Una campaña de ataques de fuerza bruta que lleva varias semanas activa ha alcanzado proporciones gigantescas.
Según la Fundación Shadowserver, la campaña de ataques de fuerza bruta está en curso desde enero involucrando hasta 2,8 millones de direcciones IP diariamente y tiene como objetivo dispositivos VPN, firewalls y gateways de los principales proveedores de todo el mundo.
Lo que hace que este ataque se destaque es tanto su escala (millones de direcciones IP únicas que intentan acceder diariamente) como el hecho de que está afectando infraestructura de seguridad crítica como firewalls, VPN y puertas de enlace seguras.
No se trata de dispositivos cualquiera. Son la primera línea de defensa que protege a las organizaciones de amenazas externas. Si un atacante obtiene el control sobre ellos, puede eludir por completo los controles de seguridad, lo que da lugar a violaciones de datos, espionaje o incluso ataques destructivos.
En un ataque de fuerza bruta, oleadas de contraseñas y nombres de usuario inundan un objetivo de inicio de sesión en un intento de descubrir credenciales de inicio de sesión válidas. Los dispositivos comprometidos pueden usarse para el robo de datos, la integración de botnets o el acceso ilegal a la red.
La amenaza masiva de botnets se intensifica
Dependiendo del tipo de dispositivo afectado, los atacantes podrían aprovechar su acceso para deshabilitar el acceso a Internet de la organización, interrumpir la comunicación entre redes o facilitar su propio acceso dentro de la red. El ataque, incluso si no logra acceder a los dispositivos, puede causar daños al intentar demasiados intentos de inicio de sesión y bloquear cuentas válidas.
Más allá de la pérdida inmediata de datos, estas violaciones pueden interrumpir las operaciones, dañar la reputación de una organización y erosionar la confianza de los clientes, lo que genera consecuencias financieras y de seguridad a largo plazo.
La fuente de estos ataques son millones de dispositivos más pequeños distribuidos por todo el mundo, lo que hace que sea extremadamente difícil defenderse de ellos. Estos dispositivos se encuentran en los hogares de usuarios que disponen de dispositivos viejos y obsoletos que se conectan a Internet, y que son vulnerables. Los atacantes están utilizando estos dispositivos para impulsar ciberataques como este.
Los enfoques tradicionales como el geobloqueo y la prohibición de grandes bloques de direcciones IP podrían en realidad bloquear el tráfico web legítimo, lo que le costaría ventas a algunas organizaciones y daría la impresión de que el sitio web no funciona para los clientes potenciales.
Los ataques basados en credenciales superan las defensas
Los atacantes ya no necesitan sentarse frente a un teclado para adivinar contraseñas. Ahora implementan botnets masivos que pueden probar miles de credenciales en minutos mediante un ataque denominado “password spraying”, con el que los atacantes pueden utilizar un nombre de usuario o una dirección de correo electrónico conocidos y asociarlos con decenas de miles de las contraseñas más comunes a un software que luego intentará iniciar sesión en varios dispositivos expuestos. Con varios millones de dispositivos disponibles para intentar estos inicios de sesión, la tasa de éxito es probablemente alta.
La automatización y la inteligencia artificial generativa han facilitado la implementación de este tipo de ataques porque los hackers saben que si envían suficientes ataques, un porcentaje de ellos logrará pasar. Mientras tanto, los equipos de seguridad están desbordados y no pueden abordar todos los ataques en tiempo real, en particular sin contexto adicional.
La explosión de dispositivos conectados a Internet y el uso continuo de credenciales débiles también contribuyen al aumento de los ataques de fuerza bruta.
El papel de la IA en la defensa y prevención de ciberataques
Si bien la inteligencia artificial contribuye al aumento de los ataques de fuerza bruta, también puede frustrarlos. Los equipos de seguridad están utilizando soluciones impulsadas por IA para detectar anomalías, analizar el comportamiento y automatizar las respuestas a los ataques, ya que una de las fortalezas de la IA es detectar anomalías y patrones.
La IA podría ayudar a las defensas detectando patrones de inicio de sesión anómalos y limitando la actividad sospechosa en tiempo real, pero todo ello no sirve de nada si no se cuenta primero con una autenticación fuerte.
Si bien la autenticación fuerte necesita una gestión de identidad para escalar y los certificados digitales y otros formatos asimétricos fuertes necesitan aprovisionamiento y gestión del ciclo de vida, la IA acabará por eliminar la necesidad de credenciales porque permite combinar la detección de anomalías con la comparación avanzada de patrones para reconocer a personas específicas, no credenciales, con tasas significativamente más bajas de falsos positivos.