¿Cómo protege a su empresa el control de credenciales Axur?
Cada vez que identificamos la exposición de credenciales que contienen sus dominios o aplicaciones móviles, la plataforma registra tickets en el espacio de trabajo Fuga de Datos.
¿Qué empresas pueden beneficiarse de esta vigilancia?
Axur Credential Monitoring es adecuado para empresas con áreas de inicio de sesión para clientes o empleados a través de aplicaciones móviles o aplicaciones web. Además, beneficia a las empresas que buscan minimizar el riesgo de fugas de credenciales de empleados a través de inicios de sesión en otras plataformas, ya que las personas a menudo utilizan la misma contraseña en múltiples servicios. La exposición de estas credenciales a terceros también puede dar lugar a intentos de acceso fraudulento a los sistemas internos de la empresa.
¿Cómo evitar el robo de credenciales?
Guiando a sus clientes y empleados para que cambien sus contraseñas periódicamente, imponiendo el uso de contraseñas seguras y garantizando el uso de la autenticación de dos factores en todas las plataformas (propias y contratadas). Además, el uso de herramientas de gestión de identidades y la actualización periódica de las aplicaciones pueden ayudar a reducir las vulnerabilidades y mejorar la seguridad.
¿Cómo configurar la supervisión de sus credenciales directamente en la plataforma Axur?
El formato de configuración ha sido actualizado. Para comenzar a monitorear la exposición de datos de su empresa, solo siga el paso a paso disponible en este artículo: Activos Monitoreados – Fugas de Datos.
Después de registrarse para el monitoreo, ¿puedo cambiar o añadir más dominios, aplicaciones o subdominios?
Sí, puede hacer cambios en las URL supervisadas en cualquier momento en la configuración de su activo de marca. Es importante que cada URL (dominio, sitio web, host, subdominio, app) esté directamente relacionada con tu marca.
¿Cómo funciona la plataforma?
A diferencia de otros tipos de detección con visualización en tickets, las detecciones de credenciales se presentan en formato de lista. Este nuevo enfoque permite que nuestros usuarios establezcan un flujo de trabajo mucho más fluido al tratar volúmenes mayores de información.
Atención: Las credenciales que contienen contraseñas con menos de 4 dígitos se descartan automáticamente y no se registran como detecciones en la plataforma de Axur.
En la sección de credenciales, encontrarás nuevos filtros que pueden ayudarte a navegar fácilmente por la lista de credenciales. Sabiendo que, en ocasiones, durante un análisis más profundo de una detección puedes necesitar más información, ahora es posible, al hacer clic y expandir una detección específica, visualizar todos los metadatos disponibles.
Si se requiere un análisis más complejo, puedes exportar los resultados de tu consulta en un archivo CSV. El archivo estará disponible lo antes posible en tu correo electrónico.
¿Cómo identificar información importante: fuente, grupo y nombre del archivo?
Al hacer clic en un caso reportado en la pestaña de credenciales, se abrirá automáticamente un panel lateral en el lado derecho de la pantalla. En este panel, encontrarás detalles clave sobre la detección, incluyendo:
Fuente: Origen de la credencial expuesta, como foros, grupos o plataformas de intercambio.
Grupo: Nombre del grupo o comunidad donde se identificaron los datos.
Nombre del archivo: Si los datos están almacenados en un archivo, su nombre se mostrará para facilitar la identificación.
Además, el panel lateral puede contener metadatos adicionales sobre la exposición, ayudando en el análisis y la toma de decisiones.
Accediendo a Logs de Infostealer Durante una Investigación
Las credenciales pueden aparecer en múltiples formatos, como Logs de Infostealer, Combolists, Dumps de Bases de Datos y otros.
Cuando un incidente está relacionado con un Infostealer, a menudo es crucial revisar el archivo original donde la credencial fue expuesta, junto con información adicional como:
IP de la máquina
Cookies
Historial de navegación
Otros datos recolectados por el malware
Proveemos tanto el archivo específico que contiene la credencial expuesta como, cuando está disponible, el paquete original en el que se encontró el archivo. Estos pueden descargarse directamente desde la sección Información del archivo en los detalles de la credencial.es el ciclo de vida de una detección de credenciales.
Al revisar la ruta del archivo, puedes inspeccionar toda la información recolectada para apoyar la investigación y la respuesta.
Los archivos permanecen disponibles durante un año después de la recopilación y están limitados a 1 terabyte de descarga por cliente por mes.
El uso está restringido únicamente a fines de investigación y no se recomiendan soluciones API o de descarga automatizada.
Todos los archivos se proporcionan tal como se recopilaron y no han sido inspeccionados en busca de malware. Axur recomienda encarecidamente utilizar un entorno Sandbox durante la investigación.
¿Cuál es el ciclo de vida de una detección de credenciales?
Las detecciones ingresan como ‘nuevo’, luego se pueden tratar internamente, resolver o descartar. Los casos considerados no relevantes pueden ser descartados.
¿Qué es una detección duplicada?
Desde diciembre, hemos implementado mejoras para garantizar que solo se registren credenciales únicas en la plataforma, eliminando ocurrencias duplicadas.
Actualmente, la de duplicación sigue esta regla:
Usuario + Contraseña + URL → Si estos tres parámetros son idénticos a una detección anterior, la credencial se considera duplicada y no se registrará nuevamente.
Este enfoque evita alertas redundantes y mantiene un monitoreo más preciso y eficiente.
¿Cuáles son las fuentes?
Telegram
Whatsapp
Discord
Mega.io
Paste sites
Deep/Dark Web Forums
IntelX
¿Qué hacer tras la detección?
Aconseje a las personas cuyas credenciales hayan quedado expuestas que cambien sus contraseñas lo antes posible, independientemente de dónde las utilicen, y eduque a los empleados sobre los riesgos de utilizar credenciales corporativas en servicios de terceros;
Al cambiar las credenciales, fomente la creación de contraseñas únicas y seguras para cada cuenta. Una contraseña segura tiene al menos 8 caracteres e incluye letras mayúsculas y minúsculas, números y caracteres especiales;
Si se expone una credencial interna, revise inmediatamente la máquina afectada en busca de accesos no autorizados, compruebe los registros de seguridad y actualice las credenciales para evitar posibles infracciones;
Revise periódicamente las políticas de contraseñas y restablezca las contraseñas internas;
Habilite la autenticación de dos factores en todas partes. Actuará como una barrera de seguridad adicional;
Cuando se hayan cambiado todas las contraseñas, cambia su estado a resuelto;
No es posible solicitar la retirada de la detección.
API
Con nuestra API de exposiciones es posible crear flujos de trabajo automatizados y recopilación de datos, lo que permite:
Buscar credenciales usando filtros personalizados
Contar credenciales usando filtros personalizados
Actualizar el estado de una detección
Agregar y eliminar etiquetas
Para grandes volúmenes de detecciones, recomendamos usar operaciones en lote, con hasta 1000 credenciales por solicitud.
La documentación de la API de Credenciales está disponible en: https://docs.axur.com/en/axur/api/#tag/Credential-Search-Operations
Webhooks
También ofrecemos notificaciones vía webhook para la detección y actualización de credenciales en casi tiempo real, a través de los webhooks estándar de la plataforma.
Eventos soportados:
exposure.created
exposure.updated
La documentación de los webhooks está descrita en Axur Platform webhooks.
Safelist
Agregar una dirección de correo electrónico a tu Safelist evitará nuevas detecciones de credenciales para ese nombre de usuario específico.
Actualmente, solo se admiten nombres de usuario basados en correo electrónico.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