El ataque pass-the-hash es un tipo de ciberataque que ha ganado mucha atención en los últimos tiempos en el entorno digital. En un ataque pass-the-hash (PtH), los piratas informáticos explotan contraseñas con hash o credenciales de inicio de sesión de usuario con hash para obtener acceso no autorizado a los sistemas.
Los ataques PtH se han convertido en una grave preocupación, ya que permiten a los ciberatacantes obtener acceso no autorizado a los sistemas y a información sensible o confidencial. Es crucial comprender la mecánica de los ataques PtH y tomar las medidas preventivas adecuadas para protegerse contra ellos.
Para quienes no estén familiarizados con los ataques pass-the-hash y las contraseñas hash, siga esta guía para saber más sobre cómo funcionan los ataques pass-the-hash, incluyendo ejemplos de la vida real y medidas sugeridas para mitigar los ataques PhH.
Entender los ataques pass-the-hash (PtH)
Un ataque pass-the-hash (PtH) se produce cuando el ciberatacante roba el hash de la credencial de usuario o de la contraseña y lo utiliza para engañar a un sistema de autenticación para que genere una nueva sesión autenticada en la misma red.
Una vez que el ciberatacante obtiene acceso a toda la superficie de ataque o a los sistemas, puede realizar diversas actividades maliciosas, comprometer datos sensibles o incluso escalar sus privilegios dentro del sistema.
Pero, ¿qué significa exactamente hash de contraseña?
Un hash de contraseña es la versión cifrada de su contraseña. Cuando establece una contraseña de sistema, el sistema operativo calcula un hash para la contraseña utilizando una fórmula matemática. En lugar de almacenar la contraseña real, el sistema almacena el hash de la contraseña.
Así, en pass-the-hash, el ciberatacante no necesita conocer la contraseña real del usuario; en su lugar, sólo necesita el hash de la contraseña almacenada para colarse y obtener acceso no autorizado a la cuenta de cualquier usuario. Por lo tanto, para un pirata informático, tener acceso al hash de una contraseña equivale a tener acceso a la contraseña real de un usuario.
Cómo funcionan los ataques Pass-the-Hash
Los ataques Pass-the-hash aprovechan las vulnerabilidades de las cuentas privilegiadas, permitiendo el acceso no autorizado a sistemas críticos y comprometiendo potencialmente toda la infraestructura de la red.
He aquí el proceso paso a paso que siguen los ciberatacantes para realizar ataques pass-the-hash.
- Inicialmente, el hacker utiliza malware o técnicas de ingeniería social, como el phishing, para acceder a la cuenta o al dispositivo de un usuario.
- Una vez que los hackers acceden a la cuenta, utilizan diversas herramientas y técnicas especializadas para raspar la memoria activa que les ayuda a obtener datos que les conducen a los hashes de las contraseñas.
- Una vez que encuentran con éxito los hashes de contraseña, los hackers pasan el hash de un inicio de sesión a otro, explotando la tecnología de inicio de sesión único, creando sesiones autenticadas, haciéndose pasar por usuarios legítimos y creando un movimiento lateral a través de la red.
- Con este movimiento lateral, los hackers continúan robando hashes por toda la red con la esperanza de encontrar y explotar hashes de cuentas de usuario con más privilegios dentro de la red empresarial.
- Acceder al hash de la contraseña de una cuenta de usuario con privilegios y acceso administrativo proporciona a los hackers acceso a mucha más información y archivos confidenciales y un mayor acceso a la red y sus datos.
- Una vez que los piratas informáticos encuentran los datos que buscan, llevan a cabo ciberataques maliciosos, como robos de identidad, ransomware u otros tipos de violaciones de datos.
Componentes clave de los ataques Pass-the-Hash
Los ataques Pass-the-hash consisten en capturar credenciales de inicio de sesión con hash en lugar de robar contraseñas en texto plano. Para saber cómo defenderse de los ataques PtH, es importante conocer sus componentes clave y cómo se aprovechan. He aquí los componentes clave de los ataques pass-the-hash:
- Hashes de contraseñas: Los ciberatacantes roban o capturan versiones hash de las contraseñas en lugar de robar contraseñas en texto plano para obtener acceso no autorizado a redes o sistemas. Estos hashes son cadenas de caracteres de longitud fija almacenados en los sistemas que son únicos con respecto a la contraseña original.
- Herramientas de volcado de credenciales: Los ataques también utilizan herramientas como Mimikatz y otras que pueden extraer hashes de contraseñas o contraseñas en texto plano del proceso LSASS (Local Security Authority Subsystem Service) para volcar estas credenciales de la memoria de los sistemas comprometidos.
