¿Qué es un ataque pass-the-hash (PtH)?
Se trata de un tipo de ataque cibernético en el que se roba el hash de una contraseña a los administradores y se utiliza para obtener un acceso no autorizado a toda la red. Este tipo de ataque elimina la necesidad de robar o descifrar una contraseña, ya que todo lo que se requiere es el hash de la contraseña para escalar el acceso dentro de una red y sus sistemas.
¿Qué es el hash de una contraseña?
Para comprender cómo funciona este tipo de ataque, hay que entender primero qué es exactamente el hash de una contraseña. El hash de una contraseña es un algoritmo unidireccional que convierte una contraseña de texto plano en una cadena aleatoria de letras y números que no se puede invertir ni descifrar para mostrar la contraseña real.
El hashing de contraseñas mejora su seguridad al no almacenarlas en texto plano en el servidor. Gracias a este algoritmo, solo el usuario final conoce sus contraseñas en texto plano.
¿Cómo funciona un ataque pass-the-hash?
Estos ataques comienzan cuando un cibercriminal vulnera el equipo de un administrador. Esto se suele conseguir infectándolo con malware a través de técnicas de ingeniería social. Por ejemplo, el administrador puede recibir un correo electrónico de phishing en el que se le urge a que haga clic en un archivo adjunto o enlace. Si lo hace, el malware puede descargarse al instante sin su conocimiento.
Cuando el malware se instala en el equipo del administrador, el cibercriminal recopila los hashes de las contraseñas almacenadas en él. Con tan solo el hash de una contraseña que pertenezca a la cuenta de un usuario privilegiado, los cibercriminales pueden saltarse el protocolo de autenticación de una red o sistema. Si esto ocurre, podrán acceder a información confidencial y moverse lateralmente por la red para obtener acceso a otras cuentas privilegiadas.
¿Qué es lo más vulnerable en un ataque pass-the-hash?
Los equipos Windows son los más susceptibles a sufrir este tipo de ataques debido a una vulnerabilidad en los hashes del NTLM de Windows. El NTLM es un conjunto de protocolos de seguridad de Microsoft, utilizado por muchas organizaciones, que actúa como una solución de inicio de sesión único (SSO).
Esta vulnerabilidad del NTLM permite a los actores de amenazas aprovecharse de las cuentas de dominio vulneradas con tan solo el hash de la contraseña y sin tener que necesitar la real.
Cómo mitigar los ataques pass-the-hash
Invierta en una solución de gestión del acceso privilegiado (PAM)
La gestión del acceso privilegiado hace referencia a la protección y gestión de cuentas que tienen acceso a sistemas y datos altamente sensibles. Las cuentas privilegiadas pueden ser los sistemas de nóminas, las cuentas de administradores de TI o los sistemas operativos, por ejemplo.
Una solución PAM ayuda a las organizaciones a proteger y gestionar el acceso a las cuentas privilegiadas aprovechando el principio de privilegio mínimo (PoLP). Se trata de un concepto de seguridad cibernética según el cual a los usuarios se les da el mínimo acceso a los datos y sistemas que necesitan para hacer su trabajo, y nada más. Con una solución PAM, las organizaciones se aseguran que los usuarios solo pueden acceder a las cuentas que necesitan a través de los controles de accesos basados en roles (RBAC). Las organizaciones también pueden exigir el uso de contraseñas seguras y habilitar la autenticación multifactor (MFA) para asegurar todavía más sus cuentas y sistemas.
Rote periódicamente las contraseñas
Rotar las contraseñas de forma regular puede ayudar a mitigar el riesgo de sufrir un ataque "pass-the-hash", ya que reduce el tiempo de validez del hash robado. Las mejores soluciones PAM son integrales y permiten activar la rotación de contraseñas.
Implemente la confianza cero
La confianza cero es un marco que asume que todos los usuarios han sufrido una violación, requiere que verifiquen su identidad de forma continua y limita su acceso a los datos y sistemas de la red. En lugar de confiar ciegamente en todos los usuarios y dispositivos de una red, la confianza cero no confía en nadie y asume que todos los usuarios pueden estar potencialmente en peligro.
La confianza cero puede ayudar a reducir los riesgos de seguridad cibernética, minimizar la superficie de ataque de una organización y mejorar la auditoría y el monitoreo de la conformidad. Con la confianza cero, los administradores de TI tienen una visibilidad completa sobre todos los usuarios, sistemas y dispositivos. Pueden ver quién se conecta a la red, desde dónde y a qué acceden.
Realice pruebas de penetración de forma regular
En este tipo de pruebas se produce un ataque cibernético simulado contra las redes, sistemas y dispositivos de una organización. Llevar a cabo esta prueba de forma regular puede ayudar a las organizaciones a determinar dónde se encuentran las vulnerabilidades y a solucionarlas antes de que los cibercriminales puedan aprovecharlas.
Mantenga su organización a salvo de los ataques pass-the-hash con KeeperPAM®
KeeperPAM es una solución de gestión del acceso privilegiado de nueva generación que combina Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) y Keeper Connection Manager (KCM) en una plataforma unificada para proteger su organización de los ataques cibernéticos.
