Negocios y empresas
Proteja su empresa de los ciberdelincuentes.
Empieze la prueba gratuita¿Qué es un ataque "pass-the-hash" (PtH)?
Se trata de un tipo de ciberataque en el que se roba el hash de una contraseña a los administradores y se utiliza para obtener un acceso no autorizado a toda la red. Este tipo de ataque elimina la necesitad de tener que robar o adivinar la contraseña, ya que lo único que se requiere es su hash para acceder a una red y a sus sistemas y moverse lateralmente.
¿Qué es el hash de una contraseña?
Para comprender cómo funciona este tipo de ataque, hay que entender primero qué es exactamente el hash de una contraseña. El hash de una contraseña es un algoritmo unidireccional que convierte una contraseña de texto plano en una cadena aleatoria de letras y números que no se puede invertir ni descifrar para mostrar la contraseña real.
El "hashing" de contraseñas mejora su seguridad al no almacenarlas en texto plano en el servidor. Gracias a este algoritmo, solo el usuario final conoce sus contraseñas en texto plano.
¿Cómo funciona un ataque "pass-the-hash"?
Estos ataques comienzan cuando un ciberdelincuente compromete el equipo de un administrador. Esto se suele conseguir infectándolo con malware a través de técnicas de ingeniería social. Por ejemplo, el administrador puede recibir un correo electrónico en el que se le urge a que haga clic en un archivo adjunto o enlace. Si lo hace, el malware puede descargarse al instante sin su conocimiento.
Cuando el malware se instala en el equipo del administrador, el ciberdelincuente recopila los hashes de las contraseñas almacenadas en él. Con tan solo el hash de una contraseña que pertenezca a la cuenta de un usuario con privilegios, los ciberdelincuentes pueden saltarse el protocolo de autenticación de una red o sistema. Si esto ocurre, podrán acceder a información confidencial y moverse lateralmente por la red para obtener acceso a otras cuentas con privilegios.
¿Qué es lo más vulnerable en un ataque "pass-the-hash"?
Los equipos Windows son los más susceptibles a sufrir este tipo de ataques debido a una vulnerabilidad en los hashes del NTLM de Windows. El NTLM es un conjunto de protocolos de seguridad de Microsoft, utilizado por muchas organizaciones, que actúa como una solución de inicio de sesión único (SSO).
Esta vulnerabilidad del NTLM permite a los atacantes aprovecharse de las cuentas de dominio comprometidas con tan solo el hash de la contraseña y sin tener que necesitar la real.
Cómo mitigar los ataques "pass-the-hash"
Invierta en una solución de gestión de accesos privilegiados (PAM)
La gestión de los accesos privilegiados hace referencia a la protección y gestión de cuentas que tienen acceso a sistemas y datos altamente sensibles. Algunas cuentas con privilegios pueden ser los sistemas de nóminas, las cuentas de administradores de TI o los sistemas operativos, por ejemplo.
Una solución PAM ayuda a las organizaciones a proteger y gestionar el acceso a las cuentas con privilegios aprovechando el principio de mínimo privilegio (PoLP). Se trata de un concepto de ciberseguridad según el cual a los usuarios se les da el mínimo acceso a los datos y sistemas que necesitan para hacer su trabajo, ni más ni menos. Con una solución PAM, las organizaciones se aseguran que los usuarios solo pueden acceder a las cuentas que necesitan a través de los controles de accesos basados en roles (RBAC). Las organizaciones también pueden exigir el uso de contraseñas fuertes y habilitar la autenticación de varios factores (MFA) para asegurar todavía más sus cuentas y sistemas.
Rote las contraseñas de forma regular
Rotar las contraseñas de forma regular puede ayudar a mitigar el riesgo de sufrir un ataque "pass-the-hash", ya que reduce el tiempo de validez del hash robado. Las mejores soluciones PAM son integrales y permiten activar la rotación de contraseñas.
Aplique la confianza cero
La confianza cero es un marco que asume que todos los usuarios han sufrido una filtración, requiere que verifiquen su identidad de forma continua y limita su acceso a los datos y sistemas de la red. En lugar de confiar de forma implícita en todos los usuarios y dispositivos situados dentro de la red, la confianza cero no confía en nada ni nadie y asume que todos los usuarios podrían verse comprometidos.
La confianza cero puede ayudar a reducir los riesgos de ciberseguridad, minimizar el área de ataque de una organización y mejorar la auditoría y la supervisión de la conformidad. Con la confianza cero, los administradores de TI tienen una visibilidad completa sobre todos los usuarios, sistemas y dispositivos. Pueden ver quién se conecta a la red, desde dónde y a qué acceden.
Realice pruebas de penetración con regularidad
En este tipo de pruebas se produce un ciberataque simulado contra las redes, sistemas y dispositivos de una organización. Llevar a cabo esta prueba de forma regular puede ayudar a las organizaciones a determinar dónde se encuentran las vulnerabilidades y a solucionarlas antes de que los ciberdelincuentes se aprovechen de ellas.
Mantenga su organización a salvo de los ataques "pass-the-hash" con KeeperPAM™
KeeperPAM es una solución de gestión de accesos con privilegios de última generación que combina el gestor de contraseñas Enterprise (EPM) de Keeper, Keeper Secrets Manager (KSM) y Keeper Connection Manager (KCM) en una plataforma unificada para proteger su organización contra los ciberataques.
