El incidente de «E-Root»: la importancia de proteger las cuentas RDP y SSH

Publicado el noviembre 22, 2023

Uno de los cambios más notables en la ciberdelincuencia desde principios del siglo XXI ha sido la evolución de la industria ilegal, que ha pasado de hackers particulares a auténticas empresas rentables. E-Root, un mercado ilegal mundial, fue derribado por las fuerzas del orden en 2020, pero recientemente fue noticia, ya que su administrador se enfrenta a 20 años de prisión por vender cuentas robadas de protocolo de escritorio remoto (RDP) y Secure Shell (SSH).

«E-Root» se especializó en facilitar la venta de diversos bienes digitales, incluidas credenciales robadas y acceso a servidores comprometidos. Los compradores recibieron herramientas de búsqueda filtradas para navegar en el mercado, con criterios como ISP, sistema operativo, RDP o acceso SSH, y más. La organización cibercriminal operaba en una red ampliamente distribuida para mejorar la resiliencia y la evasión, incorporando protecciones para enmascarar las identidades reales de proveedores, compradores y administradores.

Este incidente es un claro recordatorio de la importancia de proteger los accesos privilegiados para evitar violaciones de datos, ya que las amenazas cibernéticas siguen evolucionando y aumentando.

Protocolo de escritorio remoto

El RDP es un protocolo de comunicación de red que permite a los usuarios conectarse de forma remota a las computadoras locales de una organización a través del sistema operativo Windows. También es comúnmente utilizado por los equipos de TI para realizar el mantenimiento del servidor y otras tareas de forma remota.

El RDP funciona como un secreto de infraestructura que utilizan los humanos, generalmente los administradores de TI y el personal de DevOps, aunque a veces los usuarios finales habituales utilizan el RDP para acceder a los archivos de forma remota.

Aunque RDP es una herramienta valiosa para la administración remota, se convierte en un riesgo de seguridad importante si es aprovechado por los cibercriminales. Durante años, las contraseñas RDP comprometidas han sido el vector más común de infecciones de ransomware.

Los ataques de ransomware no son lo único malo que puede ocurrir si una contraseña de RDP se ve comprometida. Una vez que un atacante viola el RDP, puede utilizar herramientas de software y secuencias de comandos en la línea de comandos para encontrar y robar más credenciales, abrirse camino en la red de la organización y acceder a sus archivos. Pueden robar esos archivos, eliminarlos, modificarlos o hacer lo que quieran.

Secure Shell

SSH es un protocolo de red criptográfico que se utiliza para la comunicación segura de datos, el inicio de sesión en línea de comandos remota y otros servicios de red protegidos entre dos computadoras conectadas en red. Las claves SSH y otras credenciales de conexión son recursos vitales para los equipos de DevOps y DevSecOps, que se utilizan ampliamente para el acceso seguro a los servidores.

Utilizar claves SSH y otras credenciales de forma segura es todo un desafío. Transportar claves a través de una red o entre usuarios conlleva riesgos.

Como resultado, las cuentas SSH comprometidas pueden aprovecharse para obtener control no autorizado sobre los servidores y los datos sensibles de una organización.

Si la única forma de robar cuentas de RDP y SSH es a través de conexiones remotas inseguras, ¿hay alguna forma efectiva de evitarlo?

Adoptar medidas para proteger las cuentas RDP y SSH para que no acaben en la Dark Web

Las organizaciones dependen en gran medida de RDP y SSH para un funcionamiento perfecto, lo que las convierte en objetivos principales de los cibercriminales. Las cuentas robadas a menudo terminan en mercados de la dark web como «E-Root».

Si bien la eliminación de E-Root fue un avance positivo, muchos otros mercados ilícitos persisten, lo que subraya la amenaza en curso. Para proteger las credenciales de SSH y RDP del robo y el uso indebido, las organizaciones deben tomar los siguientes pasos proactivos:

Proteja las cuentas privilegiadas: implemente medidas sólidas para definir, gestionar y proteger las cuentas con acceso elevado a los sistemas de TI. Esto implica el almacenamiento de contraseñas y secretos en una bóveda segura, así como controles de acceso basados en roles para restringir las credenciales confidenciales solo a las personas que absolutamente necesitan acceder a ellas.
Aplique el principio de privilegios mínimos: limite los derechos de acceso para los usuarios, las aplicaciones y los sistemas otorgando solo los niveles mínimos de acceso necesarios para que los empleados realicen las tareas requeridas. Con el mínimo privilegio, las organizaciones pueden mitigar el riesgo de acceso no autorizado y posible uso indebido.
Rote las credenciales: Rote periódicamente las credenciales para reducir las amenazas de seguridad asociadas a los despidos de empleados, las infracciones, la exposición a la dark web y mucho más. Esta práctica contribuye a mejorar la seguridad, ya que reduce al mínimo las posibilidades de que los delincuentes se aprovechen de las credenciales comprometidas.
Gestione las sesiones privilegiadas: Asegúrese de que se accede a la infraestructura crítica mediante la gestión de sesiones de cuentas privilegiadas. Todas las sesiones deben ser seguras y las credenciales deben permanecer ocultas para los usuarios finales y evitar el acceso no autorizado.

Keeper® es la mejor opción para proteger las cuentas RDP y SSH

La solución de Gestión del acceso privilegiado (PAM) de Keeper Security es una plataforma de próxima generación para prevenir el acceso no autorizado a sistemas y datos críticos. KeeperPAM™ protege todas sus cuentas RDP y SSH, certificados digitales y otros elementos de conexión sensibles. La arquitectura de confianza cero y conocimiento cero de Keeper significa que sus secretos, credenciales y conexiones remotas solo son accesibles para las personas autorizadas.

Keeper Secrets Manager (KSM) permite a los equipos de DevOps y DevSecOps crear acceso programático dinámico a sus secretos y credenciales dentro de sus sistemas, sin la necesidad de adquirir e instalar nuevo agente de software o hardware. KSM opera en la nube con conexiones preconfiguradas para las herramientas de primer nivel en la industria. Esto facilita una integración perfecta de KSM en la pila tecnológica actual de una organización, eliminando la necesidad de dispositivos adicionales mientras implementa la arquitectura de conocimiento cero y confianza cero de Keeper para obtener el más alto nivel de seguridad.

Keeper Connection Manager (KCM) proporciona al personal de TI y DevOps acceso simple y seguro a RDP, SSH, bases de datos y puntos finales de Kubernetes, sin que se requiera una VPN. Con KCM, no hay agentes: su navegador web es el cliente y no hay impacto en sus controladores de dominio u otros servicios. Los usuarios solo pueden acceder a las conexiones que su administrador les haya otorgado explícitamente con controles de acceso granulares.

Keeper Enterprise Password Manager (EPM) proporciona a los equipos de TI visibilidad y control totales sobre los hábitos de contraseñas de sus usuarios. Cada usuario se aprovisiona con una bóveda digital segura para almacenar y compartir credenciales, claves de acceso, archivos confidenciales y más. Keeper también se integra con SSO y proveedores sin contraseñas para una experiencia de autenticación sin contraseñas de extremo a extremo.

Solicite una demostración de Keeper hoy mismo para proteger a su organización.

Adrien Julienne

De Adrien Julienne

Adrien is the B2B Marketing Campaigns Manager for Keeper Security and contributing writer with over 12 years of experience in the technology industry with a focus on SaaS. Adrien now leads Keeper’s marketing efforts to raise awareness about Keeper as a leader in cybersecurity in its mission to unify critical components of Identity and Access Management and enable zero-trust transformation.