Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Blogs

Cómo Censys Search ayuda a prevenir los ataques de suplantación de identidad supervisando los certificados SSL/TLS

Compartir

8 de enero de 2025
Etiquetas:

Incluso con los avances de la inteligencia artificial, las ciberamenazas de la vieja escuela siguen teniendo un gran peso. Cuanto más tiempo lleva en juego una táctica, más tiempo tienen los atacantes para dominar sus técnicas y lanzar ataques adversarios con éxito. De hecho, los ataques de phishing siguen siendo una de las ciberamenazas más frecuentes, y aunque el phishing sigue siendo una táctica antigua, las mejoras de la IA no han hecho más que reforzar el éxito de los esfuerzos de ingeniería social. En resumen, a pesar del tiempo y la tecnología, los ataques de phishing siguen siendo capaces de causar estragos.

Según un estudio de Proofpoint, el 71% de las empresas fueron víctimas de ataques de phishing el año pasado, con resultados que incluyen la pérdida de datos e IP (33%), infección por ransomware (32%) y sanciones económicas (22%). Y mientras que el phishing se produce normalmente a través del correo electrónico, un aspecto crítico de la prevención del phishing que se pasa por alto es la gestión y supervisión de los certificados SSL/TLS.

La relación entre los ataques de phishing y los certificados SSL/TLS radica en el papel que desempeñan estos certificados en el establecimiento de la confianza y la comunicación segura en línea. Los atacantes aprovechan los puntos débiles de los certificados SSL/TLS, su mala gestión o la confianza errónea de los usuarios en ellos para llevar a cabo ataques de phishing.

Establecimiento de la confianza mediante certificados SSL/TLS

Los certificados SSL/TLS se utilizan para proteger sitios web cifrando las comunicaciones entre el usuario y el servidor. Cuando los usuarios ven el icono del candado o "HTTPS" en la barra de direcciones de su navegador, suelen asumir que el sitio web es seguro y legítimo.

Los phishers se aprovechan de esta confianza de dos maneras:

  • Obtención de certificados para sitios falsos: Los atacantes pueden obtener certificados SSL/TLS válidos para sitios web de phishing que imitan a los legítimos. Muchas autoridades de certificación (CA) emiten certificados sin verificar a fondo la intención del solicitante, lo que permite a los atacantes hacer que sus sitios fraudulentos parezcan creíbles.
  • Confianza errónea del usuario: Muchos usuarios creen que la presencia de un candado garantiza la legitimidad de un sitio, pero sólo indica una conexión segura, no que el sitio sea digno de confianza.

Explotación de certificados caducados o mal configurados

Las organizaciones que no gestionan correctamente sus certificados SSL/TLS pueden contribuir involuntariamente a los ataques de phishing:

  • Certificados caducados: Si el certificado SSL/TLS de un sitio web legítimo caduca y permanece sin renovar, los atacantes pueden aprovecharse de este descuido. Pueden crear sitios de phishing haciéndose pasar por el dominio legítimo, engañando a los usuarios acostumbrados a interactuar con el sitio.
  • Certificados mal configurados: Las configuraciones débiles o el uso de protocolos obsoletos pueden introducir vulnerabilidades que los atacantes explotan, como ataques de SSL stripping o downgrade. Estas debilidades pueden ayudar a los phishers a interceptar el tráfico o manipular conexiones seguras.

Utilización de autoridades de certificación (CA) fraudulentas o comprometidas

Los phishers pueden aprovechar CA comprometidas o fraudulentas para emitir certificados SSL/TLS válidos para dominios fraudulentos. Estos certificados hacen que los sitios web de phishing parezcan auténticos, incluso para los usuarios precavidos que verifican la presencia de HTTPS.

El phishing como vector de ataque

En las campañas de phishing, los atacantes suelen utilizar nombres de dominio y certificados SSL/TLS muy parecidos a los legítimos. Por ejemplo:

  • Ataques homógrafos: Los atacantes registran dominios utilizando caracteres similares a los legítimos (por ejemplo, sustituyendo "rn" por "m"). Combinados con un certificado SSL/TLS válido, estos dominios falsos pueden engañar fácilmente a los usuarios.
  • Man-in-the-Middle (MITM) Phishing: Aprovechando las vulnerabilidades SSL/TLS, los atacantes pueden situarse entre el usuario y el sitio web legítimo, interceptando credenciales u otros datos sensibles.

Sin una supervisión adecuada, las organizaciones pueden exponerse inadvertidamente a estos riesgos.

Prevención de la suplantación de identidad mediante la gestión proactiva de certificados

Censys Search proporciona a las organizaciones una visibilidad sin precedentes de los certificados SSL/TLS en Internet. Con la base de datos de certificados X.509 más grande del mundo, que contiene más de 17.000 millones de certificados y sigue creciendo,Censys permite a los equipos de seguridad identificar y abordar las vulnerabilidades antes de que sean explotadas.

Censys La búsqueda puede ayudar a mitigar los riesgos de phishing:

  • Seguimiento de certificados caducados o mal configurados: Censys permite a las organizaciones supervisar de forma proactiva sus certificados SSL/TLS. Al identificar los certificados caducados o mal configurados, los equipos de seguridad pueden actuar rápidamente para actualizarlos o sustituirlos, evitando que los atacantes exploten estas debilidades.
  • Identificación de autoridades de certificación (CA): Al proporcionar información detallada sobre las CA utilizadas por una organización, Censys ayuda a garantizar que sólo las CA de confianza emiten certificados para sus dominios. Esto reduce el riesgo de que los atacantes utilicen CA falsas para generar certificados maliciosos.
  • Garantizar la seguridad de los certificados: Los equipos de seguridad pueden utilizar Censys para verificar que todos los certificados cumplen las mejores prácticas actuales de cifrado y configuración. Esto minimiza vulnerabilidades como las explotadas por técnicas de ataque antiguas (por ejemplo, SSL stripping o POODLE).

Ejemplo de la vida real: Cómo ejecutar una consulta de búsqueda de certificados SSL/TLS en Censys

Echemos un vistazo a cómo Censys puede ayudar a encontrar certificados caducados vinculados a su organización. Podemos empezar con una consulta que utilice expresiones regulares (regex) para enumerar su búsqueda de certificados con un alto grado de fidelidad. En este caso hipotético, diremos que el nombre de su organización es ACME.

((services.tls.certificate.names=/(.*)acme.(.*)/ or name=/(.*)acme.(.*)/

or dns.names=/(.*)acme.(.*)/ or dns.reverse_dns.names=/(.*)acme.(.*)/))

A partir de aquí, podemos añadir una cláusula que mire la duración de la validez de los certificados devueltos. Elijamos uno al que no le quede ninguna vida.

((services.tls.certificate.names=/(.*)acme.(.*)/ or name=/(.*)acme.(.*)/ or

dns.names=/(.*)acme.(.*)/ o dns.reverse_dns.names=/(.*)acme.(.*)/)) y

services.tls.certificate.parsed.validity_period.length_seconds=0 

Esto devuelve todos nuestros certificados expuestos. Sin embargo, aún podemos buscar más. ¿Qué emisores de certificados utiliza? Añadiremos otra cláusula que excluya los certificados de su emisor aprobado. En este caso hipotético, diremos que es Let's Encrypt.

(((services.tls.certificate.names=/(.*)acme.(.*)/ o name=/(.*)acme.(.*)/

or dns.names=/(.*)acme.(.*)/ or dns.reverse_dns.names=/(.*)acme.(.*)/) and

(services.tls.certificate.parsed.validity_period.length_seconds=0) y

not (services.tls.certificate.parsed.issuer.organization: encrypt)) 

Con sólo tres consultas, hemos reducido 20 terabytes de datos de certificados a un pequeño puñado de certificados relevantes.

Cómo adelantarse al panorama de las amenazas con la búsqueda proactiva

Censys ofrece muchas otras formas de consultar datos para ayudar a exponer posibles vulnerabilidades y reducir los riesgos de seguridad relacionados con los certificados.

Podrá conocer en profundidad las múltiples formas en que Censys Search puede ayudarle a adelantarse a los adversarios y proteger a su organización de las ciberamenazas. Tanto si está rastreando una infraestructura maliciosa, identificando servicios vulnerables o supervisando el riesgo de terceros, nuestro "Libere el poder de Censys Search: A Hassle-Free Handbook for Cyber Heroes " puede ser su recurso de referencia. Descargue esta completa guía ahora para explorar el poder proactivo de Censys en la búsqueda de riesgos potenciales y el fortalecimiento de su postura de seguridad.

Lea la Guía

Sobre el autor

Marianne Chrisos Censys Directora de Marketing de Contenidos
Marianne Chrisos
Responsable de marketing de contenidos
Marianne Chrisos es directora de marketing de contenidos en Censys y aporta más de una década de experiencia en redacción publicitaria, investigación y estrategia de contenidos, con especial atención a los sectores de la tecnología y la ciberseguridad. Tras haber trabajado con líderes como Cisco y Gartner, combina el conocimiento del sector con la narración estratégica para ayudar a las organizaciones a navegar por el cambiante panorama de la seguridad.

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información