El robo de credenciales es un tipo de ciberataque en el que los piratas informáticos se dirigen al proceso que gestiona la seguridad de Windows. Puede compararlo con un ladrón que desliza las llaves de su casa y las copia rápidamente. Con estas llaves, tienen acceso a tu casa cuando lo deseen. Entonces, ¿qué haces cuando descubres que te han robado las llaves? Cambias las cerraduras. Aquí se explica cómo hacer el equivalente en Windows para combatir el robo de credenciales.
¿Qué es Windows LSASS?
El servicio Servidor de autoridad de seguridad local de Windows (LSASS) es un proceso que administra la política de seguridad de su computadora. LSASS valida inicios de sesión, cambios de contraseña, tokens de acceso y privilegios administrativos para múltiples usuarios en un sistema o servidor.
Piense en LSASS como el portero que verifica las identificaciones en la puerta principal y sella las salas VIP. Sin un portero en la puerta, cualquier persona puede ingresar al club con una identificación falsa y nada les impide ingresar a las áreas restringidas.
¿Qué es el robo de credenciales?
LSASS se ejecuta como un proceso, lsass.exe. Al iniciarse, lsass.exe almacena información de autenticación, como contraseñas cifradas, hashes de NT, hashes de LM y vales de Kerberos en la memoria. El almacenamiento de estas credenciales en la memoria permite a los usuarios acceder y compartir archivos durante las sesiones activas de Windows sin tener que volver a ingresar las credenciales cada vez que necesitan realizar una tarea.
El robo de credenciales ocurre cuando los atacantes usan herramientas como Mimikatz para eliminar, mover, modificar o reemplazar el archivo lsass.exe real. Otras herramientas populares para el robo de credenciales incluyen Crackmapexec y Lsassy.
Cómo los piratas informáticos roban las credenciales de LSASS
Por lo general, al robar credenciales, los atacantes acceden a la computadora de la víctima de forma remota. Los piratas informáticos obtienen acceso remoto de varias maneras. Mientras tanto, extraer o modificar LSASS requiere privilegios de administrador. Así, la primera tarea del atacante será elevar sus privilegios. Con este acceso, pueden instalar malware para volcar el proceso LSASS, descargar el volcado y extraer las credenciales localmente.
Sin embargo, Microsoft Defender se ha vuelto más efectivo para identificar y eliminar malware, lo que significa que los piratas informáticos tienden a recurrir a los ataques de Living off the Land. Aquí, el atacante secuestra aplicaciones nativas vulnerables de Windows y las usa para robar credenciales en LSASS.
Por ejemplo, al usar el Administrador de tareas, un atacante puede abrir el Administrador de tareas, desplazarse hasta «Procesos de Windows» y buscar «Procesos de la autoridad de seguridad local». Al hacer clic con el botón derecho, el atacante tiene la opción de crear un archivo de volcado o abrir la ubicación del archivo. La decisión del delantero a partir de ahora depende de sus objetivos. Pueden descargar el archivo de volcado para extraer las credenciales o reemplazar el lsass.exe real por uno falso.
Robo de credenciales: cómo verificar y qué hacer
Cuando se trata de verificar si ha sido víctima de un ataque de robo de credenciales, aquí hay cinco formas de averiguarlo.
1. Lsass.exe usa muchos recursos de hardware
Cargue el Administrador de tareas y verifique el uso de CPU y memoria del proceso. Normalmente, este proceso debería usar el 0 % de su CPU y alrededor de 5 MB de memoria. Si está experimentando un uso elevado de la CPU y más de 10 MB de uso de la memoria, y no ha realizado ninguna acción relacionada con la seguridad, como cambiar recientemente su información de inicio de sesión, algo anda mal.
En este caso, utilice el Administrador de tareas para finalizar el proceso. Luego vaya a la ubicación del archivo y Mayús + Eliminar el archivo. El proceso real generaría un error, pero no uno falso, por lo que estaría seguro. Además, para estar seguro, debe verificar el Historial de archivos para asegurarse de que Windows no haya guardado una copia de seguridad.
2. Lsass.exe está mal escrito
Al igual que en el typosquatting, los piratas suelen cambiar el nombre de los procesos que han pirateado para que parezcan los reales. En este caso, un atacante puede nombrar inteligentemente el proceso falso con una «i» mayúscula para imitar la apariencia de la «L» minúscula. Un convertidor de casos puede ayudarlo a detectar fácilmente el archivo del impostor. El nombre del proceso falso también puede tener una «a» o «s» adicional. Si ve tales procesos mal escritos, Mayús + Eliminar el archivo y siga el historial del archivo para eliminar las copias de seguridad.
