¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
El kerberoasting es un tipo de ataque cibernético dirigido a cuentas de servicio que hacen uso del protocolo de autenticación Kerberos. Los atacantes aprovechan el protocolo de autenticación para extraer hashes de contraseñas y descifrar las contraseñas de texto sin formato adjuntas a la cuenta. Estos ataques son frecuentes porque pueden ser difíciles de detectar y mitigar. Si no se implementan técnicas de detección y prevención, el kerberoasting se convierte en una amenaza grave porque permite a los cibercriminales vulnerar cuentas muy privilegiadas y configurar potencialmente autorizaciones para futuros accesos.
Siga leyendo para obtener más información sobre los ataques de kerberoasting y cómo proteger sus cuentas de ellos.
Antes de entender qué son los ataques de kerberoasting, hay que entender qué es Kerberos y cómo funciona. Kerberos es un protocolo de autenticación de red informática diseñado para confirmar la validez de los usuarios a través de un servicio de concesión de tickets. Este sistema consta de tres partes principales: el cliente, el servidor y un centro de distribución de claves (KDC).
Kerberos es un protocolo integrado en entornos de Windows Active Directory (AD) que se utiliza mucho. También se utiliza en otros sistemas operativos populares, como macOS, Linux y FreeBSD.
Conocer el proceso interno de los ataques de kerberoasting es fundamental para poner en práctica las técnicas de prevención. Estos son los pasos típicos que sigue un atacante para infiltrarse en cuentas de servicio.
Lo primero que hace el atacante es atacar una cuenta de servicio no segura asociada a un nombre principal de servicio (SPN), que es una identificación exclusiva que permite a los usuarios acceder a una cuenta específica. Los ciberdelincuentes atacan específicamente los SPN porque la autenticación de Kerberos utiliza estrictamente el SPN para facilitar el servicio al cliente.
El atacante aprovecha la cuenta vulnerada y se hace pasar por el usuario de la cuenta para solicitar numerosos tickets desde el centro de distribución de claves (KDC), un dominio que controla quién puede acceder a una red.
Una vez que el atacante recibe un ticket del servicio de concesión de tickets (TGS), lo extrae y utiliza una variedad de herramientas y técnicas sin conexión para descifrar la contraseña. A menudo, se utilizan técnicas de ataque de fuerza bruta para descifrar el hash de la contraseña. Este método implica introducir numerosas combinaciones de contraseñas hasta descubrir la correcta.
Una vez que el atacante haya logrado acceder con éxito a la cuenta, podrá acceder a todas las redes, recursos, información y datos. En la mayoría de los casos, los atacantes se otorgarán a sí mismos privilegios de cuenta más altos para poder acceder a más datos sensibles, realizar acciones maliciosas y configurar medios por los que acceder en el futuro.
Detectar los ataques de kerberoasting lo antes posible puede ayudar a minimizar los daños. A continuación, presentamos dos indicios a los que debe prestar atención para identificar un posible ataque de kerberoasting.
El cifrado RC4 es uno de los cifrados de flujo más comunes debido a su sencillez y velocidad. Los atacantes suelen utilizar esta técnica para cifrar los datos y ejecutar ataques de fuerza bruta. Por lo tanto, cuando reciba solicitudes de ticket cifradas utilizando un algoritmo de cifrado RC4, lo primero que debe hacer es deshabilitar de inmediato el uso de RC4 para la autenticación de Kerberos.
Si recibe un volumen inusual de solicitudes de servicio de concesión de tickets, debe investigarlo de inmediato. Sería recomendable establecer un número de referencia para determinar qué es un volumen de solicitudes anormal. Esto crea una mejor estructura y seguridad en general.
Los ataques de kerberoasting pueden parecer intimidantes, pero no son motivo de preocupación. Hay varias formas de protegerse a usted y a su organización de ellos. Le sugerimos cinco prácticas recomendadas para evitar estos ataques.
Una de las formas más fáciles y efectivas de evitar el kerberoasting es mediante el uso de contraseñas seguras, ya que las contraseñas suelen ser el primer objetivo de los ataques cibernéticos. Tener una barrera fundamental sólida dificulta las cosas a los atacantes y merma la vulnerabilidad de su organización. Una contraseña segura debe ser exclusiva, compleja y larga. Una contraseña sencilla que contenga información personal o secuencias comunes puede servir para acordarse de ella con facilidad, pero estaríamos ante una contraseña no segura. Las contraseñas no seguras pueden descifrarse fácilmente, lo que aumenta el riesgo de ser hackeadas.
Una contraseña segura debe incluir una combinación aleatoria de números, letras y símbolos. Plantéese la posibilidad de utilizar un gestor de contraseñas, una herramienta diseñada para evitar que las cuentas sean vulneradas generando y almacenando de forma segura todas sus contraseñas en un solo lugar.
La autenticación multifactor (MFA) supone una capa adicional de seguridad que requiere que los usuarios introduzcan información adicional además de su nombre de usuario y contraseña. Este paso adicional de demostrar la identidad reduce, en general, el riesgo de violación de seguridad. Hay varios tipos de factores de autenticación, como los códigos de un solo uso, la autenticación biométrica, la ubicación geográfica o las preguntas de seguridad. Dado que muchas personas utilizan contraseñas no seguras, habilitar la MFA es una medida adicional para proteger las cuentas.
Seguir el principio de privilegios mínimos es un concepto fundamental porque limita el acceso de los usuarios solo a los recursos y funciones esenciales del sistema. Si gestionan cuidadosamente ciertos derechos de acceso y permisos, las organizaciones reducen el riesgo de violaciones y el posible impacto de las que lleguen a producirse.
Una estrategia sólida de gestión de identidades y accesos representa un marco integral y un conjunto de prácticas estándar que ayudan a proteger a una organización. Puede incluir políticas y procedimientos que garanticen que solo las personas autorizadas tengan acceso a los servicios de la organización. Una forma común de abordar esta estrategia es implementando una solución de gestión del acceso privilegiado (PAM). Las soluciones PAM se centran en restringir y supervisar las cuentas privilegiadas de una organización que tengan acceso a información confidencial. Las soluciones PAM son más productivas y sencillas que la gestión manual de estos usuarios privilegiados.
Con una sola contraseña no segura y la falta de vigilancia, los cibercriminales que perpetran ataques de kerberoasting pueden obtener fácilmente acceso a las cuentas críticas y causar daños significativos a la organización. En el ámbito actual de la seguridad cibernética, la protección contra los ataques de kerberoasting es vital para preservar la información confidencial.
La solución PAM de nueva generación de Keeper, KeeperPAM™, permite a las organizaciones realizar seguimientos y proteger a todos los usuarios privilegiados combinando Enterprise Password Management (EPM), Keeper Secrets Management (KSM) y Keeper Connection Management (KCM) en una sola plataforma.
Para comprobar cómo KeeperPAM puede proteger a su organización de los ataques de kerberoasting, solicite una demo hoy mismo.