Los investigadores de seguridad han revelado que los piratas informáticos pueden secuestrar cuentas en línea incluso antes de que el usuario las cree. Para ello explotan fallos en sitios web y en las plataformas más populares, como Instagram, LinkedIn, Zoom, WordPress y Dropbox, que, afortunadamente, ya han corregido los errores que permitían este tipo de ataque.
Aparte de las plataformas mencionadas anteriormente, Andrew Pavard, investigador del Centro de respuesta de seguridad de Microsoft, y Avinash Sudhodanan, investigador de seguridad independiente, analizaron 75 servicios en línea y descubrieron que al menos 35 son vulnerables a ataques de secuestro previo de cuentas
Estos ataques varían en tipo y gravedad, pero todos provienen de malas prácticas de seguridad por parte de los propios sitios web, a la hora de gestionar el registro de usuarios.
Cómo funciona el secuestro previo de cuentas
Para que un ataque funcione, el villano necesita conocer la dirección de correo electrónico del objetivo, lo cual es relativamente fácil, sobre todo «gracias» a las numerosas violaciones de datos que afectan a las empresas a diario, y cuyos datos acaban pululando por la web oscura.
Las redes sociales, con perfiles de privacidad mal configurados, son otra fuente muy valiosa de información.
Los atacantes, normalmente, apuntan a los servicios a los que las víctimas probablemente se suscribirán en el futuro, por lo que este tipo de estafa es algo parecido a tirar un anzuelo y esperar a ver quien pica.
Sin embargo, mediante correos electrónicos de phishing, también se puede tratar de engañar a una persona para que se registre en alguna plataforma en concreto.
La cosa básicamente funciona de este modo:
- El atacante crea una cuenta en un servicio utilizando el correo electrónico de la víctima, junto con una contraseña.
- El servicio al que se ha suscrito le envía un correo de confirmación para activar la cuenta.
- Por supuesto, el estafador no puede verificar el correo de confirmación, porque este llega a la bandeja de entrada del dueño de la cuenta.
- El villano espera que la víctima descarte la notificación considerándola como spam.
- Por lo tanto, la nueva cuenta queda como creada pero pendiente de verificar.
- Finalmente, el atacante espera a que la víctima cree una cuenta en este sitio con la misma dirección de correo electrónico.
En el momento en que la víctima decida registrarse por primera vez en esa plataforma, recibirá un mensaje diciendo que ya tiene una cuenta pendiente de verificar.
Pueden pasar varias cosas:
- Pensará que es un error.
- Sospechará de que algo huele mal.
- Puede que piense que la creó hace tiempo (no se acuerda) y pulsará en el enlace de verificación.
- Al pulsar en el enlace de verificación es posible que se le inste a restablecer la contraseña.
Pero no es tan fácil como parece.
Si partimos de la base de que los perpetradores conocen el correo electrónico, pero no tienen acceso a la bandeja de entrada de la víctima, para intentar apoderarse de la cuenta creada por esta persona, deberán utilizar diferentes técnicas para «troyanizar» su dirección de correo electrónico.
El mecanismo específico mediante el cual se perpetra este ataque varía, y pueden utilizarse varios métodos, como por ejemplo:
Classic-Federated Merge Attack (Ataque de combinación federado clásico)
Para que el ataque se lleve a cabo con éxito, se requiere que el servicio de destino admita cuentas clásicas y federadas.
Mediante una cuenta federada, la autenticación en un servicio se delega a un proveedor de identidad externo, como por ejemplo Google o Microsoft.
Además, las direcciones de correo electrónico deben usarse como identificador único y debe admitirse la fusión de ambos tipos de cuenta.
Básicamente, el delincuente utiliza la misma dirección de correo electrónico para crear dos cuentas:
- Una cuenta normal para el usuario (ruta clásica).
- Otra cuenta federada (por ejemplo, con un mecanismo de recuperación de contraseñas basado en número de teléfono o SMS) para el atacante, lo que permite que ambos puedan acceder a la cuenta.
El ataque también funciona si la propia víctima crea una cuenta a través de la ruta federada, utilizando la misma dirección de correo electrónico.
Unexpired Session Attack (Ataque de identificador de sesión no caducado)
El ataque funciona si el servicio de turno admite varias sesiones simultáneas, y si los usuarios no cierran sesión en las cuentas si se restablecen las contraseñas.
El atacante debe permanecer conectado a la cuenta, mediante algún script automatizado, para mantener la sesión activa.
