Guía empresarial para ataques de relleno de credenciales

A. ¿Qué es el relleno de credenciales?

El relleno de credenciales es un tipo de ciberataque que generalmente implica intentos repetidos de iniciar sesión en cuentas en línea utilizando nombres de usuario y contraseñas robadas de otros servicios en línea. Aprovecha la tendencia humana natural a reutilizar las contraseñas para hacer frente al número cada vez mayor de cuentas en línea que deben ser administradas. Los atacantes saben que el nombre de usuario y la contraseña utilizados en un sitio web también pueden usarse en media docena de otros.

A diferencia de muchos otros tipos de ciberataques, los ataques de relleno de credenciales a menudo requieren pocos conocimientos técnicos para montarse. Los atacantes suelen utilizar software gratuito y de fácil acceso, capaz de transmitir cientos de intentos de inicio de sesión simultáneamente sin intervención humana. Un solo atacante puede enviar fácilmente cientos de miles, o incluso millones, de intentos de inicio de sesión a un solo servicio web.

Aunque la mayoría de los intentos de inicio de sesión en un ataque de relleno de credenciales fallarán, un solo ataque puede producir miles de cuentas comprometidas debido al gran volumen de intentos. Los atacantes tienen una variedad de formas de monetizar estas cuentas comprometidas. Pueden, por ejemplo, realizar compras fraudulentas con la tarjeta de crédito guardada del cliente, robar y vender una tarjeta de regalo que el cliente ha guardado en la cuenta, utilizar los datos del cliente robados de la cuenta en un ataque de phishing o simplemente vender las credenciales de inicio de sesión a otra persona en la web oscura.
 

B. Nuestra investigación

Durante un período de varios meses, la Procuraduría General monitoreó varias comunidades en línea dedicadas al relleno de credenciales. La Procuraduría General encontró miles de publicaciones que contenían credenciales de inicio de sesión que habían sido probadas en ataques de relleno de credenciales en un sitio web o aplicación y se confirmó que proporcionaban acceso a una cuenta de cliente. Los miembros de estas comunidades eran libres de usar estas credenciales validadas para ingresar a las cuentas de los clientes por sí mismos, o usarlas para sus propios ataques de relleno de credenciales en los sitios web y aplicaciones de otras empresas.

Después de revisar miles de publicaciones, la Procuraduría General compiló las credenciales de inicio de sesión de las cuentas de los clientes en 17 empresas conocidas, que incluían minoristas en línea, cadenas de restaurantes y servicios de entrega de alimentos. En total, la Procuraduría General recopiló credenciales de más de 1,1 millones de cuentas de clientes, todas las cuales parecían haber sido comprometidas en ataques de relleno de credenciales.

La Procuraduría General se puso en contacto con cada una de las 17 empresas para alertarlas sobre las cuentas comprometidas. La Procuraduría General también pidió a las empresas que investiguen y tomen medidas para proteger a los clientes afectados. Todas las empresas lo hicieron.

La OAG también trabajó con las empresas para determinar cómo los atacantes habían eludido las salvaguardias existentes, y asesoró a las empresas sobre los pasos que podrían tomar para mejorar sus programas de seguridad de datos y proteger mejor las cuentas de los clientes contra el relleno de credenciales. En el transcurso de la investigación de la OAG, casi todas las empresas introdujeron, o presentaron planes para introducir, salvaguardas adicionales.

Protección de los clientes frente a los ataques de relleno de credenciales 

Los ataques de relleno de credenciales se han vuelto tan frecuentes que, para la mayoría de las empresas, son inevitables. Por lo tanto, todas las empresas que mantienen cuentas en línea para sus clientes deben tener un programa de seguridad de datos que incluya salvaguardas efectivas para proteger a los clientes de los ataques de relleno de credenciales en cada una de las cuatro áreas:

1. Defiéndete contra los ataques de relleno de credenciales
2. Detección de una infracción de relleno de credenciales
3. prevenir el fraude y el uso indebido de la información del cliente
4. Responder a un incidente de relleno de credenciales

