Inicio /EL COMERCIO OCULTO DE ACCESOS A REDES CORPORATIVAS

EL COMERCIO OCULTO DE ACCESOS A REDES CORPORATIVAS

Enviado por csirtutpl el Lun, 03/23/2026 - 00:34

El cibercrimen ha evolucionado de acciones individuales a un ecosistema organizado y lucrativo, donde distintos actores colaboran mediante mercados clandestinos para intercambiar recursos como credenciales, datos e infraestructura comprometida. Este modelo, conocido como Cybercrime-as-a-Service (CaaS), permite una división del trabajo similar a empresas legítimas, haciendo los ataques más eficientes y escalables. Dentro de este esquema destacan actores especializados como desarrolladores de malware, afiliados de ransomware, intermediarios de datos y los Initial Access Brokers, quienes se enfocan en obtener el acceso inicial a redes corporativas, facilitando ataques más complejos como el ransomware.

¿Qué es un IAB?
Un Initial Access Broker o IAB es un actor malicioso especializado en obtener accesos iniciales a redes o sistemas corporativos para venderlos a otros ciberdelincuentes. Surgieron con mayor fuerza entre 2019 y 2020, evolucionando rápidamente hacia un mercado estructurado con vendedores reputados y catálogos de accesos. Su función se centra exclusivamente en la intrusión inicial, operando de forma sigilosa para luego comercializar esos accesos a actores como operadores de ransomware, grupos de extorsión u otros que explotan la intrusión.

Técnicas usadas por los IABs

  1. Robo directo de credenciales: obtienen credenciales principalmente mediante phishing, donde engañan a usuarios con sitios falsos que imitan servicios legítimos. También emplean credential stuffing, reutilizando credenciales filtradas en ataques automatizados, y ataques de fuerza bruta, probando múltiples combinaciones en servicios expuestos como portales o VPNs hasta lograr acceso válido.
  2. Recolección mediante malware: mediante malware tipo infostealer, que extrae credenciales, cookies y tokens desde dispositivos comprometidos. Este malware se distribuye a través de phishing, software pirata o malvertising. El modelo es altamente eficiente, permitiendo la venta de paquetes de datos robados (stealer logs) y la recolección masiva de información, alcanzando cifras de miles de millones de credenciales comprometidas.
  3. Explotación de vulnerabilidades: explotando vulnerabilidades en servicios expuestos a internet, lo que les permite comprometer sistemas incluso sin credenciales. Este método ha crecido junto al aumento de fallas de seguridad y suele enfocarse en VPNs, aplicaciones web y servicios remotos como RDP o SSH. Aunque requiere cierto conocimiento técnico, en muchos entornos es efectivo debido a la falta de parches y el uso de software desactualizado, facilitando la explotación de vulnerabilidades conocidas.

El modelo de negocio
Operan como proveedores dentro del mercado del cibercrimen, vendiendo accesos en foros clandestinos, marketplaces de la deep web o canales privados. Sus ofertas incluyen detalles sobre la organización comprometida (sin revelarla), el tipo de acceso y nivel de privilegios para generar confianza en los compradores. Comercializan desde accesos remotos (VPN, RDP), credenciales corporativas y accesos a redes internas. Estos accesos son relativamente accesibles, con precios promedio de miles de dólares y una gran parte ofertada por menos de 1000 dólares, lo que facilita su adquisición por distintos actores maliciosos.

Recomendaciones de seguridad

  • Auditar y restringir los servicios expuestos directamente a Internet.
  • Implementar mecanismos de gestión de identidades y privilegios para accesos sensibles.
  • Monitorear y revocar credenciales comprometidas en filtraciones públicas.
  • Aplicar políticas de contraseñas robustas, evitando la reutilización e incorporando autenticación multifactor cuando sea posible.
  • Monitorear patrones de acceso en servicios remotos o VPN, considerando ubicaciones, dispositivos, horarios y otras anomalías.
  • Mantener sistemas y aplicaciones actualizados para prevenir la explotación de vulnerabilidades conocidas.
  • Contar con soluciones de seguridad integrales, como EDR, que permitan detectar comportamientos anómalos y correlacionar eventos para detener amenazas a tiempo.
  • Implementar segmentación de red para limitar el impacto de accesos comprometidos.

Fuente: https://www.welivesecurity.com/es/seguridad-corporativa/initial-access-b...

Tags: 
#UTPLCuidaTuInformación #CiberSeguridadUTPL #UTPL #Loja #Ecuador

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones