28 mil millones de intentos de Credential Stuffing: Retail es el más atacado

Entre mayo y diciembre de 2018 se detectaron 28 mil millones de intentos de ataques de relleno de credenciales. Los principales afectados corresponden al rubro del retail, con 10 mil millones de intentos. Akamai Research ha liberado su informe [state of the internet]/security: Retail Attacks and API Traffic, en el que examinan asuntos a los […]

Entre mayo y diciembre de 2018 se detectaron 28 mil millones de intentos de ataques de relleno de credenciales. Los principales afectados corresponden al rubro del retail, con 10 mil millones de intentos.

Akamai Research ha liberado su informe [state of the internet]/security: Retail Attacks and API Traffic, en el que examinan asuntos a los cuales las organizaciones no le están poniendo atención. Una de ellas es el Credential Stuffing o Relleno de Contraseñas, que explicamos sencillamente en nuestro blog. 

Entre el 1º de mayo y el 31 de diciembre de 2018 se detectaron 27.985.920.324 intentos de relleno de contraseñas en la red de Akamai. Esto equivale a más de 115 millones de intentos por día!

Más de un tercio de estos ataques, 10.000.585.772, para ser exactos, fueron dirigidos a la industria del Retail, y esto no es difícil de entender. Se espera que el mercado del retail totalice USD $4.88 trillones para 2021.

Los segundos más afectados fueron las compañías que proveen servicios de streaming, sufriendo 8.102.011.013 ataques. Luego se encuentran compañías de otros tipos de media y entretenimiento, con 3.482.622.059 ataques y la industria de la manufactura se encontró cuarta en la lista de atacadas, con 1.310.326.860 ataques.

Ataques de relleno de credencial por industria, entre mayo y diciembre de 2018

En una encuesta realizada por Akamai y el Ponemon Institute, las empresas reportan, en promedio, 12.7 intentos de relleno de credenciales por mes, cada uno de ellos atacando a 1.252 cuentas de usuarios.

Los daños que el credential stuffing, o relleno de credenciales, causan, en términos de pérdida del servicio, pérdida de clientes y gastos de IT, anuales, fueron de USD $1.7 millones, USD $2.7 millones y USD $1.6 millones, respectivamente.

Los intentos de credential stuffing logueados por Akamai son automatizados, ya que son efectuados por bots. Los bots representan el 60% del total del tráfico de internet. Han surgido bots “All-in-One” (AIO). Los bots AIO son herramientas multifuncionales que permiten compras rápidas aprovechándose de varias técnicas de evasión.

All In One bots disponibles en el mercado

Retail, el más atacado

Dentro de esta industria, el segmento correspondiente a la ropa experimentó 3.7 mil millones de ataques por sí solo, y esto es debido a la inmensa cantidad de dinero que mueve este sector.

Ataques de relleno de credenciales en el retail, por tienda y sector, entre mayo y diciembre de 2018

Existen varios bots AIO diseñados para atacar a retailers específicos, que se encuentran a la venta en los mercados negros.

Una vez que logran alcanzar la etapa de toma de control de la cuenta, los atacantes pueden vender las cuentas a las que tienen acceso o recolectar y vender los beneficios especiales recibidos por los clientes, tales como códigos de descuentos o artículos de edición limitada.

Una campaña de AIO exitosa puede pasar desapercibida por completo para el retailer afectado, que interpretaría la actividad como buenas ventas en línea y las transacciones efectuadas como prueba de la demanda de su producto.

El problema con los bots en el ciclo de ventas minoristas es sistémico. Se crea una falsa sensación de éxito, con productos que aparentemente se venden rápido. El uso de AIO le niega al minorista la posibilidad de participación y ventas con valor agregado, inhiben el crecimiento y el crecimiento de la marca. Crean demanda y escasez artificial, sesgan las métricas de ventas y el seguimiento del inventario, y perjudican a los clientes e inversores poniendo en riesgo la información y la reputación del minorista.

Como fue el caso del retail, los cibercriminales están llevando a cabo los ataques de relleno de credenciales con múltiples objetivos en mente. Pueden aprovechar las cuentas que tienen historial, información personal y ofertas o promociones únicas. Lo mismo puede ser

dicho para las grandes tiendas, pero en este caso, pueden incluso monetizar fácilmente las líneas de crédito que ofrecen las tiendas por departamento comprometidas.

Si bien los ataques de credenciales contra negocios minoristas han sido los más frecuentes durante la segunda mitad de 2018, el abuso de credenciales también estaba dirigido al sector financiero. Se detectaron 1.08 mil millones de ataques contra organizaciones de la industria de servicios financieros, y si dichos ataques son exitosos, la víctima queda expuesta a que sus fondos financieros sean  desviadas, o que su perfil financiero completo sea empaquetado y vendido.

Como se detalla en el análisis de Akamai, Estados Unidos lideró en lo que respecta al tráfico de fuentes de relleno de credenciales, seguidos por Rusia, Canadá, Brasil e India. Muchos de los bots AIO utilizados se desarrollan en los Estados Unidos, por lo que no es sorprendente verlo en el top de la lista.

Respecto de los países que fueron blanco de estos ataques, Estados Unidos también se encuentra en la parte superior de la lista con 22.47 mil millones de ataques de relleno de credenciales, seguido de China, con 2.010 millones, India, con 1.160 millones, Alemania, con 792 millones, y Canadá, con 400 millones.

Akamai concluye su informe diciendo que los ataques de credenciales y las adquisiciones de cuentas nunca disminuirán mientras los usuarios de los servicios en línea no dejen de usar las mismas credenciales en múltiples plataformas, o reutilizar sus contraseñas, sin embargo, las organizaciones pueden mantener esta tendencia bajo control si logran implementar medidas más adecuadas para detectar y bloquear los intentos de abuso de credenciales en su incipiente fase. Esto concuerda con las recomendaciones que planteamos anteriormente en nuestro artículo dedicado al credential stuffing o relleno de contraseñas.