Clientes HTTP, clave en ciberataques de apropiación de cuentas

El 78% de los usuarios de Microsoft 365 se enfrentaron a intentos de toma de control de cuentas mediante clientes HTTP en la segunda mitad de 2024, según Proofpoint

Foto: LinkedIn. Portal ERP España.

En la segunda mitad de 2024, un alarmante 78% de los usuarios de Microsoft 365 experimentaron al menos un intento de toma de control de cuentas mediante el uso de clientes HTTP, según el informe de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo. Estos ataques están dirigidos principalmente a entornos basados en la nube, y los clientes HTTP se han consolidado como herramientas clave para los ciberdelincuentes, dada su capacidad para manipular solicitudes y respuestas HTTP a través de diversos métodos de ataque.

Los clientes HTTP son aplicaciones de software utilizadas para enviar peticiones HTTP y recibir respuestas de servidores web. Estas herramientas permiten a los usuarios crear solicitudes personalizadas, modificar cabeceras, agregar payloads e inspeccionar las respuestas obtenidas. Si bien estos clientes tienen aplicaciones legítimas en la administración web, su reutilización por parte de los atacantes ha incrementado notablemente, especialmente aquellos obtenidos de repositorios públicos como GitHub.

Te puede interesar: Proofpoint señala los riesgos de privacidad de la IA de DeepSeek

Desde 2018, el uso de clientes HTTP para ataques de apropiación de cuentas ha crecido considerablemente. Según los investigadores de Proofpoint, a principios de 2024, las variantes más utilizadas fueron OkHttp, pero a partir de marzo del mismo año, el espectro de clientes HTTP se amplió, con un notable aumento en el número de ataques en la segunda mitad del año. En este período, se observó un incremento del 7% en comparación con los seis meses anteriores, alcanzando su punto álgido en mayo, cuando los atacantes aprovecharon millones de direcciones IP secuestradas para llevar a cabo ataques a cuentas en la nube.

Aunque la mayoría de los ataques basados en HTTP consisten en intentos de fuerza bruta con bajas tasas de éxito, algunos ataques más avanzados, como los realizados con el cliente HTTP Axios, han demostrado ser efectivos. Axios combina técnicas de adversario en el medio (AiTM) con ataques de precisión, y ha logrado una tasa de éxito mensual del 38%, superando medidas de seguridad como la autenticación multifactor. Esta herramienta consigue interceptar y transformar el tráfico legítimo, permitiendo el robo de credenciales y tokens para obtener acceso no autorizado a cuentas.

“Hasta ahora, esta campaña se ha dirigido principalmente a ejecutivos, responsables financieros y personal operativo en sectores como el transporte, la construcción, las finanzas, la informática y la sanidad. Se han priorizado objetivos de alto valor, con acceso a datos confidenciales o recursos financieros”, explican los investigadores de amenazas de Proofpoint. Desde junio hasta finales de noviembre de 2024, más del 51% de las organizaciones objetivo se vieron afectadas, comprometiendo el 43% de las cuentas de usuario.

La evolución de las herramientas para apropiación de cuentas ha sido notable, y los clientes HTTP se presentan como una de las más eficaces. Los expertos de Proofpoint advierten que los ciberdelincuentes seguirán adaptando sus estrategias para maximizar la eficacia de estos ataques, reduciendo la exposición y evadiendo sistemas de detección.