"Alguien intentó iniciar sesión con tu cuenta y lo hemos bloqueado", esta y otras variedades de mensajes sobre "Inicios de sesión sospechosos" no deben ser algo extraño para la mayoría de los usuarios de cuentas en linea. Muchas veces nos llegan porque nosotros mismos iniciamos sesión desde un dispositivo nuevo, o desde una IP desconocida, y para protegernos, el proveedor lo bloquea y nos avisa.
Esto no es porque a las empresas les guste hacernos la vida más difícil o enviarnos SPAM (que también pasa), es porque los inicios de sesión fraudulentos son una verdadera plaga moderna. Tanto así que las redes de bots actualmente son capaces de iniciar tantos que la ola tiene el efecto de un ataque DDoS.
Se llaman "ataques de relleno de credenciales" (_Credential stuffing attacks_), y son un problema especialmente alarmante en el sector financiero. Usando botnets que se aprovechan de los nombres de usuario y contraseña que se exponen en brechas de datos.
Los bots intentan iniciar sesión en un servicio de forma repetida usando múltiples combinaciones, y dado que la práctica de usar la misma contraseña en diferentes servicios no desaparece y probablemente no lo vaya a hacer pronto, tienen probabilidades de tener éxito. Ahí tienes otra razón más para tener más cuidado con tus contraseñas.
30 mil millones de intentos de inicio de sesión fraudulentos en menos de un año
Sí, treinta mil millones fue la cantidad de intentos de este tipo que registró Akamai apenas entre noviembre de 2017 y junio del 2018. Akamai es una empresa que ofrece servicios de mitigación de ataques DDoS, quizás te suene su nombre porque son los mismos que ayudaron a GitHub a sobrevivir el mayor ataque DDoS de la historia en solo 10 minutos el pasado mes de marzo.
Y la tendencia es una en subida extraordinaria, tan solo en los últimos dos meses, los bots generaron 8.300 millones de intentos de inicio de sesión con credenciales robadas. En su reporte llamado "State of the Internet", Akamai describe ataques de este tipo sufridas por dos empresas del sector financiero, una de las cuales fue atacada por tres botnets al mismo tiempo.
El aumento en el tráfico que generan es tanto que lo comparan con un ataque DDoS, cuando una sola empresa recibe cientos de miles o millones de intentos de inicio de sesión a través de decenas de miles de direcciones IP, miles de ISPs, y miles de _user agents_, se trata de botnets bastante inteligentes y más difíciles de detectar.
Este tipo de amenaza va a seguir creciendo, principalmente porque son fáciles de montar y el requerimiento principal es una base de datos con credenciales robadas. Estas últimas sobran, y si no son públicas ya (mira el uso diferente que hacen de ellas en Have I Been Pwned?), las venden en la dark web por montones.
Vía | Bleeping Computer
En Genbeta | Cómo esta lista de 500 millones de contraseñas hackeadas puede ayudar a protegernos de futuras brechas de seguridad