El mercado negro de credenciales, más activo que nunca
Existen decenas de miles de páginas y foros clandestinos en la Dark Web: se trata de aquellos que no están indexados a buscadores, de tal forma que se encuentran ocultos si no se conoce previamente su dirección facilitada. No solo constituyen un foro de debate donde se comparten técnicas o herramientas con los que se pueden realizar ciberataques, sino que también pueden servir de mercado negro de compra-venta de datos obtenidos ilícitamente. Por supuesto, en esos casos todas sus transacciones son realizadas con criptomonedas y otros métodos de difícil rastreo para las autoridades.
IABs y RaaS
Cada vez es más frecuente que estas páginas sirvan para que se lleven a cabo campañas de ransomware en las que los ciberdelincuentes pueden gastarse unos pocos dólares en unas herramientas o credenciales completas y obtener un “botín” de rescate de cientos de miles si tiene éxito. Por eso, en estos mercados intervienen dos “actores”:
- Initial Access Brokers (IABs): los individuos o grupos que han logrado obtener esos datos que constituyen una “mercancía” muy valiosa: las credenciales de acceso a redes corporativas de empresas.
- Operadores de ransomware: se trata de los compradores de esas credenciales que después ejecutarán la campaña maliciosa gracias a ellas; o lo que es cada vez más habitual, podrán ofrecer sus servicios como grupo de Ransomware-as-a-Service (RaaS) a hackers que serán los que realicen el ataque.
Subida tres veces mayor
Hace unas semanas, un grupo de analistas de ciberseguridad publicó un informe en el que han analizado cientos de estos foros de la Dark Web y se han encontrado con que el número de credenciales de acceso a redes corporativas a la venta ha subido de 362 en su anterior análisis a 1.099: una subida tres veces mayor en tan solo un año.
El informe señala que la demanda de este mercado ha crecido ante la proliferación de tantos ciberataques de ransomware: muchos individuos y grupos se están animando a entrar en el mercado ante el “éxito” de que tantas organizaciones paguen rescates millonarios. Pero también señalan como causa clave el auge del trabajo en remoto debido a la pandemia: muchas que las credenciales a la venta pertenecen a herramientas de VPN y de RDP.
Punto de Acceso Remoto (RAP)
Nuestro Internet Security Report Q3 2021 también ha reflejado este auge del ransomware y de ciberataques que se aprovechan de herramientas de trabajo remoto. Es por eso que, en este escenario de amenazas, es recomendable que las organizaciones cuenten con soluciones de Punto de Acceso Remoto (RAP) que permitan un acceso completamente seguro a las redes corporativas de la organización.
Ya sea desde una oficina filial o desde su hogar, los empleados se conectan así a un Punto de Acceso Wi-Fi fiable que mediante una red IPSec IKEv2 VPN está vinculada a las oficinas centrales donde se alojan los servidores, que están a su vez protegidos por un dispositivo firewall de última generación.
Además, esto permite a los equipos IT de la organización que puedan gestionar de manera sencilla y centralizada todos los accesos remotos que se produzcan sobre la red corporativa y mantener un estricto control de permisos y credenciales, ya que también les permite implementar soluciones avanzadas de Autenticación Multifactor (MFA) para que comprueben y gestionen adecuadamente las identidades de cada usuario. De esta manera, las redes corporativas estarán mucho más protegidas frente a los intentos de obtener credenciales por parte de los IABs.