El uso de correos electrónicos, servicios de chat y plataformas de colaboración en el entorno laboral es cada vez más común. Sin embargo, esta normalización ha llevado a muchos empleados a relajar sus precauciones, compartiendo credenciales como nombres de usuario, contraseñas, claves API o tokens de autenticación en canales de comunicación interna, ya sean públicos o privados.
Esta práctica representa un riesgo significativo para la seguridad de la información crítica de la empresa. Los ciberdelincuentes pueden interceptar y recopilar credenciales inseguras que hayan sido almacenadas o transmitidas a través de servicios como Slack, Teams o Jira, poniendo en peligro la seguridad de la organización.
En lugar de extraer las credenciales de los registros de chat almacenados (es decir, «credenciales en archivos»), los atacantes pueden acceder directamente a estas credenciales dentro de estos servicios en el punto final del usuario, a través de los servidores que alojan estos servicios, o de portales de administrador para servicios alojados en la nube. También pueden utilizar herramientas de integración, como Slack Workflows, para buscar y extraer credenciales de manera automática, lo que les permite realizar movimientos laterales o escalar privilegios dentro de la red.
¿Cómo prevenir estos ataques?
- Supervisa los registros de las aplicaciones en busca de actividades sospechosas, como intentos maliciosos de acceso a datos sensibles, o búsquedas anormales relacionadas con contraseñas.
- Realiza auditorías preventivas para detectar credenciales inseguras compartidas en servicios de comunicación, buscando patrones comunes como “password is” o “Password=”, y toma medidas inmediatas para reducir su exposición.
- Conciencia a desarrolladores y administradores de sistemas sobre los riesgos que implica compartir contraseñas de forma insegura a través de estos servicios.