En las siguientes secciones, la Procuraduría General presenta salvaguardas específicas que han demostrado ser efectivas en cada una de estas áreas. La lista no es exhaustiva, sino que destaca las salvaguardias que pueden ser aplicables a una amplia gama de empresas. Sin embargo, no todas las salvaguardias serán apropiadas para todas las empresas. Las empresas deben evaluar qué salvaguardas implementar en el contexto de sus propias operaciones, teniendo en cuenta factores como el tamaño y la complejidad del negocio, el volumen y la sensibilidad de la información del cliente que mantiene, el riesgo y la escala de las lesiones, y el software y los sistemas que ya están en uso.

Es importante señalar que la efectividad de las salvaguardas identificadas a continuación probablemente cambiará con el tiempo a medida que los atacantes adopten nuevas tácticas. Las empresas deben evaluar periódicamente la efectividad de sus propios controles e implementar nuevas salvaguardas según corresponda.

A. Defensa contra un ataque de relleno de credenciales

Todas las empresas deben mantener salvaguardas efectivas para defenderse contra el acceso no autorizado a las cuentas de los clientes a través de ataques de relleno de credenciales. Para muchas empresas, esto requerirá la implementación de una protección técnica eficaz, como el software de detección de bots o la autenticación multifactor, así como salvaguardas fundamentales, como un firewall de aplicaciones web.

Salvaguardas más efectivas

• Detección de Bot
  Los ataques de relleno de credenciales suelen implicar decenas o cientos de miles de intentos de inicio de sesión que han sido generados por software automatizado o "bots". Uno de los controles más eficaces para mitigar este tipo de ataque es un sistema de detección de bots, un software diseñado específicamente para identificar y bloquear el tráfico de Internet generado por bots. Los sistemas eficaces de detección de bots pueden distinguir entre el tráfico humano y el tráfico de bots, incluso cuando el tráfico de bots se ha disfrazado, por ejemplo, rotando entre varias direcciones IP o identificadores de dispositivos.
  
  Aunque los sistemas de detección de bots se pueden desarrollar internamente, muchas empresas utilizan servicios de terceros para la detección y mitigación de bots. Una ventaja de un servicio de terceros es que puede operar en cientos de sitios web y aplicaciones, proporcionando acceso a una gran cantidad de datos que pueden ayudar a revelar patrones de bots que no serían evidentes para un solo operador de sitio web.
  
  La detección de bots puede ser muy eficaz para mitigar los ataques de relleno de credenciales. Una cadena de restaurantes informó a la Procuraduría General que su proveedor de detección de bots había bloqueado más de 271 millones de intentos de inicio de sesión durante un período de 17 meses. Otra empresa con la que se puso en contacto la Procuraduría General vio más de 40 millones de intentos de inicio de sesión bloqueados durante un período de dos meses. Es probable que historias de éxito como estas hayan contribuido a la popularidad de los sistemas de detección de bots: 12 de las empresas con las que se puso en contacto la Procuraduría General han implementado o tienen planes de implementar un sistema de detección de bots.
  
  Los sistemas CAPTCHA, que adoptan un enfoque diferente para distinguir entre humanos y bots, pueden no ser tan efectivos como otras tecnologías de detección de bots. El software se ha vuelto experto en resolver muchos tipos de desafíos de CAPTCHA sin intervención humana. Además, los desafíos de CAPTCHA pueden ser completados por humanos reales en granjas de CAPTCHA, generalmente ubicadas en el extranjero.
   
• Autenticación multifactor
  Otra protección eficaz para evitar ataques de relleno de credenciales es la autenticación multifactor, también conocida como MFA. MFA requiere que un usuario presente dos o más tipos de credenciales para iniciar sesión en su cuenta. Las credenciales deben provenir de dos (o más) de las siguientes categorías:
      1. algo que el usuario conoce (como una contraseña)
      2. algo que el usuario tiene (como un teléfono móvil)
      3. algo que el usuario es (como una huella dactilar)
  
  La mayoría de los atacantes que tienen acceso a una contraseña robada no tendrán acceso a otros tipos de credenciales.
  
