Saltar al contenido principal

Antes de empezar

Debe configurar Breached Password Protection y establecer alertas de umbral.
Los atacantes pueden usar la autenticación basada en contraseñas como objetivo de ataques contra su inquilino. A continuación, se explica cómo identificar e investigar posibles ataques y tomar las medidas de corrección necesarias para proteger a los usuarios y minimizar riesgos adicionales.

Buscar eventos de registro de interés

Al planificar una respuesta, primero revise los mensajes de registro pertinentes para identificar posibles ataques. Por ejemplo, el ataque puede provenir de un conjunto limitado de direcciones IP o de un único número de sistema autónomo (ASN) o país. Los siguientes tipos de eventos de registro del inquilino de Auth0 son relevantes al investigar un ataque de fuerza bruta.
  1. f: error en el inicio de sesión del usuario
  2. fu: error en el inicio de sesión del usuario debido a un nombre de usuario no válido
  3. fp: error en el inicio de sesión del usuario debido a una contraseña no válida
  4. pwd_leak: intento de inicio de sesión con una contraseña filtrada
  5. signup_pwd_leak: intento de registro con una contraseña filtrada
  6. fcoa: error en la autenticación de origen cruzado (estos eventos los genera /co/authenticate, que no debe habilitarse salvo que sea estrictamente necesario)
  7. scoa: autenticación de origen cruzado correcta (estos eventos los genera /co/authenticate, que no debe habilitarse salvo que sea estrictamente necesario)

Detectar ataques con contraseñas comprometidas

Los atacantes suelen emplear técnicas de fuerza bruta (TT1110) para vulnerar la autenticación por contraseña, utilizando redes de bots para adivinar contraseñas y registrarse con credenciales reutilizadas para probar cuentas de usuario.

Adivinación de contraseñas

Empleada con mayor frecuencia por adversarios poco sofisticados, la adivinación de contraseñas (TT1110.001) consiste en que los atacantes, con escaso conocimiento previo de las políticas de su inquilino, intentan repetidamente adivinar contraseñas para acceder a las cuentas. Como los atacantes simplemente intentan averiguar si existe un usuario con una contraseña desconocida, verá una avalancha de eventos fp, fu y fcoa en sus eventos de registro de Auth0.

Password spraying

Los atacantes emplean password spraying (TT1110.003) como un ataque oportunista a gran escala para intentar acceder a cuentas de usuario legítimas. Dado que logran sus objetivos probando contraseñas de uso común, estos ataques suelen activar las protecciones contra fuerza bruta de Auth0. Al igual que en los ataques de adivinación de contraseñas, una gran cantidad de eventos fp, fu y fcoa en sus registros es la mejor forma de detectar si los atacantes están intentando llevar a cabo ataques de password spraying.

Credential stuffing

Si su inquilino usa contraseñas sin requerir un factor adicional, el credential stuffing (TT1110.004) es la técnica de ataque de fuerza bruta más eficaz. Estos ataques aprovechan las filtraciones y la reutilización de contraseñas al intentar iniciar sesión en la cuenta de una víctima con un diccionario de contraseñas filtradas. Los ataques de credential stuffing suelen generar eventos fp (porque es más probable que los atacantes sepan que existe un usuario) y eventos pwd_leak (porque los atacantes intentan iniciar sesión con credenciales comprometidas).

Estrategias de mitigación

Una estrategia integral equilibra la tolerancia al riesgo y las capacidades técnicas de su empresa con la experiencia que tendrán sus usuarios al iniciar sesión. Al decidir cómo responder, tenga en cuenta dos factores principales:
  • Fricción para el usuario: evalúe el impacto de las medidas de mitigación (p. ej., la frecuencia de CAPTCHA, los requisitos de claves de acceso o ) en la experiencia del usuario.
  • Capacidad técnica: evalúe su capacidad para implementar bloqueo de IP, reglas de WAF y exigir MFA.
Auth0 recomienda un enfoque de seguridad por capas que combine varias técnicas de mitigación para lograr una protección óptima. A continuación, se presentan las recomendaciones de Auth0:
  • Active Bot Detection y bloquee las credenciales comprometidas, incluso exigiendo MFA para cuentas potencialmente comprometidas.
  • Active CAPTCHA para uno o más flujos y aumente su frecuencia según sea necesario, pero recuerde que CAPTCHA es un elemento disuasorio, no una solución. Para obtener más información sobre la , lea la guía práctica de Bot Detection.
  • Cambie su proveedor de CAPTCHA si los atacantes logran eludir el CAPTCHA actual, o considere migrar a Auth Challenge de Auth0 o a otro proveedor compatible.
  • Ajuste las reglas de su firewall de aplicaciones web mediante un proveedor perimetral o use listas de control de acceso del inquilino para bloquear IP abusivas, números de sistema autónomo, ubicaciones geográficas, clientes TLS o elementos de encabezado HTTP como cadenas user-agent.
  • Refuerce los umbrales de Brute Force y Suspicious IP para reducir los límites de conexión permitidos y mitigar ataques de fuerza bruta.
  • Deshabilite los endpoints sin estado que sean susceptibles a ataques de credential stuffing modificando la configuración de Cross-Origin Authentication.