Procedimientos recomendados para Azure AD y AD FS: defenderse contra ataques de difusión de contraseña
Hola a todos:
Desde que existen las contraseñas, siempre hubo quien intentó averiguarlas. En este blog, vamos a hablar sobre un ataque común que últimamente se ha producido con MUCHA más frecuencia, además de algunos procedimientos recomendados para defenderse contra este. Este ataque suele conocerse como difusión de contraseña.
En un ataque de difusión de contraseña, los malos intentan usar las contraseñas más comunes con una gran variedad de cuentas y servicios con el fin de obtener acceso a cualquier activo protegido con contraseña que puedan encontrar. Normalmente, estos abarcan distintas organizaciones y proveedores de identidades. Por ejemplo, un atacante usará un kit de herramientas que puede obtenerse fácilmente como Mailsniper para obtener una lista de todos los usuarios de varias organizaciones y, después, probará las contraseñas “P@$$w0rd” y “Password1” en todas esas cuentas. Para que te hagas una idea, un ataque sería parecido a esto:
Usuario de destino | Contraseña de destino |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
[email protected] | Password1 |
… | … |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
[email protected] | P@$$w0rd |
Este patrón de ataque evade la mayoría de las técnicas de detección porque, desde el punto de ventaja de un usuario individual o una compañía, el ataque parece un intento incorrecto aislado.
Para los atacantes, se trata de un juego de números: saben que existen contraseñas que son muy comunes. Aunque las contraseñas más comunes solo abarcan entre el 0,5 y el 1 % de las cuentas, el atacante conseguirá su objetivo unas pocas veces de cada mil cuentas que ataque, y eso es suficiente para considerarse efectivo.
Usan las cuentas para obtener datos de correos e información de contacto, y envían vínculos de suplantación de identidad (phishing), o bien simplemente expanden el grupo de destino de la difusión de contraseña. A los atacantes no les importa mucho quiénes sean los objetivos iniciales: simplemente que consiguieron entrar y que pueden aprovecharse de ello.
La buena noticia es que Microsoft ya implementó una amplia variedad de herramientas disponibles para hacer frente a estos ataques, y próximamente habrá más disponibles. Sigue leyendo para conocer lo que puedes hacer ahora en los próximos meses para detener los ataques de difusión de contraseña.
Cuatro sencillos pasos para evitar los ataques de difusión de contraseña
Paso 1: usar la autenticación en la nube
En la nube, vemos miles de millones de inicios de sesión en los sistemas de Microsoft cada día. Nuestros algoritmos de detección de seguridad nos permiten detectar y bloquear los ataques en cuanto se producen. Como son sistemas de detección y protección en tiempo real que se ejecutan en la nube, solo están disponibles al usar la autenticación de Azure AD en la nube (incluida la autenticación de paso a través).
Bloqueo inteligente
En la nube, usamos Bloqueo inteligente para diferenciar entre intentos de inicio de sesión que parecen provenir del usuario válido e inicios de sesión de lo que parece ser un atacante. Podemos bloquear el atacante y dejar que el usuario válido continúe usando la cuenta. Esto impide la denegación de servicio en el usuario y detiene los ataques de difusión de contraseña demasiado entusiastas. Esto se aplica a todos los inicios de sesión de Azure AD, independientemente del nivel de licencia, y a todos los inicios de sesión de cuentas Microsoft.
Los espacios empresariales que usan Servicios de federación de Active Directory (AD FS) pueden usar Bloqueo inteligente de forma nativa en AD FS en Windows Server 2016 desde marzo de 2018 (función implementada mediante Windows Update).
Bloqueo de IP
Bloqueo de IP funciona al analizar los miles de millones de inicios de sesión con el fin de evaluar la calidad del tráfico de cada dirección IP de los sistemas de Microsoft. Con ese análisis, Bloqueo de IP encuentra las direcciones IP que actúan de forma malintencionada y bloquea esos inicios de sesión en tiempo real.