  Aunque la MFA fue utilizada históricamente por organizaciones que mantenían información altamente confidencial, como las instituciones financieras, en los últimos años la MFA ha visto una adopción más generalizada. Seis de las empresas con las que se puso en contacto la Procuraduría General utilizan o tienen planes de implementar MFA.
  
  Las empresas a menudo implementan un segundo factor a través de uno de tres mecanismos:
      1. una llave de seguridad física
      2. Una app auténtica
      3. correo electrónico o mensajes de texto SMS que contengan un código o enlace de un solo uso
  
  Las llaves de seguridad físicas y las aplicaciones de autenticación suelen ser métodos de autenticación más seguros, ya que técnicas como el intercambio de SIM y la ingeniería social pueden permitir a atacantes decididos robar un código enviado por mensaje de texto o correo electrónico. Al seleccionar un mecanismo a implementar, las empresas deben sopesar el riesgo de daño de un inicio de sesión no autorizado frente a la complejidad y la facilidad de uso del sistema MFA.
   
• Autenticación sin contraseña
  La autenticación sin contraseña es, como su nombre indica, un método para autenticar a los usuarios que no depende de una contraseña. En su lugar, los usuarios se autentican mediante un tipo diferente de factor de autenticación, ya sea "algo que el usuario tiene" o "algo que el usuario es". De manera similar a MFA, las implementaciones más comunes usan una aplicación de autenticación, un código de autenticación de un solo uso enviado por SMS o correo electrónico, o un enlace enviado por correo electrónico.
  
  Aunque la autenticación sin contraseña aún no se ha adoptado ampliamente, ha ganado terreno en los últimos años. Una de las empresas con las que se puso en contacto la Procuraduría General confía en la autenticación sin contraseña.

Otras salvaguardas

• Firewalls de aplicaciones web
  La mayoría de las empresas deben utilizar un firewall de aplicaciones web (WAF) como primera línea de defensa contra el tráfico malicioso. Los WAF pueden incluir una variedad de características capaces de mitigar ataques básicos a aplicaciones web. Sin embargo, los sofisticados ataques de relleno de credenciales suelen ser capaces de eludir la mayoría de las medidas de seguridad de WAF. A continuación se identifican varias características comunes de WAF.
• Limitación de tarifas: En la mayoría de los casos, las empresas deben bloquear o limitar el tráfico de cualquier usuario que haya intentado iniciar sesión en varias cuentas de clientes en rápida sucesión. Este tipo de limitación de velocidad es un control de bajo costo y puede ser efectivo contra ataques básicos. ⁵
• Análisis de solicitudes HTTP: La mayoría de los WAF analizan la información del encabezado y otros metadatos de las solicitudes entrantes para identificar el tráfico que probablemente sea malicioso. Las empresas deben considerar implementar el análisis de solicitudes HTTP y evaluar si bloquear o estrangular solicitudes con las siguientes características sería efectivo para bloquear el tráfico malicioso:
  • solicitudes que utilizan direcciones IP, o que se originan en redes, que han sido identificadas como maliciosas
  • solicitudes que se originan en un área geográfica fuera de la base de clientes
  • solicitudes que se originan en proveedores de servidores privados virtuales, como Amazon Web Services o centros de datos comerciales.
  • solicitudes que se originan en navegadores sin encabezado o navegadores que carecen de motores de ejecución de JavaScript, o que tienen otros atributos exclusivos de las herramientas comunes de relleno de credenciales
• Lista negra de direcciones IP: Algunas empresas mantienen una lista de direcciones IP que han participado recientemente en ataques y que bloquean o limitan el tráfico asociado con esas direcciones IP. Las empresas también pueden suscribirse a fuentes de inteligencia de amenazas ofrecidas por terceros para completar listas negras de direcciones IP.
• Prevención de la reutilización de contraseñas comprometidas
  Las empresas pueden evitar que los atacantes accedan al menos a algunas cuentas de clientes evitando que los clientes reutilicen contraseñas que se hayan visto comprometidas anteriormente. Por lo general, esta funcionalidad se basa en proveedores externos que compilan credenciales de violaciones de datos conocidas. Cuando un cliente selecciona una contraseña, esta se compara con las contraseñas de la biblioteca de datos robados; Si la contraseña coincide, se le pide al cliente que elija otra contraseña.

B. Detección de una violación de relleno de credenciales

En la interminable carrera armamentista contra los atacantes, ninguna salvaguarda es 100 por ciento efectiva. Por lo tanto, todas las empresas deben contar con un medio eficaz para detectar los ataques de relleno de credenciales que han eludido otras medidas de seguridad y han comprometido las cuentas de los clientes. En la mayoría de los casos, esto requerirá un monitoreo sistemático del tráfico de clientes. Otras salvaguardas pueden complementar el seguimiento proporcionando un control utilizando diferentes fuentes de información.

La salvaguarda más eficaz

1. Seguimiento de la actividad del cliente
   La mayoría de los ataques de relleno de credenciales se pueden identificar a través de las huellas que dejan en el tráfico de clientes. Los ataques a menudo aparecen como picos en el volumen de tráfico o intentos fallidos de inicio de sesión. Incluso los sofisticados ataques de relleno de credenciales tienen firmas de ataque que se pueden identificar mediante el análisis de la actividad del cliente. Por lo tanto, la mayoría de las empresas deben contar con procesos para monitorear sistemáticamente el tráfico de clientes.
   
   En la mayoría de los casos, el monitoreo debe automatizarse, al menos parcialmente, para proporcionar métricas consistentes y comparables y vigilancia las 24 horas del día. Esta automatización puede consistir en un proceso de software que se ejecuta en segundo plano y alerta al personal adecuado si se cumple algún punto de referencia: por ejemplo, cuando el número de intentos de inicio de sesión fallidos durante un cierto período de tiempo supera un umbral predefinido. En otros casos, serán apropiadas técnicas de monitoreo más sofisticadas.
   
   Los WAF y los servicios de detección de bots de terceros pueden proporcionar capacidades de supervisión eficaces, así como herramientas que pueden ayudar a una empresa a revisar el tráfico de clientes.
   
   Otras salvaguardias
   En la mayoría de los casos, las siguientes medidas de seguridad no serán suficientes por sí solas para servir como un medio eficaz para detectar ataques exitosos. Sin embargo, pueden ser complementos eficaces de otros controles de seguridad, como la supervisión sistemática.
    
2. Monitoreo de reportes de fraude de clientes
   Los informes de fraude y acceso no autorizado de los clientes pueden indicar que las cuentas de los clientes han sido objeto de un ataque de relleno de credenciales. Por ejemplo, los ataques pueden reflejarse en el volumen de consultas de atención al cliente que recibe una empresa. Los patrones en lo que informan los clientes, por ejemplo, quejas repetidas de clientes sobre saldos de tarjetas de regalo robadas o pedidos no autorizados realizados a una dirección no reconocida, también pueden^{indicar ataques} exitosos de relleno de credenciales.
   
   Las empresas deben considerar la posibilidad de supervisar sistemáticamente los informes de fraude y acceso no autorizado de los clientes en busca de pruebas de ataques. Esto podría implicar, por ejemplo, la revisión periódica del volumen de casos de fraude a lo largo del tiempo para identificar picos u otros patrones. Las empresas tambien deben establecer canales claros de comunicacion entre el servicio de atención al cliente y el personal de seguridad de la informacion para detectar y detener los ataques de relleno de credenciales lo más rapidez posible.
    