- NTLM o Kerberos: Los ataques pass-the-hash se asocian comúnmente a entornos Windows, como los protocolos de autenticación NT LAN Manager (NTLM) o Kerberos. Estos protocolos almacenan versiones de contraseñas con hash que los ciberatacantes aprovechan para acceder a los sistemas.
- Pass-the-Ticket (PtT) y Pass-the-Key (PtK): De forma similar a los ataques PtH, los ciberatacantes también utilizan Pass-the-Key (PtK) o Pass-the-Ticket (PtT) para explotar tickets Kerberos o material de claves para obtener acceso no autorizado en lugar de hashes de contraseñas.
- Movimiento lateral: Tras extraer las credenciales con hash, los ciberatacantes utilizan estas credenciales para desplazarse posteriormente dentro de la red. Esto les permite acceder a diferentes sistemas o escalar privilegios para obtener potencialmente acceso a información más sensible.
- Técnicas de evasión de la defensa: Los ciberatacantes utilizan varias técnicas para evadir la detección, como la detección de registros, la desactivación de herramientas de seguridad o el uso de métodos cautelosos para moverse lateralmente dentro de la red.
- Sobrepasar el hash: En algunos casos, los ciberdelincuentes manipulan o sustituyen el hash de la contraseña original por uno nuevo mediante la técnica overpass-the-hash, cambiando finalmente la contraseña de la cuenta comprometida.
Vectores de ataque comunes de los ataques Pass-the-Hash
Las cuentas con privilegios, como las que tienen privilegios de administrador de dominio o admin, se convierten en los principales objetivos de los ataques PtH. Estos son algunos de los vectores de ataque comunes que los ciberatacantes utilizan para obtener acceso no autorizado a los sistemas y realizar ataques pass-the-hash:
Protocolos de autenticación débiles
Los protocolos de autenticación débiles por defecto o la falta de autenticación multifactor (MFA) suelen ser susceptibles de ataques pass-the-hash. Los ciberatacantes se centran en las vulnerabilidades de estos protocolos para extraer y utilizar indebidamente los hashes de las contraseñas y, en última instancia, comprometer la cuenta particular.
Mecanismos de autenticación heredados
Además, los ciberatacantes también tienen como objetivo los mecanismos de autenticación heredados que carecen de protocolos de autenticación robustos. Dado que estos protocolos no protegen necesariamente los hashes de contraseñas, a los ciberatacantes les resulta mucho más fácil y cómodo extraerlos para obtener accesos no autorizados.
Sistemas operativos Windows
Los entornos Windows, especialmente los que utilizan Active Directory, son vulnerables a los ataques pass-the-hash. Debido a la adopción generalizada de los sistemas operativos Windows en los entornos empresariales y a sus débiles mecanismos de autenticación, el sistema operativo Windows es el vector objetivo habitual de los ataques PtH.
Amenazas internas
Los insiders malintencionados con acceso privilegiado a redes y sistemas suponen amenazas significativas para las empresas y actúan como vectores de ataque comunes para varios ataques de ciberseguridad, incluidos los ataques Pass-the-hash. Estos insiders abusan de sus privilegios para extraer hashes de contraseñas con el fin de realizar ellos mismos ataques PtH o ayudar a otros a hacerlo.
Canales de comunicación de red inseguros
Cuando el canal de comunicación de la red no está adecuadamente protegido o cifrado, facilita a los ciberatacantes espiar las comunicaciones, identificar y extraer los hashes de las contraseñas y realizar ataques PtH.
Ejemplos reales de ataques Pass-the-Hash
Los ataques Pass-the-hash tienen graves repercusiones y consecuencias para las empresas, desde responsabilidades legales hasta violaciones de la normativa. Las organizaciones pueden mejorar su defensa contra los ataques y proteger la información confidencial si comprenden los ejemplos del mundo real y sus consecuencias. He aquí algunos ejemplos del mundo real de ataques pass-the-hash:
#1. El ataque del equipo Diaxin: «La filtración de datos de pacientes»
El grupo de extorsión de datos conocido como The Diaxin Team robó más de 40 GB de datos del Hospital Fitzgibbon de Marshall, MO, en 2022 utilizando un ataque pass-the-hash. Los datos robados incluían información sensible de los pacientes, como nombres, números de la seguridad social, fechas de nacimiento e historiales médicos críticos. El hospital ha confirmado que este ataque afectó a más de 112.000 pacientes.
#2. Ataque a Electrobas y Copel: «El ransomware de las empresas de servicios públicos»
En febrero de 2021, las compañías eléctricas brasileñas Centrais Electricas Brasileiras (Electrobas) y Companhia Paranaense de Energia (Copel) informaron haber sido blanco de ataques de ransomware facilitados por el ataque pass-the-hash.
