“Stuffing” de credenciales en Retail y Turismo

Los sectores de turismo y retail son los principales objetivos de los ataques de stuffing de credenciales, según el informe State of Secure Identity de Auth0. El stuffing de credenciales es un tipo de ataque de fuerza bruta en el que los atacantes lanzan intentos de inicio de sesión automatizados utilizando contraseñas filtradas.

“Debido a hábitos inseguros de contraseñas (p. Ej., reuso de contraseñas, uso de palabras comunes, etc.), una pequeña cantidad de optimizaciones, incluido el aprovechamiento de listas de contraseñas violadas y diccionarios de palabras que se incorporan con frecuencia (sí, como “contraseña”), puede mejorar drásticamente la probabilidad de que un atacante pruebe la contraseña correcta ”, explican los investigadores.

Auth0 comparte los siguientes hallazgos:

  • “En los primeros 90 días de 2021, el stuffing de credenciales representó el 16,5% del tráfico de intentos de inicio de sesión en su plataforma, con un pico de más del 40% cerca de finales de marzo, todo lo cual Auth0 detectó y evitó.”
  • “Los viajes, el ocio y el comercio minorista son las dos industrias principales más afectadas por los ataques de stuffing de credenciales.”
  • “El número de registros fraudulentos varía según el sector vertical, pero aproximadamente el 15% de todos los intentos de registrar una nueva cuenta se pueden atribuir a los bots.”
  • “En los primeros 90 días de 2021, la plataforma Auth0 detectó contraseñas violadas en un promedio de más de 26,600 por día, con un mínimo de poco menos de 7,300 y un máximo el 9 de febrero de 2021 que superó las 182,000”.

Si bien la autenticación multifactor (MFA) es una capa de defensa extremadamente eficaz contra estos ataques, Auth0 también señala que los atacantes continúan intentando eludir las medidas MFA.

“El vector de ataque más común es aplicar la fuerza bruta en un intento de ‘adivinar’ el código de autenticación (es decir, la contraseña de un solo uso u OTP) que se utiliza en varios métodos de MFA”, escriben los investigadores. “En los primeros cuatro meses de 2021, Auth0 registró más de 87.000 intentos de fuerza bruta en una OTP”.

La capacitación en concientización sobre seguridad en la nueva escuela puede enseñar a sus empleados a seguir las mejores prácticas de seguridad para que puedan evitar ser víctimas de estos ataques, contáctanos para conocer cómo trabajamos de la mano de KnowBe4 para crear awareness en tu empresa.

 

 

Texto de KnowBe4

Dejar un comentario

Tu dirección de correo electrónico no será publicada.