3. Aviso de actividad de la cuenta
   Notificar a los clientes sobre actividad inusual o significativa en la cuenta puede servir para varios propósitos. El aviso brinda al cliente la oportunidad de revisar su cuenta en busca de compras o actividades no autorizadas. Si el cliente determina que la actividad no estaba autorizada, puede informar de esa actividad no autorizada a la empresa. A continuación, la empresa puede tomar medidas para proteger la cuenta del cliente y utilizar el informe para ayudar a determinar si la actividad no autorizada formaba parte de un ataque más amplio que afectaba a otros clientes.
   
   Las empresas deben identificar los desencadenantes apropiados para el envío de avisos. En muchos casos, se debe alertar a un cliente cuando se ha accedido a su cuenta desde un dispositivo no reconocido o una nueva ubicación. En algunos casos, también puede ser apropiado notificar a los clientes cuando se han realizado cambios significativos en sus cuentas, como un cambio en la contraseña o la dirección postal.
   
   Un bajo volumen de fraude denunciado por los clientes no es un indicador fiable de que no se haya producido el relleno de credenciales. Algunos atacantes monetizan cuentas comprometidas sin llamar la atención de los clientes.
    
4. Inteligencia de amenazas
   Después de un ataque exitoso, los atacantes a menudo compartirán o venderán los datos de las cuentas de clientes que han robado o las credenciales de inicio de sesión de los clientes que han validado. Muchas empresas de inteligencia de amenazas de terceros ofrecen servicios que monitorean los canales y foros de mensajería en línea en busca de signos de credenciales o cuentas comprometidas de una empresa. Cuatro de las compañías contactadas por la Procuraduría General informaron que utilizaron una compañía de inteligencia de amenazas para monitorear Internet en busca de señales de que las cuentas de los clientes se han visto comprometidas.

C. Prevención del fraude y uso indebido de la información del cliente

Cada empresa debe tener salvaguardas efectivas para evitar que un atacante con acceso a una cuenta de cliente realice una compra fraudulenta utilizando información de pago almacenada o robando fondos de clientes.

La salvaguarda más eficaz

1. Re-autenticación en el momento de la compra
   Una de las medidas de seguridad más eficaces para evitar que los atacantes utilicen de forma fraudulenta la información de pago almacenada de los clientes es la reautenticación en el momento de la compra. Para ciertos métodos de pago, como las tarjetas de crédito, las empresas suelen volver a autenticar la información de pago almacenada. Por ejemplo, los comerciantes en línea con frecuencia requieren que los clientes vuelvan a ingresar el número de tarjeta de crédito o el código CVV cuando se realiza un pedido a una nueva dirección utilizando una tarjeta de crédito almacenada.
   
   Para otros métodos de pago, como tarjetas de regalo, crédito de la tienda y puntos de fidelidad, las empresas suelen volver a autenticar al cliente. Por ejemplo, una cadena de restaurantes envía a sus clientes un código de autenticación cuando un cliente utiliza puntos de fidelidad para realizar un pedido en una tienda que el cliente no ha visitado anteriormente. A continuación, el cliente debe introducir el código de autenticación para completar el pedido. Es fundamental que las empresas exijan una nueva autenticación para todos los métodos de pago que acepten. La Procuraduría General se encontró con un caso tras otro en el que los atacantes pudieron explotar las brechas en las protecciones contra el fraude de los comerciantes al realizar una compra utilizando un método de pago que no requería una nueva autenticación.
   
   Las empresas también deben identificar los desencadenantes apropiados para la reautenticación. Como se señaló anteriormente, muchos comerciantes que envían o entregan productos requieren una nueva autenticación cuando un cliente ingresa una nueva dirección. Sin embargo, este desencadenante no será apropiado para todas las empresas y situaciones. Por ejemplo, una cadena de restaurantes que permite a los clientes recoger sus comidas puede requerir una nueva autenticación cuando se realiza un pedido en una ubicación de restaurante que el cliente no ha visitado anteriormente.
   