3. Lsass.exe está en otra carpeta
Deberá pasar por el Administrador de tareas aquí. Abierto Administrador de tareas > Procesos de Windowsy busque «Proceso de autoridad de seguridad local». Luego haga clic derecho en el proceso para ver sus opciones y elija Abrir localización de archivo. El archivo lsass.exe real estará en la carpeta «C:\Windows\System32». Lo más probable es que un archivo en cualquier otra ubicación sea malware; quitarlo
4. Más de un proceso o archivo Lsass
Cuando use el Administrador de tareas para verificar, debería ver solo un «proceso de autoridad de seguridad local». Es normal que este proceso tenga actividades en ejecución cuando hace clic en el botón desplegable. Sin embargo, si ve más de un proceso de la autoridad de seguridad local ejecutándose, es probable que haya sido víctima de un robo de credenciales. Lo mismo ocurre con ver más de un archivo lsass.exe al buscar la ubicación del archivo. En este caso, intente eliminar los archivos. El lsass.exe real generará un error si intenta eliminarlo.
5. El archivo Lsass.exe es demasiado grande
Los archivos Lsass.exe son pequeños: el de nuestra máquina con Windows 11 tiene 83 KB. La computadora con Windows 10 que revisamos tiene uno de 60 KB, por lo que los archivos lsass.exe son pequeños. Por supuesto, los atacantes saben que un archivo Lsass.exe de gran tamaño es un claro indicio, por lo que suelen reducir sus cargas útiles. Por lo tanto, un tamaño de archivo pequeño en línea con nuestros valores no le dice mucho. Sin embargo, si presta atención a las señales reveladoras antes mencionadas, puede detectar fácilmente el malware disfrazado.
Cómo prevenir el robo de credenciales a través de Windows LSASS
La seguridad en las PC con Windows continúa mejorando, pero el robo de credenciales sigue siendo una amenaza potente, especialmente para los dispositivos más antiguos que ejecutan sistemas operativos obsoletos o los nuevos que se retrasan en las actualizaciones de software. Aquí hay tres formas de evitar el robo de credenciales para usuarios de Windows no avanzados.
Descargue e instale las últimas actualizaciones de seguridad
Las actualizaciones de seguridad corrigen las vulnerabilidades que los atacantes pueden aprovechar para tomar el control de su computadora. Mantener sus dispositivos de red actualizados reduce el riesgo de piratería. Por lo tanto, configure su computadora para que descargue e instale automáticamente las actualizaciones de Windows a medida que estén disponibles. También debe obtener actualizaciones de seguridad para programas de terceros en su PC.
Usar la protección de credenciales de Windows Defender
Credential Guard de Windows Defender es una función de seguridad que crea un proceso LSASS aislado (LSAIso). Todas las credenciales se almacenan de forma segura en este proceso aislado, que a su vez se comunica con el proceso LSASS principal para validar a los usuarios. Esto protege la integridad de sus credenciales y evita que los piratas informáticos roben datos valiosos en caso de un ataque.
Credential Guard está disponible en las versiones Enterprise y Pro de Windows 10 y Windows 11, así como en algunas versiones de Windows Server. Estos dispositivos también deben cumplir requisitos estrictos, como el arranque seguro y la virtualización de 64 bits. Debe habilitar esta función manualmente, ya que no está habilitada de manera predeterminada.
Deshabilitar el acceso a escritorio remoto
Remote Desktop le permite a usted y a otras personas autorizadas usar una computadora sin estar en la misma ubicación física. Es excelente cuando desea transferir archivos desde un dispositivo de trabajo a la computadora de su hogar o cuando el soporte técnico quiere ayudarlo a resolver un problema que no puede describir exactamente. A pesar de su conveniencia, el acceso a escritorio remoto también lo hace vulnerable a los ataques.
Para deshabilitar el acceso remoto, presione el botón clave de ventanas luego escriba «configuración remota». Seleccione «Permitir acceso remoto a su computadora» y desmarque «Permitir asistencia remota para conectarse a esta computadora» en el cuadro de diálogo.
También desea verificar y eliminar el software de acceso remoto como TeamViewer, AeroAdmin y AnyDesk. Estos programas no solo aumentan su exposición a malware común y ataques de vulnerabilidad, sino también a los ataques Living off the Land, donde los piratas informáticos aprovechan los programas preinstalados para llevar a cabo un ataque.
Los atacantes quieren las llaves de la casa, pero puedes detenerlos.
LSASS tiene las llaves de su computadora. Comprometer este proceso les da a los atacantes acceso a los secretos de su dispositivo en cualquier momento. Lo peor es que pueden acceder a él como si fueran usuarios legítimos. Aunque puede encontrar y eliminar estos intrusos, es mejor prevenirlos en primer lugar. Mantener su dispositivo actualizado y ajustar la configuración de seguridad lo ayuda a lograr este objetivo.
