30% de intentos de autenticación API son fraudulentos

 

Akamai Technologies realizó un análisis de inicios de sesión Web para obtener información sobre cuán extendida está la adopción de inicios de sesión basados en la Interfaz de Programación de Aplicaciones (API). Los inicios de sesión son uno de los lugares más destacados donde las aplicaciones han migrado de las solicitudes Web estándar a las llamadas API. Casi todas las aplicaciones Web y móviles mantienen el estado del usuario al solicitar a los usuarios que inicien sesión en la aplicación.

 

Históricamente, las solicitudes de inicio de sesión eran solicitudes HTTP POST estándar, enviadas cuando un usuario hace clic en el botón “Iniciar sesión” en un formulario dentro de una página HTML. El aumento de los usos de AJAX, los marcos de JavaScript (por ejemplo, jQuery y Angular) y los marcos de aplicaciones móviles han cambiado las solicitudes de inicio de sesión hacia las llamadas API.

 

Como parte de un esfuerzo continuo para proteger a sus clientes de los ciberataques, Akamai ha estado monitoreando y analizando solicitudes de inicio de sesión maliciosas en toda su base de clientes de seguridad de Kona. Dichos ataques se conocen como Credential Abuse (también conocido como “Credential Stuffing”).

 

Según la investigación, 78% de todas las solicitudes de inicio de sesión basadas en API fueron realizadas por clientes móviles. Estos incluyen aplicaciones móviles nativas, componentes de representación HTML dentro de aplicaciones móviles y navegadores móviles. El otro 22% se dividió entre los navegadores de escritorio estándar, como parte de las llamadas API AJAX y los dispositivos IoT, que en su mayoría eran consolas de juegos.

 

De los inicios de sesión totales que se analizaron, un enorme 30% se identificaron como inicios de sesión fraudulentos, enviados como parte de campañas masivas de Abuso de credenciales. Esta información es simplemente alucinante: casi uno de cada tres intentos de inicio de sesión se identificó como fraudulento.

 

Cuando se trata de campañas masivas de ataques de abuso de credenciales (millones de fuentes de ataque únicas al día), nuestros datos revelan que 88% de los atacantes atacaron llamadas API en algún momento de su campaña. Por el contrario, sólo 22% de los atacantes únicamente abusa de la autenticación estándar de formularios Web. Naturalmente, algunos atacantes apuntan a ambos, dependiendo de la aplicación a la que están atacando en este momento.

 

Una de las diferencias más obvias entre las campañas de Abuso de credenciales basadas en API y las que apuntan a formularios Web fue el número promedio de intentos de cuentas probadas por aplicación en cada campaña; los formularios Web estándar recibieron 1,000,000 de intentos de abuso cada uno, mientras que los inicios de sesión de aplicaciones API vieron cuatro veces más, ¡casi 4,000,000 intentos por aplicación!

 

Algunos proveedores, incluido Akamai, proporcionan soluciones que son capaces de diferenciar entre humanos y bots en aplicaciones móviles. Dichas detecciones requieren que los desarrolladores de aplicaciones móviles incluyan en su código de aplicación móvil un SDK especial proporcionado por el proveedor, que recopila y analiza métricas y telemetría basadas en dispositivos móviles. Esto incluye mediciones como datos de posicionamiento global, gestos de pantalla táctil, resolución y orientación de pantalla y tipo de conectividad, por nombrar algunos.

 

Un factor clave en los ataques basados en API es la capacidad de distribuir fácilmente la carga de trabajo de ataque entre miles de nodos bot. Como los inicios de sesión basados en API debían consumirse mediante programación, para un adversario es extremadamente simple construir una red zombi distribuida, que dividirá el trabajo entre miles de nodos. Este enfoque es fundamental en las campañas de Abuso de credenciales: cualquier aplicación bloquea a un usuario después de tres intentos fallidos, forzando a las campañas a realizar ataques “bajos y lentos”, donde cada nodo envía aproximadamente 3-5 solicitudes de inicio de sesión en el lapso de 24 horas.

 

Esta teoría está fuertemente respaldada por la investigación de Akamai. En promedio, una campaña de ataque basada en API implicará 19,000 direcciones IP exclusivas, mientras que las campañas que se dirigen al inicio de sesión estándar de formularios Web solo incluyeron 4,000 direcciones IP. Eso es 4.75 veces más nodos bot por campaña en inicios de sesión basados en API.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *