Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Como la seguridad de cuentas de usuario puede evitar los ataques de recuperación de contraseña

Reciente ataque a CloudFlare mostro como la baja seguridad de cuentas y recuperación de contraseñas pueden ser comprometidas. Aprenda a evitarlo

Muchos profesionales de seguridad de la información piensan que los atacantes normalmente se dirigen a las personas o páginas de mayor valor a la hora de realizar sus ataques – y dados los controles de seguridad, procesos y la forma en que ocurren esos ataques – los fraudes pueden tener éxito.

No importa cuán fuerte sea la contraseña… si la empresa tiene un proceso de recuperación de contraseña débil, ya que los hackers pueden comprometer todo el sistema.

Y por desgracia para el CEO de CloudFlare Inc. esto se ha convertido en realidad. CloudFlare usa cuentas de Gmail de Google Inc. para acceder a las Apps de Google y gestionar los datos sensibles de las ofertas de CloudFlare. A través de una serie de ataques planificados, un atacante consiguió el control de la cuenta del CEO desde la que inicio el ataque y pudo tener acceso a la información de uno de los clientes de CloudFlare. Sin lugar a dudas este es uno de los peores momentos para una organización.

Entonces ¿Cómo ha sido posible que los controles de autentificación, las contraseñas seguras empeladas en los correos y los servicios de uno de los mayores proveedores en la nube hayan fallado? La realidad es que el problema reside en el proceso de recuperación de contraseñas. Por eso dedicamos este consejo a ver cuáles fueron los pasos de los atacantes y como pueden protegerse adecuadamente esos datos.

Seguridad en cuentas de usuario: errores y prácticas recomendadas

El primer paso del atacante fue dar con la cuenta de Gmail del CEO; esto le permitió obtener acceso no solo a su correo sino también a las herramientas de Google Apps con solo logarse en el sistema. Puesto que la mayor parte de las páginas web empresariales incluyen el nombre de sus ejecutivos y dado que muchas empresas usan correos vinculados al nombre del ejecutivo (p.e., jsmith@gmail.com o john.smith@gmail.com), con el envío de algunos correos basados en las variaciones del nombre de la persona pueden ser suficientes para descubrir su correo. Con esto empieza el proceso

Este problema puede evitarse a través de dos acciones. Puesto que la mayor parte de sistemas de mensajería empresarial cuentan con directorios o paginas blancas, no es preciso dar a conocer a cada empleado la dirección de sus compañeros. Además también se debería dejar de lado esa forma de crear correos corporativos. Una solución sería usar las iniciales del empleado acompañado de cuatro o cinco números aleatorios (p.e., jps29581@gmail.com) lo que dificulta notablemente el phishing. Para los sistemas que usan las cuentas de correo como credenciales para acceder a datos sensibles, como Google Apps, la segunda forma de evitar que el atacante obtenga acceso a tales datos es usar una cuenta de correo para el mundo en general y otra diferente para los accesos sensibles. Incluso en los entornos en la nube, el hecho de tener una cuenta de correo que no esté asociada con la persona puede ser útil para evitar que un atacante descubra (seguramente comprometa) esa cuenta. En el caso de CloudFlare tener una cuenta de correo como jps2958@gmail.com y otra cuenta aparte como torbox3953@gmail.com para acceder a Google Apps podía haber evitado que el atacante identificase las cuentas de correo con las del CEO.

Cuando la recuperación de contraseñas falla

Una vez que el atacante conoce la cuenta de correo del CEO de CloudFlare contacta con el soporte al cliente de Google para recuperar su contraseña. Después de semanas de intentos el atacante es capaz de convencer al sistema de recuperación de contraseñas de Google para añadir un correo electrónico de recuperación, lo que permite al atacante cambiar la contraseña de la cuenta de Gmail del CEO y acceder a su contenido.

No importa cuán fuerte sea la clave (en este caso más de 20 caracteres aleatorios) si la empresa dispone de un sistema de recuperación de contraseñas débil los atacantes pueden acceder al sistema mediante el uso de detalles personales, sin necesidad de “reventar” una contraseña fuerte. Solo tienen que cambiarlo. Por ejemplo si la respuesta a la pregunta de seguridad es algo sencillo o algún detalle conocido de la persona. Con Facebook, LinkedIn y otras redes sociales almacenando grandes cantidades de datos personales los empleados pueden, sin querer, hacer públicos los datos de toda su vida al público en general: nombres de mascotas, de escuelas y universidades, nombres de niñeras y otros muchos detalles personales que son muy fáciles de encontrar en la red. Esto supone que las formas más potentes de identificación, como la autentificación biométrica, sería lo que realmente necesita Internet para poder proteger la integridad de los datos, sobre todo a medida que las empresas están cada vez más expuestas en la red o, como en el caso de cloudFlare se usan servicios en la nube.

Para la mayor parte de los ataques en Internet, estos tres pasos serian suficientes para evitarlos. Pero en el caso de la cuenta de CloudFlare, esta contaba con doble autentificación. Esto solo muestra cuán sofisticado, inteligente y decidido era el atacante. Para poder acceder y resetear la cuenta de Gmail del CEO el atacante tuvo que lograr acceso al número PIN… que fue enviado a la cuenta de correo móvil de AT&T del CEO.

El atacante también fue capaz de superar este reto. Según apuntan las investigaciones el atacante fue capaz de llamar a AT&T y hacerse pasar por el CEO. Aunque el atacante no conocía la respuesta a la pregunta de seguridad de la cuenta del CEO, el conocía los cuatro últimos números del numero de Seguridad Social del CEO. Pero dado que la cuenta es corporativa, no debería haber estado conectada con ese número. Esto permitió al atacante poder redirigir el correo de voz del CEO a un teléfono controlado por el atacante. De nuevo, a la hora de tener acceso a la cuenta – en este caso al correo móvil del CEO – el atacante usa el aspecto más débil de la seguridad para poder resetear y ejecutar el proceso de recuperación de contraseñas. A raíz de este incidente tanto AT&T como Google han cambiando el proceso de verificación para hacerlo más seguro

Conclusión

Del análisis de los hechos y actos realizados por los atacantes se desprende que estos pueden llegar a acceder a cuentas de alto valor. La percepción común del crio de 16 años sentado en su cuarto, en casa de papá y mamá mientras ataca sistemas ya es parte de la historia. A la vista de este y otros sucesos similares, se hacen evidentes las cuestiones de contracultura organizativa, que planifican la realización de ataques sobre la América corporativa

A medida que las empresas plantean sus esquemas de autentificación en Internet, deben ser conscientes de que el proceso de autentificación puede hacerles perder el control de sus operaciones. Proveedores en la nube, IPS móviles, proveedores de internet y otros socios pueden gestionar procesos de reseteo de contraseñas, gestión de cuentas y procesos de pagos que deben ser plenamente entendidos y analizados para reforzar los aspectos más débiles.

Lo bueno de este incidente es que Google y AT&T han trabajado junto con CloudFlare para investigar este ataque, aun cuando estas empresas no eran conscientes de sus debilidades hasta el caso CloudFlare. Solo si se piensa de forma integral en el ecosistema del usuario en la red y en la nube, pueden identificarse las debilidades del sistema. Ahora, por desgracia, CloudFlare es consciente de lo que un atacante puede llegar a hacer para infiltrarse en su red. La pregunta es ¿tiene su empresa que esperar a que los atacantes le perjudiquen para ponerse en marcha?

Sobre el autor:
Randall Gamby es responsable de seguridad de la información del Medicaid Information Service Center de Nueva York (MISCNY). MISCNY mantiene y gestiona una gran cantidad de reclamaciones médicas en Estados Unidos. Anteriormente trabajo como arquitecto de seguridad empresarial para varias empresas del Fortune 500, principalmente en finanzas y seguros. Su experiencia incluye varios años de servicio como analista para el grupo de gestión de riesgos y seguridad Burton. También es miembro de SearchSecurity.com ¡Pregunte al panel de expertos todas sus dudas sobre gestión de accesos e identidad empresarial!

Este artículo se actualizó por última vez en noviembre 2012

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close