   Otras salvaguardias
    
2. Detección de fraude de terceros
   Algunas empresas utilizan servicios de terceros para identificar transacciones sospechosas o fraudulentas. Estos servicios de detección de fraudes suelen funcionar analizando los datos de los clientes y de las transacciones en busca de indicios de que una compra no está autorizada. Aunque estos servicios pueden identificar y bloquear ciertas compras fraudulentas, por sí solos generalmente no son tan efectivos para mitigar el fraude como los enfoques basados en la reautenticación. Además, muchos de estos servicios solo son capaces de analizar las transacciones con tarjetas de crédito y no se pueden implementar con otros métodos de pago.
    
3. Mitigación de la ingeniería social
   En determinadas circunstancias, los atacantes pueden eludir las medidas de seguridad que, de otro modo, serían eficaces manipulando o engañando a los representantes del servicio de atención al cliente mediante una técnica conocida como ingeniería social. En un ejemplo que descubrió la Procuraduría General, los atacantes pudieron eludir repetidamente la MFA de un minorista en línea convenciendo al personal de servicio al cliente para que enviara un código de autenticación a través del chat de soporte en línea, en lugar de por correo electrónico. Los atacantes utilizaron el código de autenticación para realizar pedidos a una nueva dirección de envío utilizando la información de la tarjeta de crédito almacenada del cliente. En otro ejemplo, los atacantes eludieron la reautenticación que normalmente se requeriría para la entrega a una nueva dirección llamando al servicio de atención al cliente y solicitando la entrega a una nueva dirección después de completar una compra.
   
   La mayoría de las empresas deben desarrollar políticas que anticipen los ataques de ingeniería social y capacitar al personal relevante en esas políticas. En los ejemplos descritos anteriormente, las políticas que prohibían al personal de servicio al cliente divulgar códigos de autenticación a través del chat en línea o redirigir pedidos sin una nueva autenticación probablemente habrían mitigado las transacciones fraudulentas. Las empresas pueden probar la efectividad de estas políticas y capacitación a través de ataques de ingeniería social simulados.
    
4. Prevención del robo de tarjetas de regalo
   Las tarjetas de valor almacenado de marca, también conocidas como tarjetas de regalo, pueden ser un objetivo atractivo para los atacantes. A diferencia de las tarjetas de crédito, las tarjetas de regalo no están inextricablemente vinculadas a un cliente en particular, por lo que a menudo pueden ser utilizadas por quien las posea. Además, algunos minoristas permiten que las tarjetas de regalo, o los saldos de las tarjetas de regalo, se transfieran directamente de una cuenta de cliente a otra. Además, las empresas han utilizado históricamente medidas más débiles para asegurar las tarjetas de regalo, permitiendo su transferencia y uso sin volver a autenticar al cliente o intentar determinar si la transacción es fraudulenta. Como resultado, los atacantes han podido vender tarjetas de regalo robadas o saldos de tarjetas de regalo en la web oscura, o incluso en sitios web legítimos que revenden tarjetas de regalo.
   
   Las empresas deben asegurarse de mantener salvaguardas razonables para evitar el robo de tarjetas de valor almacenado y fondos asociados. Lo más importante es que la transferencia de tarjetas de regalo entre cuentas de clientes y la transferencia de fondos entre tarjetas de regalo deben estar restringidas o requerir una nueva autenticación. Además, las empresas deben ofuscar los números de las tarjetas de regalo, por ejemplo, mostrando solo los últimos cuatro dígitos del número de la tarjeta de regalo, al igual que un número de tarjeta de crédito.

D. Respuesta a incidentes

Todas las empresas deben contar con un plan escrito de respuesta a incidentes que incluya procesos para responder a los ataques de relleno de credenciales. Estos procesos deben incluir, como mínimo, investigación, corrección y notificación.⁷

1. Investigación
   Cuando una empresa tiene motivos para creer que las cuentas de los clientes han sido objeto de un ataque, debe realizar una investigación oportuna. La investigación debe diseñarse para determinar, como mínimo, si se accedió a las cuentas de los clientes sin autorización y, en caso afirmativo, qué cuentas se vieron afectadas y cómo los atacantes pudieron eludir las medidas de seguridad existentes.
   
