Si no escuchaste sobre Hackers iraníes Interrumpiendo las instalaciones de agua de EE. UU., Es porque solo lograron controlar una sola estación de presión que atiende a 7,000 personas. Lo que hizo que este ataque fuera notable no fue su escala, sino con qué facilidad los piratas informáticos obtuvieron acceso, simplemente utilizando la contraseña predeterminada del fabricante «1111». Este escape estrecho provocó CISA Instar a los fabricantes a eliminar por completo las credenciales predeterminadas, citando «años de evidencia» de que estas contraseñas preestablecidas siguen siendo una de las debilidades más explotadas.
Mientras esperamos que los fabricantes implementen mejores prácticas de seguridad, la responsabilidad recae en los equipos de TI. Ya sea que administre una infraestructura crítica o una red comercial estándar, permitir contraseñas de fabricantes sin cambios en su entorno es como implementar la alfombra roja para los atacantes. Esto es lo que necesita saber sobre las contraseñas predeterminadas: por qué persisten, sus consecuencias comerciales y técnicas, y cómo los fabricantes pueden implementar las mejores prácticas seguras por diseño.
La amenaza generalizada de las contraseñas predeterminadas
Las contraseñas predeterminadas, las credenciales estandarizadas como «Admin/Admin» o «1234» enviadas con innumerables dispositivos y sistemas de software, representan una brecha de seguridad evidente que a los atacantes les encanta explotar. Aunque sus riesgos están bien documentados, persisten en entornos de producción por numerosas razones:
- Simplifican la configuración y configuración iniciales
- Racionalizan el aprovisionamiento del dispositivo a granel
- Admiten sistemas heredados con opciones de seguridad limitadas
- Los fabricantes carecen de una mentalidad segura por diseño
Las consecuencias de usar contraseñas predeterminadas incluyen:
- Reclutamiento de botnet: Los atacantes escanean dispositivos vulnerables para construir redes masivas destinadas a comprometer otros dispositivos
- Puntos de entrada de ransomware: Los piratas informáticos usan el acceso a la contraseña predeterminado para establecer puntos de apoyo para implementar ransomware
- Compromisos de la cadena de suministro: Un dispositivo vulnerable puede proporcionar acceso a redes completas o sistemas de socios
- Bypass de seguridad completo: Incluso las medidas de seguridad sólidas se vuelven ineficaces cuando las credenciales predeterminadas permanecen activas
Consecuencias del mundo real de los ataques de contraseña predeterminados
Las contraseñas predeterminadas han facilitado algunos de los ataques cibernéticos más destructivos en la historia reciente. Por ejemplo, los atacantes crearon el Mirai botnet Intentando contraseñas predeterminadas de fábrica en miles de dispositivos IoT. Utilizando una lista de 61 combinaciones comunes de nombre de usuario/contraseña, los hackers comprometieron más de 600,000 dispositivos conectados. La Botnet resultante lanzó ataques DDoS devastadores que alcanzaron un 1 TBP sin precedentes, deshabilitando temporalmente los servicios de Internet, incluidos Twitter y Netflix, y causando millones en daños.
Las cadenas de suministro también son vulnerables a ataques de contraseña predeterminadoscon piratas informáticos dirigidos a dispositivos OEM con credenciales predeterminadas sin cambios como cabezas de playa en ataques de varias etapas. Una vez dentro, instalan puertas traseras que mantienen su acceso abierto, luego se mueven gradualmente a través de sistemas conectados hasta que alcancen sus valiosos datos e infraestructura crítica. Estas contraseñas predeterminadas socavan efectivamente todos los demás controles de seguridad, proporcionando a los atacantes un acceso legítimo que evita incluso los sistemas avanzados de detección de amenazas. El Reino Unido se ha mudado recientemente a Ban los dispositivos IoT envío con contraseñas predeterminadas.
El alto costo de negligencia de contraseña predeterminada
No cambiar las contraseñas predeterminadas puede crear consecuencias que van mucho más allá de la violación de seguridad inicial, incluyendo:
- Daño de la marca: Las infracciones publicitadas erosionan la confianza del cliente y desencadenan retiros costosos, campañas de gestión de crisis y litigios que pueden continuar durante años, con gastos que alcanzan fácilmente millones de dólares.
- Sanciones regulatorias: Nueva legislación como la de la UE Ley de Resiliencia Cibernética y las leyes de seguridad de IoT del estado de Estados Unidos (como De California) Dirige específicamente las vulnerabilidades de contraseña predeterminadas, imponiendo multas significativas por el incumplimiento.
- Carga operativa: La implementación de políticas de contraseña adecuadas por adelantado es mucho más ingeniosa y rentable que la respuesta a incidentes de emergencia, el análisis forense y los esfuerzos de recuperación.
- Vulnerabilidad del ecosistema: Un solo dispositivo comprometido puede socavar entornos interconectados: detener la producción en fábricas inteligentes, poner en peligro la atención al paciente en entornos de atención médica o crear fallas en cascada en las redes de socios.
Cinco mejores prácticas seguras por diseño para fabricantes
Los fabricantes deben pasar de las cargas de seguridad que pasan a los clientes y en su lugar Crear seguridad en sus productos desde el inicio:
- Credenciales únicas por unidad: Incrustar contraseñas aleatorias en la fábrica, impresas en la etiqueta de cada dispositivo para eliminar las credenciales predeterminadas compartidas en las líneas de productos.
- API de rotación de contraseñas: Permitir a los clientes rotar o revocar las credenciales automáticamente en el primer arranque, haciendo que los cambios de credenciales sean parte del proceso de configuración estándar.
- INTROBACIÓN DEL CONTRITURA CERO: Requiere autenticación fuera de banda (por ejemplo, escaneo de código QR vinculado a la cuenta de usuario) para verificar la configuración legítima del dispositivo antes de otorgar el acceso al sistema.
- Comprobaciones de integridad de firmware: Firme y verifique los módulos de inicio de sesión para evitar restos de credenciales no autorizados que puedan evitar medidas de seguridad.
- Entrenamiento y auditoría de desarrolladores: Haga cumplir los ciclos de vida de desarrollo seguro y ejecute escaneos de pasas predeterminados previos al envío para captar vulnerabilidades antes de que los productos lleguen a los clientes.
Proteger a su organización hoy
Hasta que los fabricantes adopten completamente los principios seguros por diseño, los profesionales de TI deben actuar inmediatamente contra los riesgos de contraseña predeterminados. Y una de las mejores formas de hacerlo es mediante la implementación de políticas de contraseña rigurosas que incluyen inventarios de dispositivos regulares y cambios de credenciales inmediatos durante la implementación.
Para la mayor protección, considere una solución como la Política de contraseña de especificaciones Para automatizar la aplicación. La política de contraseña de SpecOPS simplifica la administración de contraseñas de Active Directory, lo que le permite implementar estándares de seguridad que garanticen el cumplimiento al tiempo que bloquean más de 4 mil millones de contraseñas comprometidas únicas. Al tomar estos pasos proactivos, reducirá su superficie de ataque y protegerá a su organización de convertirse en el próximo titular de piratería de contraseña predeterminado. Reserve una demostración en vivo de la política de contraseña de Specops hoy.
