Estado de credenciales robadas en la Dark Web de las compañías Fortune 500

Millones de credenciales corporativas robadas disponibles en Dark Web son explotadas por ciberdelincuentes para ataques de phishing y reutilización de contraseñas contra las compañías más grandes del mundo

Los datos robados y expuestos en Dark Web aparecen en los titulares de los medios en 2019. Tanto las violaciones de datos informadas como la cantidad de registros expuestos en ellas aumentaron en más del 50% durante el primer trimestre de 2019 en comparación con el año anterior, y alcanzaron un número asombroso de 4.000 infracciones, exponiendo más de 4 mil millones de registros comprometidos (fuente: seguridad basada en riesgos). El sitio web del experto en seguridad Troy Hunt tiene una colección de más de 8 mil millones de credenciales recopiladas en Internet.

 

En ImmuniWeb, decidimos arrojar algo de luz sobre el crecimiento vertiginoso de las infracciones de datos dirigidas a las empresas. Para este propósito, analizamos la calidad y cantidad de credenciales robadas accesibles en la Dark Web de compañías Fortune 500 de 10 industrias diferentes en todo el mundo.

 

Fuentes y Metodología

 

Aprovechamos nuestra tecnología OSINT (Open Source Intelligence) integrada en ImmuniWeb® Discovery para rastrear lugares y recursos generalmente accesibles dentro de la red TOR, a través de varios foros web, Pastebin, canales IRC, redes sociales, chats de mensajería y muchos otros lugares conocidos por ofrecer, vender o distribuir datos robados o filtrados.

 

Encontramos más de 21 millones (21,040,296) credenciales pertenecientes a compañías Fortune 500, en medio de las cuales más de 16 millones (16,055,871) se vieron comprometidas durante los últimos 12 meses. Hasta el 95% de las credenciales contenían contraseñas sin cifrar, o con fuerza bruta y descifradas por los atacantes, contraseñas de texto sin formato.

 

Las fuentes más populares de las infracciones expuestas fueron:

  • Terceros (por ejemplo, sitios web u otros recursos de organizaciones no relacionadas)

  • Terceros de confianza (por ejemplo, sitios web u otros recursos de socios, proveedores o vendedores)

  • Las propias empresas (por ejemplo, sus propios sitios web u otros recursos internos)

 

Por obvias razones éticas y legales, no intentamos iniciar sesión en ninguna de estas cuentas. Verificamos la precisión y confiabilidad de los datos al correlacionar, verificar y yuxtaponer los datos de diferentes fuentes públicas ayudadas con Machine Learning (ML). Los modelos ML de ImmuniWeb se usaron para encontrar anomalías y detectar fugas falsas, duplicados o contraseñas predeterminadas establecidas automáticamente, que se excluyeron de los datos de la investigación.

 

 

Tabla de contenidos

 

1. Credenciales robadas por industria
2. Contraseñas más populares por industria
3. Principales industrias con contraseñas débiles o predeterminadas
4. Otros datos interesantes
5. Cómo reducir su exposición a la Web oscura
6. Conclusión

 

Esta es una versión completa de la investigación, no podemos enviar ninguna muestra de registros comprometidos a nadie por razones de seguridad y privacidad.

 

 

Credenciales Robadas por Industria

 

A continuación se encuentran las industrias con el mayor número de credenciales robadas. Como era de esperar, las industrias más grandes y más específicas encabezan la lista:


 

 

Contraseñas más populares por industria

 

En total, encontramos solo 4.9 millones (4,957,093) contraseñas completamente únicas en medio de los 21 millones de registros que sugieren que muchos usuarios están usando contraseñas idénticas o similares. A continuación se encuentran las contraseñas más populares por industria:

 

https://www.immuniweb.com/blog/stolen-credentials-dark-web-fortune-500.html?utm_source=newsletter&utm_medium=email&utm_campaign=newsmail#2 

 

 

Principales industrias con contraseñas débiles o predeterminadas

 

A continuación se muestran las 10 principales industrias ordenadas por el mayor porcentaje de contraseñas débiles (menos de 8 caracteres, que se encuentran en diccionarios comunes o predeterminados). El volumen de contraseñas débiles es sorprendente y alarmante:

 

Otros hechos interesantes

 

Durante la investigación, también vimos algunos hechos y tendencias interesantes:

 

  • Tecnología, Finanzas y Energía son, respectivamente, las 3 principales industrias con el mayor volumen de credenciales expuestas en violaciones de sitios web y recursos orientados a adultos;

  • Aproximadamente el 42% de las contraseñas robadas están relacionadas de alguna manera con el nombre de la empresa de la víctima o con el recurso violado en cuestión, lo que hace que los ataques de fuerza bruta de contraseña sean altamente eficientes.

  • En promedio, el 11% de las contraseñas robadas de una violación son idénticas, señalando el uso de contraseñas predeterminadas, la proliferación de bots [spam y raspado de datos] que crean cuentas o un restablecimiento de contraseña anterior que establece una contraseña idéntica para un gran conjunto de cuentas.

  • El número de dominios ocultos y sitios web de phishing por organización es proporcional al número total de credenciales expuestas. Cuantos más recursos ilegítimos existan, más credenciales se pueden encontrar para el personal de la organización.

  • El número de subdominios con un grado de seguridad web que falla (C o F) es proporcional al número de credenciales expuestas. Cuanto más mal protegido esté un sitio web, más credenciales se pueden encontrar para el personal de la organización.

  • Más de la mitad de los datos de acceso público están desactualizados o son falsos, o simplemente provienen de infracciones históricas con la falsa pretensión de ser registros recientemente comprometidos.

 

Cómo reducir su exposición a la web oscura

 

Las credenciales y otros datos robados tanto en infracciones de datos no reportadas como de alto perfil son utilizadas de manera incremental por los ciberdelincuentes en campañas de phishing, ingeniería social y ataques de reutilización de contraseñas. A simple vista, pueden ser terriblemente eficientes y efectivos en comparación con otros ataques cibernéticos más complicados o costosos. Para evitar, o al menos minimizar, el impacto de tales violaciones de datos, sugerimos lo siguiente:

  • Realice un descubrimiento e inventario exhaustivo de sus activos digitales, visualice su superficie de ataque externo y exposición al riesgo con una solución de gestión de superficie de ataque (ASM).

  • Implemente una política de contraseñas para toda la organización que se aplique en la integridad de los sistemas internos y de terceros. Use la autenticación de dos factores (2FA) en sistemas críticos para el negocio.

  • Implemente un programa de gestión de riesgos de terceros que abarque el monitoreo continuo de sus proveedores y proveedores que van más allá de un cuestionario en papel.

  • Implemente un sistema de monitoreo de seguridad continuo con detección de anomalías para detectar intrusiones, phishing y ataques de reutilización de contraseñas.

  • Invierta en la conciencia de seguridad de su personal, explique los riesgos de usar correos electrónicos profesionales en recursos de terceros, gamifique la capacitación contra el phishing y recompense a los mejores estudiantes.

Conclusión

 

Ilia Kolochenko, CEO y fundadora de ImmuniWeb, dice: “ Estas cifras son frustrantes y alarmantes. Los delincuentes cibernéticos son inteligentes y pragmáticos, se centran en la forma más corta, barata y segura de obtener sus joyas de la corona. La gran riqueza de credenciales robadas a las que se puede acceder en Dark Web es un Klondike moderno para actores de amenazas en expansión que ni siquiera necesitan invertir en costosas APT de 0 días o que consumen mucho tiempo. Con cierta persistencia, fácilmente entran sin ser notados por los sistemas de seguridad y obtienen lo que quieren. Peor aún, muchas de estas intrusiones son técnicamente poco investigables debido a la falta de registros o control sobre los sistemas [de terceros] violados.

 

En la era de la nube, los contenedores y la subcontratación continua de procesos comerciales críticos, la mayoría de las organizaciones han perdido visibilidad y, por lo tanto, control sobre sus activos y datos digitales. No puede proteger lo que no ve, tampoco puede proteger los datos si no sabe dónde se almacenan y quién puede acceder a ellos. Los riesgos de terceros exacerban inmensamente la situación al agregar incógnitas aún más peligrosas al juego.

 

Un programa de gestión de riesgos y ciberseguridad bien pensado, coherente y holístico debe abarcar no solo a su organización sino a terceros de manera continua y basada en datos. En ImmuniWeb, trabajamos duro para iluminar la superficie de ataque externo y la exposición a la Web oscura para nuestros clientes, brindando tranquilidad y seguridad a nuestra clientela y socios. "

 

Puede visualizar su superficie de ataque externo y la exposición a la Web oscura con ImmuniWeb® Discovery Attack Surface Management (ASM).

 

https://www.immuniweb.com/blog/stolen-credentials-dark-web-fortune-500.html?utm_source=newsletter&utm_medium=email&utm_campaign=newsmail

 

 

 

 

 



 

 


 

Please reload

Featured Posts

Los 8 errores en ciberseguridad más habituales en el trabajo

July 19, 2019

1/5
Please reload

Recent Posts