   Un monitoreo efectivo puede reducir en gran medida el tiempo y los recursos necesarios para una investigación. Por ejemplo, algunas tecnologías de detección de bots se pueden configurar para permitir la identificación rápida de las cuentas de los clientes que se han visto afectadas por un ataque.
    
2. Remediación
   Cuando una empresa ha determinado que se ha accedido a las cuentas de los clientes, o es razonablemente probable que se haya accedido, sin autorización, debe actuar rápidamente para bloquear el acceso continuo de los atacantes a las cuentas. En la mayoría de los casos, esto requiere restablecer inmediatamente las contraseñas de las cuentas que probablemente se vieron afectadas en los ataques. En algunos casos, también puede ser apropiado congelar las cuentas relevantes.
   
   En algunas situaciones, es posible que no sea posible que una empresa determine con certeza si los atacantes accedieron a ciertas cuentas o ciertos datos. En estos casos, la empresa debe tratar como comprometida cualquier cuenta o dato que tenga una probabilidad razonable de haber sido comprometido.
   
   La empresa también debe tomar medidas para defenderse contra ataques similares en el futuro, cerrando las brechas en las salvaguardas existentes que los atacantes explotaron para obtener acceso a las cuentas de los clientes.
    
3. Notificar a los clientes
   En la mayoría de los casos, las empresas deben notificar rápidamente a cada cliente cuya cuenta haya sido, o sea razonablemente probable que se haya accedido, sin autorización. El aviso permite a los clientes tomar medidas para protegerse, como revisar sus cuentas en línea y las cuentas financieras asociadas para detectar fraudes y proteger otras cuentas en línea que usan las mismas credenciales de inicio de sesión comprometidas.
   
   El aviso debe transmitir de manera clara y precisa información material sobre el ataque que sea razonablemente individualizada para el cliente.⁸ Esto requeriría, como mínimo, revelar si se accedió a la cuenta del cliente en particular sin autorización y, de manera más general, el momento del ataque, a qué información del cliente se accedió y qué acciones se han tomado para proteger al cliente.
   
   En algunos casos, puede ser apropiado ponerse en contacto con los clientes antes de que concluya una investigación. En estos casos, la empresa debe revelar que la investigación está en curso y, si corresponde, que ciertos hallazgos son tentativos y pueden cambiar a medida que se desarrolla más información.

Conclusión

El crecimiento explosivo del relleno de credenciales no muestra signos de disminuir, impulsado por el número cada vez mayor de credenciales robadas que están disponibles para los atacantes. Sin embargo, las empresas pueden mitigar significativamente los riesgos de relleno de credenciales para su negocio y sus clientes manteniendo un programa integral de seguridad de datos con la combinación adecuada de medidas de ciberseguridad.

¹ Sombras digitales, de la exposición a la toma de posesión: los 15 mil millones de credenciales robadas que permiten la toma de cuentas (2020), https://resources. digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover

² Akamai, Phishing para Finanzas (mayo de 2021), https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/soti-securityphishing - for-finance-report-2021.pdf

³ Ponemon Institute, El costo del relleno de credenciales (2017)

⁴ Esta guía no pretende sobrepasar las leyes o regulaciones federales o estatales existentes en materia de seguridad de datos.

⁵ Los atacantes que disfrazan el origen de un intento de inicio de sesión, por ejemplo, rotando a través de múltiples direcciones IP proxy, a menudo pueden evadir los controles de limitación de velocidad.

⁶ Un bajo volumen de fraude reportado por los clientes no es un indicador confiable de que no se haya producido el relleno de credenciales. Algunos atacantes monetizan cuentas comprometidas sin atraer la atención del cliente.

⁷ Este documento no pretende ser una guía completa para la respuesta a incidentes y cubre solo aquellos aspectos de la respuesta a incidentes que son exclusivos de los ataques de relleno de credenciales.

⁸ En ciertas circunstancias, las leyes federales y estatales existentes pueden requerir el método, el contenido y el momento de la notificación. Esta guía debe interpretarse de manera que sea congruente con esas leyes