{"id":12688,"date":"2024-09-06T08:41:48","date_gmt":"2024-09-06T06:41:48","guid":{"rendered":"https:\/\/www.sivsa.com\/site\/?p=12688"},"modified":"2024-09-06T08:41:48","modified_gmt":"2024-09-06T06:41:48","slug":"modificar-el-proceso-de-autenticacion-es-posible","status":"publish","type":"post","link":"https:\/\/www.sivsa.com\/site\/modificar-el-proceso-de-autenticacion-es-posible\/","title":{"rendered":"Modificar el proceso de autenticaci\u00f3n. \u00bfEs posible?"},"content":{"rendered":"

\u00bfSab\u00edas que los ciberdelincuentes pueden modificar los procedimientos de autenticaci\u00f3n para acceder a credenciales de usuarios o permitir un acceso no autorizado a sus cuentas? Existen 9 f\u00f3rmulas para alterar parte de estos procesos<\/strong>, que se gestionan mediante mecanismos como el del servidor de autenticaci\u00f3n de seguridad local (LSASS) y el administrador de cuentas de seguridad (SAM) en Windows, m\u00f3dulos de autenticaci\u00f3n conectables (PAM) en sistemas basados \u200b\u200ben Unix y complementos de autorizaci\u00f3n en sistemas MacOS, responsables de recopilar, almacenar y validar las credenciales.<\/p>\n

\"\"<\/p>\n

Para autenticarse en un servicio o sistema sin utilizar cuentas v\u00e1lidas, los atacantes se sirven de parches en el proceso de autenticaci\u00f3n en un controlador de dominio; registran bibliotecas de v\u00ednculos din\u00e1micos (DLL) de filtros de contrase\u00f1as maliciosos -para adquirir credenciales a medida que se validan- o de proveedores de red; modifican m\u00f3dulos de autenticaci\u00f3n conectables (PAM); codifican contrase\u00f1as en el sistema operativo para lograr acceso en los dispositivos de red; emplean cifrado reversible; deshabilitan o cambian los mecanismos de autenticaci\u00f3n multifactor (MFA) y los vinculados a identidades h\u00edbridas en la nube, as\u00ed como las pol\u00edticas de acceso condicional.<\/p>\n

Las credenciales o los accesos comprometidos pueden utilizarse incluso para entrar de forma persistente a sistemas remotos y servicios disponibles externamente, como VPN, Outlook Web Access y escritorio remoto.<\/p>\n

\u00bfC\u00f3mo se pueden detectar este tipo de ataques de credenciales?<\/strong><\/h3>\n
    \n
  1. Supervisando:<\/strong><\/li>\n<\/ol>\n

    a) Los cambios realizados en la configuraci\u00f3n de seguridad de Active Directory.<\/p>\n

    b) La creaci\u00f3n de archivos DLL nuevos y desconocidos en un controlador de dominio o en el equipo local.<\/p>\n

    c) Las autenticaciones de cuentas en las que las credenciales MFA no son proporcionadas por la cuenta de usuario a la entidad de autenticaci\u00f3n.<\/p>\n

    d) La inscripci\u00f3n de dispositivos y cuentas de usuario con configuraciones de seguridad alternativas que no requieren credenciales de MFA para un inicio de sesi\u00f3n exitoso.<\/p>\n

    f) La agregaci\u00f3n de claves de registro del proveedor de red<\/p>\n

    e) Los cambios en las entradas del Registro para los filtros de contrase\u00f1as y para los proveedores de red.<\/p>\n

      \n
    1. Habilitando<\/strong> la auditoria de seguridad para recopilar registros de soluciones de identidad h\u00edbrida.<\/li>\n
    2. \u00a0Monitorizando:<\/strong>\n