Extorsiones, cuentas de Zoom a la venta, y un largo etcétera

Hace unos días se filtraron en la dark web más de 500 mil cuentas de Zoom, algunas a la venta por unos pocos dólares, otras gratis. ¿Pero… Qué pasó realmente?

En un primer momento se sospechó que Zoom podría haber sido víctima de una ciberataque, pero más tarde se confirmó que las cuentas fueron obtenidas mediante una técnica conocida como “credential stuffing“.

Mediante esta técnica, el atacante utiliza una combinación de dirección de email (o nombre de usuario) y contraseña que obtuvo previamente de una filtración de datos (data breach).

Para ponerlo en un ejemplo práctico, supongamos que utilizamos la misma combinación de dirección de email + contraseña en Gmail, LinkedIn, Facebook, Zoom, Web123, y otros sitios.

Web123 deja una de sus bases de datos sin protección publicada hacia Internet, permitiendo a un atacante obtener el listado de direcciones de email + contraseña de sus usuarios (asumiendo que las contraseñas estén en texto plano o con un cifrado inseguro). Esto es lo que se conoce como filtración de datos.

¿Que va a hacer este atacante con la información obtenida?

En principio la va a utilizar para acceder a los servicios que ofrece Web123 e intentar obtener información adicional del usuario, pero además va a probar la misma combinación de dirección de email + contraseña en diferentes sitios para lograr obtener acceso a ellos.

Hoy quienes están padeciendo esta situación son los usuarios de Zoom, pero es uno de los vectores de ataque más utilizados. En esta nota contaba hace algunos años el caso de una de las filiales del banco HSBC.

¿Cómo se pueden prevenir este tipo de ataques?

El enfoque de GitHub parece ser el más efectivo para estos casos. Cada vez que el usuario se registra o cambia su clave, GitHub verifica contra la API de HaveIBeenPwned si ésta se encuentra comprometida. De estarlo, el usuario es notificado de manera inmediata como se puede ver en la siguiente imagen.

Del lado del usuario, las recomendaciones son las mismas de siempre: Utilizar contraseñas únicas en cada sitio/servicio online, algo que se hace sumamente sencillo con la ayuda de un administrador de contraseñas, como 1Password.

Además, como siempre, habilitar la autenticación multifactor (2FA / MFA) en todos los sitios que la soporten, mediante Authy o utilizando una llave de seguridad como las YubiKeys de Yubico.

Por último, echar un vistazo a haveibeenpwned.com. Allí pueden hacer una búsqueda para conocer si sus direcciones de email o contraseñas han sido parte de alguna brecha de datos pública. De ser el caso, lo primero que debemos hacer es modificar la contraseña en el sitio afectado y en todos los sitios en los que usemos la misma contraseña.

Sea que obtivimos un resultado positivo o negativo, es conveniente habilitar las notificaciones. De esta manera, si nuestro e-mail queda comprometido en el futuro, recibiremos un alerta por email.

Con respecto a las extorsiones que han estado recibiendo miles de usuarios en los últimos días, en las que los atacantes demuestran poseer una contraseña que el usuario ha utilizado en algún momento de su vida, la forma de hacerse de estos datos es la misma. Utilizando filtraciones públicas, los atacantes obtienen la combinación de dirección de email + contraseña e intentan extorsionar al usuario aludiendo tener contenido multimedia que están dispuestos a utilizar en su contra.

¡Hasta la próxima!

1 pensamiento en “Extorsiones, cuentas de Zoom a la venta, y un largo etcétera”

  1. Pingback: Todos necesitamos un administrador de contraseñas - Pablo Alejandro Fain

Comentarios

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.