Trojan Identifier Attack (Ataque de identificador troyano)
El atacante crea una cuenta en el servicio de destino utilizando la dirección de correo electrónico de la víctima, junto con cualquier contraseña.
Una vez hecho esto, el villano agrega un segundo identificador a la cuenta, por ejemplo, su propia dirección de correo electrónico o número de teléfono.
Cuando la víctima crea una cuenta e intenta restablece su contraseña, el pirata informático también recibirá una notificación para restablecer la contraseña.
Entonces, la restablece, recupera la cuenta y obtiene la información genuina del cliente.
Unexpired Email Change Attack (Ataque de cambio de correo electrónico)
El ataque explota una vulnerabilidad en el proceso de cambio de correo electrónico de los servicios de destino.
El atacante crea una cuenta en un portal usando la dirección de correo electrónico de la víctima y cualquier contraseña.
Posteriormente, inicia el proceso de cambio de dirección de correo electrónico de la cuenta; esto da lugar a que el servicio envíe un mensaje de confirmación a la nueva dirección de correo electrónico.
En lugar de hacer clic en el enlace de inmediato, el atacante espera tranquilamente a que la víctima restablezca la contraseña de la cuenta y la recupere.
El atacante luego activará el enlace para tomar el control de la cuenta de la víctima.
El ataque funciona solo si el servicio de destino no invalida los enlaces de recuperación, después de un período determinado.
Conclusión
Como hemos dicho antes, perpetrar este tipo de ataque da la sensación de que es complicado, y los métodos enumerados anteriormente si bien son bastante fáciles de entender, no acabamos de ver claro como pueden llevarse a la práctica.
Seguramente nos hemos saltado algo, quizás andamos un poco perdidos, o nuestro Inglés es digno del traductor de Google.
Pero, de hecho, nos han quedado muchas dudas.
- ¿De qué nos sirve conocer la dirección de correo electrónico de una persona si desconocemos la contraseña para ver sus mensajes?
- ¿Cómo vamos a acceder a unos correos de confirmación que van a llegar a la bandeja de entrada de otra persona?
- Entonces, ¿cómo un atacante puede registrarse con el correo electrónico de la víctima en una plataforma web y dejar la cuenta configurada para poder controlarla en todo momento?
Obviamente, si alguien intenta registrarse en una plataforma con nuestra dirección de correo electrónico, el correo de confirmación nos llegará a nosotros, no al estafador.
Por otro lado, si somos nosotros los que intentamos registrarnos con nuestro correo, y nos dicen que esta dirección ya existe en su base de datos, nos mosquearíamos bastante.
Y si cayésemos en la trampa, e intentáramos recuperar nuestras credenciales de acceso, nos las enviarían a nosotros y no al villano.
¿Puede ser que el atacante se aproveche de alguno de estos factores?
- Un e-mail comprometido, cuya contraseña haya sido pirateada y filtrada.
- Muchos servicios que realizan este tipo de verificación, a menudo lo hacen de forma asincrónica (pueden programar la verificación para más adelante), lo que permite al perpetrador usar ciertas funciones de la cuenta antes de que se haya verificado.
- La falta de verificación de la propiedad del identificador (el servicio no verifica que el usuario sea realmente el propietario del identificador proporcionado) podría facilitar sin problemas este tipo de ataque.
Imaginamos que esto último debe ser la causa principal de que estas cosas pasen.
En cualquier caso, nosotros solamente hemos intentado resumir lo que hemos leído (y comprendido) en la página de Microsoft.
Si alguien está interesado en saber más, puede bajarse el PDF (en Inglés) y leérselo con tranquilidad.
El impacto de los ataques de secuestro previo de cuentas es el mismo que el del secuestro clásico.
Dependiendo de la naturaleza del servicio de destino, un ataque exitoso podría permitir al atacante leer y modificar la información asociada a la cuenta, o realizar todo tipo de acciones usando la identidad de la víctima.
Para evitar convertirnos en damnificados, es muy recomendable que protejamos nuestras cuentas con autenticación multifactor (MFA).
Si intentamos crear una cuenta mediante una dirección de correo electrónico, y nos dicen que ya existe una cuenta asociada al mismo, debemos registrarnos con una dirección de correo electrónico diferente.
Este ataque es imposible si usamos diferentes direcciones de correo electrónico para todas nuestras cuentas más importantes.
Por su parte, todos los servicios en línea que requieren de registro deberían eliminar periódicamente las cuentas pendientes de verificación, e invalidar las sesiones durante el restablecimiento de contraseña.