Simulaciones de ataque
Ahora disponible en versión preliminar pública, Simulador de ataques forma parte de Inteligencia sobre amenazas de Office 365 y permite a los clientes iniciar ataques simulados en sus propios usuarios finales, determinar cómo se comportan los usuarios finales en el caso de que se produzca un ataque y actualizar las directivas para garantizar que se usen las herramientas de seguridad adecuadas con el fin de proteger tu organización frente a amenazas como los ataques de difusión de contraseña.
Acciones que te recomendamos que hagas lo antes posible:
- Si usas la autenticación en la nube, entonces estás cubierto.
- Si usas AD FS u otro escenario híbrido, busca la actualización de AD FS de marzo de 2018 para Bloqueo inteligente.
- Usa Simulador de ataques para evaluar de forma proactiva tu posición de seguridad y realizar los ajustes correspondientes.
Paso 2: usar la autenticación multifactor
Una contraseña es la llave para obtener acceso a una cuenta; pero, en un ataque de difusión de contraseña que tenga éxito, el atacante ya adivinó la contraseña correcta. Para detenerlo, tenemos que usar algo más que simplemente una contraseña para distinguir entre el propietario de la cuenta y el atacante. A continuación, se indican tres métodos para conseguirlo.
Autenticación multifactor basada en riesgos
Azure AD Identity Protection usa los datos de inicio de sesión mencionados anteriormente y aplica aprendizaje automático avanzado y detección algorítmica para asignar una puntuación de riesgo a cada inicio de sesión que llega al sistema. Esto permite a los usuarios empresariales crear directivas en Identity Protection que piden a un usuario que se autentique con un segundo factor si se detecta un riesgo para el usuario o para la sesión. Esto alivia la carga de los usuarios y pone obstáculos a los malos. Obtén más información sobre Azure AD Identity Protection aquí.
Autenticación multifactor siempre disponible
Para obtener incluso más seguridad, puedes usar Azure MFA para exigir la autenticación multifactor a tus usuarios continuamente, tanto en la autenticación en la nube como en AD FS. Aunque para esto es necesario que los usuarios finales tengan siempre a mano sus dispositivos y que ejecuten con mayor frecuencia la autenticación multifactor, ofrece el mayor nivel de seguridad para tu empresa. Te recomendamos que lo habilites para todos los administradores de una organización. Obtén más información sobre Azure Multi-Factor Authentication aquí y cómo configurar Azure MFA para AD FS.
Azure MFA como autenticación primaria
En AD FS 2016, puedes usar Azure MFA como la autenticación primaria para la autenticación sin contraseña. Es una herramienta muy útil para protegerse contra ataques de difusión de contraseña y ataques de robo de contraseñas: si no hay ninguna contraseña, no se puede averiguar. Esto funciona muy bien para todos los tipos de dispositivos con distintos factores de forma. Además, ahora puedes usar una contraseña como el segundo factor solo después de que OTP se haya validado con Azure MFA. Obtén más información sobre cómo usar la contraseña como el segundo factor aquí.
Acciones que te recomendamos que hagas lo antes posible:
- Es muy recomendable que habilites la autenticación multifactor siempre disponible para todos los administradores de la organización, especialmente para los propietarios de la suscripción y los administradores de espacios empresariales. En serio, hazlo ya mismo.
- Para disfrutar de la mejor experiencia para el resto de los usuarios, te recomendamos la autenticación multifactor basada en riesgos, que está disponible con las licencias de Azure AD Premium P2.
- De lo contrario, usa Azure MFA para la autenticación en la nube y AD FS.
- En AD FS, actualiza AD FS en Windows Server 2016 para usar Azure MFA, la autenticación primaria, especialmente para todo el acceso de la extranet.
Paso 3: mejores contraseñas para todos
Incluso después de realizar todo lo anterior, un componente clave de la defensa contra la difusión de contraseñas es que todos los usuarios tengan contraseñas difíciles de averiguar. Con frecuencia, los usuarios tienen dificultades para crear contraseñas que sean difíciles de averiguar. Microsoft te ayuda a conseguirlo con estas herramientas.
Contraseñas prohibidas
En Azure AD, todos los cambios y restablecimientos de contraseñas se ejecutan mediante una herramienta de comprobación de contraseñas prohibidas. Cuando se envía una nueva contraseña, se busca una coincidencia parcial en una lista de palabras que nadie debería usar en la contraseña (y no sirve de nada escribir algo como “l33t-sp3@k”). Si coincide, se rechazará y se pedirá al usuario que seleccione una contraseña más difícil de averiguar. Elaboramos una lista de las contraseñas más usadas en ataques y la actualizamos con frecuencia.
Contraseñas prohibidas personalizadas
Para mejorar aún más las contraseñas prohibidas, vamos a permitir a los espacios empresariales que personalicen las listas de contraseñas prohibidas. Los administradores pueden elegir palabras comunes para su organización (empleados y fundadores famosos, productos, ubicaciones, iconos regionales, etc.) e impedir que se usen en las contraseñas de sus usuarios. La lista se exigirá además de la lista global, así que no tendrás que elegir entre una u otra. Actualmente, se encuentra en versión preliminar limitada y se implementará este año.
Contraseñas prohibidas para cambios locales
En primavera, lanzaremos una herramienta para permitir a los administradores empresariales prohibir contraseñas en entornos híbridos de Azure AD y Active Directory. Las listas de contraseñas prohibidas se sincronizarán desde la nube en los entornos locales y se exigirá en todos los controladores de dominio con el agente. Esto permite a los administradores asegurarse de que las contraseñas de los usuarios sean más difíciles de averiguar, sin importar dónde cambie la contraseña el usuario (ya sea en la nube o en el entorno local). Esta herramienta se lanzó en versión preliminar privada limitada en febrero de 2018 y pasará a disponibilidad general este año.
Cambiar la forma de pensar sobre las contraseñas
Una gran cantidad de las ideas comunes sobre qué es una buena contraseña son incorrectas. Normalmente, algo que debería ayudar matemáticamente, en realidad da como resultado un comportamiento de usuario predecible: por ejemplo, al exigir algunos tipos de caracteres y cambios de contraseña periódicos, se generan patrones de contraseña específicos. Para obtener más información, consulta el documento técnico sobre directrices para contraseñas. Si usas Active Directory con PTA o AD FS, actualiza tus directivas de contraseña. Si usas cuentas administradas en la nube, te recomendamos que configures tus contraseñas para que no expiren nunca.
Acciones que te recomendamos que hagas lo antes posible:
- Cuando se publique, instala la herramienta de contraseñas prohibidas de Microsoft en el entorno local para ayudar a los usuarios a crear contraseñas mejores.
- Revisa las directivas de contraseña y configúralas para que no expiren nunca con el fin de que tus usuarios no usen patrones estacionales para crear sus contraseñas.
Paso 4: más características útiles en AD FS y Active Directory
Si usas la autenticación híbrida con AD FS y Active Directory, puedes realizar algunos pasos más para proteger tu entorno contra ataques de difusión de contraseña.
El primer paso para las organizaciones que ejecuten AD FS 2.0 o Windows Server 2012 es migrar a AD FS en Windows Server 2016 lo antes posible. La versión más reciente se actualizará con mayor rapidez con un conjunto de funciones más avanzadas, como el bloqueo de extranet. Además, recuerda que facilitamos en gran medida la actualización de Windows Server 2012 R2 a 2016.
Bloquear la autenticación heredada desde la extranet
Los protocolos de autenticación heredados no pueden exigir el uso de MFA, así que la acción recomendada es bloquearlos de la extranet. Esto impedirá que los atacantes de difusión de contraseña puedan aprovechar la falta de MFA en esos protocolos.
Habilitar el bloqueo de extranet de Proxy de aplicación web de AD FS
Si no implementaste el bloqueo de extranet en el Proxy de aplicación web de AD FS, habilítalo lo antes posible para proteger a tus usuarios contra ataques de fuerza bruta de diccionarios de contraseña.
