiente para los usuarios habituales, al tiempo que detecta posibles escenarios de reutilización de credenciales.
MFA obligatoria para acciones de alto valor
Incluso si no requieres MFA en el inicio de sesión, es recomendable solicitarlo antes de que un usuario pueda cambiar su dirección de correo electrónico, agregar un nuevo método de pago o acceder a las claves de API. Esto limita el daño si se produce una apropiación de la cuenta.
Cómo puede ayudar Stripe Radar
Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.
Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan escenarios de fraude específicos de sus empresas y acceder a información avanzada sobre fraude.
Radar puede ayudar a tu empresa a lograr lo siguiente:
Prevenir pérdidas por fraude: Stripe procesa más de $1 billón en pagos al año. Este crecimiento permite que Radar detecte y prevenga el fraude con precisión y ahorre dinero.
Aumentar los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite que Radar identifique transacciones de riesgo y reduzca falsos positivos, lo que aumenta tus ingresos.
Ahorrar tiempo: Radar se integra en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento del fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.