Saltar al contenido principal

Antes de comenzar

Debe configurar la Protección contra fuerza bruta y configurar los registros y las alertas de umbral.
Los atacantes pueden emplear técnicas de fuerza bruta (TT1110) para obtener acceso a sistemas sensibles. Aunque suelen ser poco sofisticados, la mayoría de los ataques de fuerza bruta pueden frustrarse con facilidad, pero la defensa puede requerir muchos recursos. A continuación, se describen algunas técnicas habituales de ataque por fuerza bruta y orientaciones para identificar e investigar posibles ataques contra su inquilino.

Buscar eventos de registro de interés

Antes de bloquear IPs o responder de otro modo a un ataque, identifique los incidentes revisando los mensajes de registro de interés. El ataque puede provenir de un conjunto limitado de IPs o de un único número de sistema autónomo o país. Los siguientes tipos de eventos de registro son relevantes al investigar un ataque de fuerza bruta. Se encuentran en los registros del inquilino de Auth0.
  1. f: Inicio de sesión fallido del usuario
  2. fu: Inicio de sesión fallido del usuario debido a un username no válido
  3. fp: Inicio de sesión fallido del usuario debido a una contraseña no válida
  4. pwd_leak: Intento de inicio de sesión con una contraseña filtrada
  5. signup_pwd_leak: Intento de registro con una contraseña filtrada
  6. limit_wc: IP bloqueada por >10 intentos fallidos de inicio de sesión en una sola cuenta
  7. limit_sul: Usuario bloqueado por >20 inicios de sesión por minuto desde la misma dirección IP
  8. limit_mu: IP bloqueada por >100 intentos fallidos de inicio de sesión o >50 intentos de registro
  9. fcoa: Error de autenticación de origen cruzado
  10. scoa: Autenticación de origen cruzado exitosa

Adivinación de contraseñas

Los atacantes con escaso conocimiento previo de las políticas de su inquilino pueden intentar adivinar contraseñas repetidamente (TT1110.001) para acceder a cuentas. Dado que los atacantes simplemente intentan determinar si existe un usuario con una contraseña desconocida, sus registros de Auth0 mostrarán numerosos eventos de registro fp, fu y fcoa. Para obtener más información, consulte la guía práctica sobre contraseñas comprometidas de Auth0.

Password spraying

Los atacantes prueban muchas contraseñas de uso frecuente (TT1110.003) para acceder a cuentas de usuario legítimas. Esto suele activar las protecciones de Auth0 contra ataques de fuerza bruta y generar numerosos eventos de registro fp, fu y fcoa en tus registros.

Credential stuffing

El credential stuffing (TT1110.004) es más eficaz cuando se usa contra inquilinos que emplean contraseñas, pero no factores adicionales. Al aprovechar filtraciones de contraseñas e intentar iniciar sesión en la cuenta de una víctima con un diccionario de contraseñas filtradas, los ataques de credential stuffing generan eventos de registro fp y pwd_leak.

Ataques de registro

Los atacantes pueden intentar crear una gran cantidad de cuentas en un corto período de tiempo como parte de un ataque de enumeración de nombres de usuario (T1087), en el que intentan comprobar si existe una cuenta de usuario en su inquilino, o como parte de campañas de fraude de registro. El objetivo es crear muchas cuentas para aprovechar incentivos de registro o crear cuentas con antigüedad para ataques posteriores. Los ataques de registro generan los eventos de registro fs, ss y signup_pwd_leak.

Detección mediante la Auth0 Management API

La Auth0 Management API permite consultar los registros del inquilino con la sintaxis de consulta de búsqueda de registros para los tipos de registro dentro del intervalo de tiempo de interés. Los casos de uso más avanzados se admiten con herramientas de agregación de registros, como almacenes de datos o SIEM, aprovechando los flujos de registros de Auth0. Al usar la Auth0 , el período de tiempo del posible ataque se especifica como date:[startdate to enddate] en formato YYYY-MM-DD. Por ejemplo, 2024-10-01. Use * para representar la fecha actual. Al limitar el período de interés a una posible ventana de ataque, puede recuperar todos los eventos de registro del tipo que le interesa. A continuación, se muestra una consulta de ejemplo que busca ataques de fuerza bruta desde el 1 de octubre de 2024 hasta la fecha: 
date:[2024-10-01 TO *] AND (type:"f" OR type:"fu" OR type:"fp" OR type:"pwd_leak" OR type:"limit_wc" OR type:"limit_sul" OR type:"limit_mu" OR type:"fcoa")
Para realizar análisis avanzados o correlacionar las actividades de inicio de sesión con aplicaciones externas a Auth0, habilite la transmisión de logs a la herramienta externa que prefiera. Revise la documentación de Management API para comprender cómo extraer un subconjunto de eventos de registro de su inquilino para analizarlos.

Estrategias de mitigación

Para obtener una protección óptima frente a los ataques, considere las siguientes estrategias:
  • Habilite la detección de contraseñas comprometidas o Credential Guard para protegerse frente a credenciales comprometidas con una fricción mínima para el usuario, teniendo en cuenta que ninguna de las dos protege contra ataques de diccionario.
  • Active CAPTCHA para uno o varios flujos y aumente su frecuencia según sea necesario, pero recuerde que CAPTCHA es un elemento disuasorio, no una solución.
  • Cambie su proveedor de CAPTCHA si los atacantes eluden el CAPTCHA actual, o considere migrar a Auth Challenge de Auth0 o a otro proveedor compatible.
  • Deshabilite temporalmente la creación de cuentas para todos, incluidos los actores maliciosos.
  • Modifique las reglas de su firewall de aplicaciones web con un proveedor perimetral, o use listas de control de acceso del inquilino, para bloquear IP abusivas, números de sistema autónomo, ubicaciones geográficas, clientes TLS o elementos de encabezado HTTP como las cadenas user-agent, y considere implementar un proxy inverso.
  • Endurezca los umbrales de protección contra fuerza bruta y de IP sospechosa para reducir los límites de conexión permitidos y mitigar los ataques de fuerza bruta.
  • Deshabilite los endpoints no utilizados modificando la configuración de autenticación de origen cruzado si observa eventos fcoa y scoa frecuentes, recordando que Auth0 no recomienda usar autenticación de origen cruzado.
  • Aplique MFA escalonado a las cuentas comprometidas, incluso hasta exigir para las cuentas potencialmente comprometidas.
  • Migre a opciones de MFA más sólidas sustituyendo el MFA basado en SMS o voz por OTP o WebAuthn para mitigar los ataques de bombeo de SMS o de fraude de tarificación.
  • Implemente protecciones de seguridad antifraude del proveedor de SMS/voz, como Preventing Fraud in Verify de Twilio, al usar MFA por SMS/voz.