Datos El gigante del almacenamiento Snowflake reveló el 23 de mayo de 2024 que experimentó una violación de datos. afectando al menos a 165 de sus clientes. Dado que los clientes de Snowflake son gigantes de la industria como LiveNation y Santander Bank, este incidente ya se perfila como una de las filtraciones de datos más importantes de la historia.

Snowflake aún no ha revelado exactamente cómo ocurrió este incidente. Sin embargo, las declaraciones de Snowflake y los investigadores forenses en su nombre indican que esta infracción fue el resultado de un robo de credenciales.

Snowflake ha declarado públicamente que "el actor de amenazas obtuvo credenciales personales y accedió a una cuenta de demostración propiedad de un ex empleado de Snowflake" y Mandiant (que fue contratado por Snowflake para ayudar con la investigación forense del ataque), ha declarado que “La investigación de Mandiant no ha encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake surgiera de una violación del entorno empresarial de Snowflake. En cambio, cada incidente al que Mandiant respondió asociado con esta campaña se remonta a credenciales de clientes comprometidas”.

Las credenciales de usuario se pueden robar de varias maneras, algunas de las cuales están bajo el control de la organización y otras no. No obstante, es útil observar las formas más comunes en las que los atacantes roban credenciales y cómo reducir el riesgo de que ocurran.

Cómo los atacantes roban credenciales

  • Hashes de contraseñas débiles de violaciones de datos anteriores: Recordar las contraseñas es difícil y muchos usuarios simplemente optan por no molestarse. Esto hace que la reutilización de contraseñas sea uno de los males conocidos de la seguridad de identidad moderna. Además, si está conectado a Internet, lamentablemente lo más probable es que haya sido víctima de exposición de datos. Si se juntan estos dos, el resultado es que las violaciones pasadas, a gran escala y de alto perfil probablemente contengan muchas contraseñas que son válidas no sólo para esas cuentas violadas sino también para muchas otras cuentas de esos usuarios.

Las contraseñas se cifran en hashes y, cuando se produce una filtración de datos que contiene contraseñas, estas normalmente se almacenan en hashes, no en texto sin formato. Sin embargo, el avance constante en la potencia informática hace que a los atacantes les resulte cada vez más fácil descifrar hashes en formato de texto sin formato. Aunque incluso una contraseña moderadamente segura generará un hash demasiado complejo para descifrarlo en un tiempo razonable, las contraseñas más débiles son vulnerables a tales tácticas. Y cuando esas contraseñas se reutilizan en varias cuentas, se produce una exposición peligrosa.

  • Compartir cuenta: Aunque no es un vector de ataque en sí mismo, una fuente común de exposición de credenciales son las cuentas compartidas. Esto se debe a que cuando varios usuarios comparten las mismas credenciales, el riesgo de exposición aumenta exponencialmente. Además, las cuentas compartidas tienden a tener amplios permisos (para adaptarse a la variedad de casos de uso de diferentes usuarios) y normalmente no tienen activado el inicio de sesión único (SSO) ni la autenticación multifactor (MFA). Estos rasgos comunes hacen que las cuentas compartidas sean las principales candidatas para la exposición de credenciales, con efectos desastrosos para las organizaciones.
  • Phishing: Aunque muchas organizaciones utilizan servicios de filtrado de URL basados ​​en proxy, puertas de enlace web seguras (SWG) y soluciones DLP de terminales, los ciberdelincuentes se han adaptado y han aprendido a eludir los métodos tradicionales antiphishing. Esto se debe a que los métodos antiphishing convencionales se basan en fuentes de URL o textos maliciosos conocidos. Sin embargo, los perpetradores de esquemas de phishing han aprendido a usar URL de corta duración (a menudo 'vivos' durante sólo unos minutos), textos adaptables y a esconderse detrás de servicios de alojamiento web legítimos para evitar ser detectados o bloqueados.

Como resultado, a pesar de todos los esfuerzos para combatirlo, el buen phishing todavía está entre nosotros. De hecho, según el Informe de investigaciones de vulneración de datos de Verizon de 2024 (DBIR), el phishing es responsable del 40% de las filtraciones de datos.

  • Extensiones de navegador maliciosas: ¿Por qué trabajar duro para atraer a usuarios desprevenidos si puedes hacer que te lleven a sus computadoras y te den las llaves del reino? Las extensiones de navegador se han convertido en un elemento básico del mundo en el que los navegadores son lo primero, y los usuarios suelen confiar en las extensiones para comunicarse, ser productivo, comprar y más.

Sin embargo, el problema es que a las extensiones del navegador se les conceden permisos amplios de forma rutinaria, incluidas contraseñas, cookies, tokens de sesión y más. Las extensiones de navegador maliciosas utilizan estos amplios permisos para robar datos de las computadoras de los usuarios y se han convertido en una fuente importante de robo de credenciales.

Medidas procesables para mitigar el riesgo:

Las técnicas mencionadas anteriormente son sólo un vistazo de la variedad de métodos que utilizan los piratas informáticos para robar las credenciales de los usuarios. Sin embargo, existen varias medidas prácticas y de sentido común que las organizaciones pueden tomar para reducir enormemente el riesgo:

  • Hacer cumplir contraseñas seguras: Es el truco más antiguo del libro, pero sigue siendo cierto. Las contraseñas seguras dificultarán que los atacantes apliquen fuerza bruta o ingeniería inversa a las contraseñas, incluso con una formidable potencia informática de su lado.
  • Eliminar cuentas compartidas: eliminar cuentas compartidas contribuirá en gran medida a reducir la superficie de amenazas y garantizar que cada usuario tenga una cuenta distinta, especialmente si lo combina con la siguiente recomendación:
  • Forzar SSO y MFA: obligar a los usuarios a usar solo sus cuentas organizativas y exigir el uso de MFA garantiza no solo un mayor nivel de protección sino que también respalda el control y el cumplimiento de la identidad.
  • Implemente protecciones contra phishing de próxima generación: No se basan en feeds de URL y páginas web maliciosas conocidas, sino que analizan activamente cada página web individual y generan su propia puntuación de riesgo independiente.
  • Bloquear extensiones de navegador riesgosas: evite el robo de contraseñas, la recolección de cookies y la exposición de tokens de sesión al deshabilitar y bloquear extensiones de navegador riesgosas.

Cómo LayerX mitiga la exposición de las credenciales Snowflake

LayerX es una plataforma de seguridad del navegador que se integra de forma nativa con cualquier navegador. Proporciona monitoreo continuo, análisis de riesgos y control en tiempo real de cualquier evento y actividad del usuario en la sesión de navegación.

LayerX puede ayudar a mitigar el riesgo de exposición de las credenciales Snowflake de varias maneras:

  1. Obtenga visibilidad sobre el uso de credenciales de Snowflake: vea qué usuarios están usando cuentas de Snowflake y si alguna de las cuentas de Snowflake se comparte entre varios usuarios.
  2. Forzar la rotación de contraseñas de Snowflake: Asegúrese de cambiar todas las contraseñas de Snowflake, bloqueando cualquier acceso futuro.
  3. Exigir el uso de SSO en cuentas Snowflake: Asegúrese de que todas las cuentas de Snowflake utilicen credenciales corporativas respaldadas por SSO y MFA.

Contáctenos hoy para programar una demostración ¡Y vea cómo LayerX puede ayudarlo a protegerse!