Implementar Azure AD Connect Health para AD FS
Azure AD Connect Health captura las direcciones IP de los registros de AD FS para identificar solicitudes incorrectas de nombre de usuario y contraseña, te proporciona informes adicionales sobre una amplia variedad de escenarios y ofrece conclusiones adicionales a los ingenieros de soporte técnico al abrir casos de soporte técnico asistido.
Para realizar la implementación, descarga la versión más reciente del agente de Azure AD Connect Health para AD FS en todos los servidores de AD FS (2.6.491.0). Los servidores de AD FS tienen que ejecutar Windows Server 2012 R2 y tener instalado KB 3134222, o bien Windows Server 2016.
Usar métodos de acceso que no estén basados en contraseña
Si no existe una contraseña, no se puede averiguar. Estos métodos de autenticación no basados en contraseñas están disponibles para AD FS y el Proxy de aplicación web:
- La autenticación basada en certificados permite bloquear por completo los puntos de conexión de nombre de usuario y contraseña en el firewall. Obtén más información sobre la autenticación basada en certificados en AD FS.
- Azure MFA, como se indicó anteriormente, puede usarse como un segundo factor en la autenticación en la nube y AD FS 2012 R2 y 2016. Pero también puede usarse como un factor primario en AD FS 2016 para impedir por completo que se use la difusión de contraseñas. Obtén información sobre cómo configurar Azure MFA con AD FS aquí.
- Windows Hello para empresas, disponible en Windows 10 y compatible con AD FS en Windows Server 2016, permite el acceso sin contraseña por completo, incluso desde la extranet, basándose en claves criptográficas seguras vinculadas al usuario y al dispositivo. Esta función está disponible para dispositivos administrados por la compañía y unidos a Azure AD o a un entorno de Azure AD híbrido, así como para dispositivos personales mediante la opción “Agregar cuenta profesional o educativa” desde la aplicación Configuración. Obtén más información sobre Hello para empresas.
Acciones que te recomendamos que hagas lo antes posible:
- Actualizar a AD FS 2016 para obtener actualizaciones más rápidas
- Bloquea la autenticación heredada desde la extranet.
- Implementa los agentes de Azure AD Connect Health para AD FS en todos tus servidores de AD FS.
- También puedes usar un método de autenticación primaria sin contraseña, como Azure MFA, certificados o Windows Hello para empresas.
Punto adicional: proteger tus cuentas Microsoft
Si eres usuario de una cuenta Microsoft:
- ¡Buenas noticias, ya estás protegido! Las cuentas Microsoft ya disponen de Bloqueo inteligente, Bloqueo de IP, verificación en dos pasos basada en riesgos, contraseñas prohibidas y más.
- Pero te recomendamos que dediques un par de minutos a visitar la página Seguridad de tu cuenta Microsoft y seleccionar la opción “Actualizar tu información de seguridad” para revisar la información de seguridad usada para la verificación en dos pasos basada en riesgos.
- También puedes activar la verificación en dos pasos siempre disponible aquí para que tu cuenta tenga el mayor nivel de seguridad posible.
La mejor defensa es… seguir las recomendaciones de este blog.
La difusión de contraseñas es una amenaza grave para todos los servicios en Internet que usen contraseñas, pero tomar las medidas que se indican en este blog te proporcionará el nivel máximo de protección contra este vector de ataque. Además, como muchos tipos de ataques comparten rasgos similares, estas son buenas sugerencias de protección. Tu seguridad siempre es nuestra mayor prioridad, y trabajamos duro continuamente para desarrollar nuevas protecciones avanzadas contra la difusión de contraseña y todo tipo de ataques. Usa las medidas indicadas anteriormente hoy mismo y comprueba con frecuencia si hay nuevas herramientas para defenderte contra los malos en Internet.
Espero que esta información te haya resultado útil. Como siempre, estamos encantados de recibir todos tus comentarios o sugerencias.
Atentamente,
Alex Simons (Twitter: @Alex_A_Simons)
Director de Administración de programas
División de Identidad de Microsoft