Saltar al contenido principal
La forma más sencilla de que un usuario malintencionado acceda a los privilegios, servicios e información que hay detrás de la pantalla de inicio de sesión es crear, desde el primer día, cuentas falsas bajo su control. Después, los atacantes pueden usar estas cuentas con diversos fines ilícitos, según el contexto empresarial concreto. Entre los objetivos más habituales se incluyen:
  • Ganancia económica: Implica crear cuentas fraudulentas para lograr objetivos como presentar reclamaciones falsas (por ejemplo, registrarse en una cuenta de seguro en línea únicamente para presentar una reclamación fraudulenta) o explotar beneficios e incentivos para nuevos clientes. La creación masiva de cuentas también es un primer paso para lanzar un ataque de SMS pumping.
  • Antigüedad de las cuentas: Los atacantes pueden crear una gran cantidad de cuentas y dejarlas envejecer con el tiempo para que parezcan más legítimas en ataques futuros más sofisticados.
  • Interrupción del servicio: Los intentos de registro a gran escala pueden saturar los sistemas de una organización, lo que podría provocar una denegación de servicio al superar los límites de frecuencia globales y dificultar el acceso a los servicios por parte de usuarios legítimos.
  • Enumeración de nombres de usuario (T1087): Los atacantes pueden intentar registrar rápidamente una gran cantidad de cuentas para determinar si ya existen nombres de usuario concretos en un sistema. Pueden usar esta información para ataques dirigidos, como credential stuffing o phishing.

Detectar ataques de registro

Independientemente del objetivo del atacante, los ataques de registro dejan un rastro de eventos de log específicos que son fundamentales para su detección y análisis. Use Security Center para supervisar posibles ataques contra su inquilino. Puede usar la biblioteca de código abierto de reglas de detección de Auth0 para crear y contribuir con sus propias reglas de detección; por ejemplo, las reglas para fraude de registro por dominios sospechosos y fraude de registro por grandes volúmenes. Entre los indicadores clave se incluyen tipos de eventos de log como fs, ss y signup_pwd_leak en los logs del inquilino de Auth0. Durante la fase de reconocimiento, podría observar solicitudes HTTP POST repetidas dirigidas al endpoint de registro de su inquilino. Esta actividad suele indicar los intentos iniciales de un atacante por sondear su sistema en busca de vulnerabilidades o probar la eficacia de sus procesos automatizados de registro. Para realizar análisis avanzados o correlacionar actividades de inicio de sesión con aplicaciones fuera de Auth0, habilite el streaming de logs.

Estrategias de mitigación

Para mitigar los ataques de registro, recomendamos combinar medidas proactivas con detección y respuesta en tiempo real mediante un enfoque multicapa. Revise las siguientes estrategias para proteger su sistema:
  • Limitación por IP sospechosa: Implemente umbrales de registro agresivos para direcciones IP sospechosas a fin de evitar intentos de registro en gran volumen desde una única fuente.
  • Detección de bots: Emplee mecanismos sólidos de detección de bots para identificar y bloquear intentos automatizados de registro; para ello, habilite la Detección de bots de Auth0 y configure el nivel de detección en Alto.
  • Requisitos agresivos de CAPTCHA: Para una respuesta más agresiva, a costa de una mayor fricción, configure CAPTCHA para que se muestre siempre durante el proceso de registro. Aunque esto supone una pequeña molestia para los usuarios legítimos, puede dificultar la actividad de los bots.
  • Autenticación sin contraseña: Use métodos de autenticación sin contraseña. Esto obliga a los atacantes a mantener acceso persistente al identificador principal (por ejemplo, el correo electrónico o el número de teléfono) utilizado durante el registro, lo que dificulta la creación y el control de numerosas cuentas fraudulentas.
  • Factores de autenticación mejorados: Use WebAuthn como factor de autenticación para ofrecer resistencia al phishing y frustrar por completo objetivos de los atacantes, como el fraude por bombeo de SMS.
  • Lista de control de acceso (ACL) del inquilino: Configure las ACL del inquilino para bloquear tráfico malicioso.
  • Desencadenadores previos al registro de usuarios: Use desencadenadores previos al registro de usuarios para aplicar medidas de verificación de identidad. Esto puede implicar pasos sencillos, como exigir la validación del correo electrónico antes de activar la cuenta, o procesos de verificación más complejos según su perfil de riesgo.
  • Forzar la verificación en el registro: Configure la verificación del correo electrónico durante el registro para exigir que los usuarios verifiquen su correo electrónico antes de iniciar sesión, idealmente mediante una contraseña de un solo uso (OTP).
  • Reglas de Web Application Firewall (WAF): Si está usando un dominio personalizado detrás de un proxy inverso, configure reglas de WAF para bloquear rangos de IP maliciosas conocidos, detectar patrones de solicitudes sospechosos y mitigar vectores de ataque comunes dirigidos a su endpoint de registro.
  • Deshabilitar el registro (la medida más extrema): En escenarios de ataque graves o persistentes, o en aplicaciones en las que el autorregistro de usuarios no es esencial, la medida más extrema es deshabilitar temporal o permanentemente el registro de nuevos usuarios.
  • Eliminar o bloquear cuentas fraudulentas: Después de identificar cuentas fraudulentas, puede usar la de Auth0 para eliminar o bloquear cuentas fraudulentas. Para operaciones masivas, tenga en cuenta los límites de frecuencia de la Management API y contacte con soporte si existe riesgo de superar su límite de frecuencia.
Para obtener más información sobre cómo implementar estrategias de detección y respuesta, lea Detecting Signup Fraud: 3 Ways to Use Auth0 Logs to Protect Your Business.