Los actores maliciosos comprometieron el Directorio Activo (AD), específicamente el archivo NTDS.dit, extrayendo los hashes de las contraseñas. Esto les permitió moverse lateralmente a través de la cadena de permisos del usuario hasta que fueron capaces de extraer hashes que tenían permisos suficientes para realizar ataques de ransomware.
#3. Ataque a temas de Windows: «El paquete malicioso de temas de Windows»
En septiembre de 2020, un investigador de seguridad descubrió que los ciberdelincuentes estaban distribuyendo paquetes de temas maliciosos para Windows 10 que permitían realizar ataques pass-the-hash. Estos paquetes de temas ofrecen opciones de personalización de sonidos, fondos de pantalla, colores y mucho más.
Cada vez que un usuario hace clic en el paquete de temas de Windows, es dirigido a una página o recurso que requiere acceso a los hashes de sus contraseñas, lo que permite a los hackers interceptar las credenciales de inicio de sesión del usuario.
Estos ataques PtH afectan significativamente a las organizaciones y empresas debido al acceso no autorizado y a las credenciales de inicio de sesión comprometidas, lo que provoca daños a la reputación, violaciones del cumplimiento normativo y pérdida de la confianza de los clientes y de la ventaja competitiva dentro del sector. De ahí que sea primordial mitigar estos ataques desde el principio.
Mejores prácticas para prevenir los ataques pass-the-hash
La prevención de los ataques pass-the-hash requiere un enfoque de seguridad multicapa que abarque no sólo medidas técnicas, sino también la concienciación y la educación de los usuarios. Mediante la aplicación de estas mejores prácticas, las organizaciones pueden reducir significativamente el riesgo de ataques PtH y garantizar la integridad y seguridad de sus sistemas y datos.
Mejores prácticas para prevenir los ataques pass-the-hash para los usuarios
Para prevenir los ataques pass-the-hash, es crucial aplicar las mejores prácticas y medidas de seguridad. He aquí algunas recomendaciones clave para mitigar los ataques pass-the-hash para usuarios:
- Cierre la sesión y reinicie su ordenador con regularidad: En cuanto termine su trabajo, cerrar la sesión de su dispositivo es una de las prácticas de seguridad más cruciales para evitar que otros accedan a él. Al mismo tiempo, reiniciar el dispositivo de vez en cuando es esencial para limpiar los hashes almacenados, que los hackers pueden raspar fácilmente durante un ataque.
- No haga clic en enlaces sospechosos: Los ataques Pass-the-hash suelen comenzar con otros tipos de ataques de phishing. Por lo tanto, es crucial que sea precavido con los enlaces y archivos adjuntos de correo electrónico que reciba, especialmente cuando los reciba de remitentes o direcciones de correo electrónico desconocidos. Estos enlaces o archivos adjuntos podrían estar inducidos por malware, infectando o comprometiendo su dispositivo en caso de que haga clic en ellos o los descargue.
- Utilice un cortafuegos: Los principales sistemas operativos vienen con cortafuegos básicos incorporados para filtrar el tráfico de red no autorizado. Sin embargo, esto no es suficiente para entornos críticos, y la mejor opción sería implementar un cortafuegos.
- Rote las contraseñas con regularidad: Rotar las contraseñas con frecuencia puede prevenir significativamente el riesgo de ataques PtH, ya que minimiza la ventana o tiempo de duración de un hash de contraseña válido. Una nueva contraseña requerirá un nuevo hash de contraseña, caducando o haciendo inválido el hash de contraseña antiguo.
- Active un bloqueador de ventanas emergentes: Las ventanas emergentes a menudo pueden redirigirle a sitios web inseguros o maliciosos, a menudo inducidos con malware. Estos sitios web inducidos con malware ayudan a los ataques PtH. Por lo tanto, al activar un bloqueador de ventanas emergentes, puede limitar las posibilidades de hacer clic accidentalmente en enlaces maliciosos y peligrosos.
- Mantenga su sistema operativo actualizado: Actualizar su sistema operativo es una buena práctica de seguridad que ayuda a prevenir riesgos de seguridad y vulnerabilidades, ya que la última actualización del sistema operativo viene con los últimos parches de seguridad.
Buenasprácticas para prevenir los ataques Pass-the-Hash para administradores de sistemas
Prevenir los ataques PtH es crucial para mantener la seguridad de su sistema. Estas son algunas de las mejores prácticas que los administradores de sistemas deberían seguir para mitigar el riesgo de ataques PtH.
- Desactive los hash de Lan Management (LM): Windows almacena las contraseñas utilizando el hash de Windows NT y LM. Dado que el hash LM es más débil que el hash Windows NT, según Windows, y es vulnerable a los ataques de fuerza bruta, deshabilitarlos es crucial para evitar los riesgos de ataques PtH.
- Habilite Windows Defender Credential Guard: Windows Defender Credential Guard es una herramienta de seguridad proporcionada en Windows 10 y superiores para mitigar los ataques PtH.
- Evite utilizar el Protocolo de Escritorio Remoto (RDP) para gestionar las estaciones de trabajo de los usuarios: Varias aplicaciones RDP guardan copias de los hash de sus contraseñas, lo que amplía la superficie de los ataques PtH. Por lo tanto, utilizar en su lugar una herramienta de consola que le permita conectarse a ordenadores remotos es mucho más seguro que utilizar RDP.
- Limite el número de cuentas con derechos de administrador: Los actores maliciosos necesitan privilegios administrativos para extraer hashes del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS). Por lo tanto, es crucial limitar el número de cuentas de administrador para dificultar a los ciberdelincuentes la realización de ataques PtH a través de la red de su empresa.
- Utilice Microsoft Local Administrator Password Solution (LAPS): LAPS es una herramienta de seguridad de Windows que, cuando está activada, garantiza que la cuenta de administrador local cree y utilice una contraseña compleja diferente para cada nuevo ordenador en el que inicie sesión. Esto limita los riesgos y las posibilidades de movimiento lateral para un ciberatacante, garantizando la seguridad contra los ataques PtH.
- Automatice los cambios de contraseña para los administradores del sistema: Automatizar los cambios frecuentes de contraseña para las credenciales de administrador puede dificultar significativamente a los ciberatacantes los ataques PtH, limitando su ventana de tiempo para causar graves daños potenciales si fueran capaces de extraer el hash de la contraseña del administrador.
Estrategias para mitigar eficazmente los ataques Pass-the-Hash
Para proteger a su organización de los ataques PtH, es crucial aplicar estrategias de mitigación eficaces. He aquí algunas estrategias a tener en cuenta:
#1. Planificación de la respuesta a incidentes
Contar con un plan de respuesta a incidentes es esencial en caso de ataques PtH, que incluya procedimientos para identificar el ataque, detectar y preservar las pruebas, notificar a las autoridades superiores y a las partes interesadas, y restaurar los datos y los sistemas. Por lo tanto, contar con un equipo de respuesta a incidentes designado y formado y con un sistema fiable de copia de seguridad y recuperación de datos contribuirá en gran medida a minimizar el impacto de los ataques PtH y a garantizar la seguridad de la empresa.
#2. Evaluaciones y auditorías de seguridad regulares
Las auditorías de seguridad regulares ayudan a las empresas y organizaciones a identificar las lagunas y vulnerabilidades que dan paso a los ataques PtH. Estas evaluaciones y auditorías pueden incluir la comprobación de software y firmware obsoletos, contraseñas débiles y aplicaciones y sistemas inseguros.
#3. Formación y concienciación
La formación en concienciación sobre seguridad es un paso esencial para que toda empresa y organización mitigue los ataques pass-the-hash y otros ataques de ciberseguridad. Esta formación ayuda a educar a los usuarios y empleados sobre medidas preventivas, prácticas de seguridad de contraseñas, identificación de actividades sospechosas, aplicación de políticas de contraseñas seguras y prácticas de ciberseguridad para gestionar eficazmente riesgos como los ataques PtH.
#4. Gestión de acceso privilegiado (PAM)
Las soluciones de gestión de accesos privilegiados ayudan a limitar la exposición a los ataques «pass the hash» controlando y supervisando el acceso a las cuentas privilegiadas. Mediante la implementación de controles de acceso granulares, las organizaciones pueden garantizar que sólo los usuarios autorizados tengan acceso a los sistemas y la información críticos.
Proteja su red: Prevención de ataques Pass-the-Hash
Los ataques pass-the-hash pueden ser difíciles de detectar o rastrear en comparación con otros tipos de ciberataques, como el phishing y el ransomware. Estos ataques implican el uso del hash de una contraseña legítima para obtener acceso no autorizado a la red de una empresa y potencialmente causar daños.
Es importante que las organizaciones y las autoridades de seguridad se tomen en serio los ataques PtH e inviertan tiempo y esfuerzo en comprender su mecánica y sus posibles consecuencias y en aplicar medidas de seguridad eficaces para prevenir y mitigar estos ataques. Así pues, aplique las prácticas de seguridad mencionadas anteriormente para protegerse contra los ataques PtH y reforzar la seguridad de su organización.