Los clientes HTTP, herramientas fundamentales para la interacción en la web, han emergido como recursos estratégicos en el arsenal de los ciberdelincuentes para el secuestro de cuentas. Un informe reciente de Proofpoint destaca que en la segunda mitad de 2024, un abrumador 78% de los usuarios de Microsoft 365 enfrentaron al menos un intento de apropiación de cuentas a través de estas tecnologías.
Estas herramientas, originalmente diseñadas para facilitar el trabajo de desarrolladores en la gestión de conexiones con servidores, se han transformado en aliados involuntarios de los atacantes cibernéticos. Clientes como OkHttp, Axios y Node Fetch, comúnmente disponibles en repositorios públicos, han sido reutilizados para ejecutar ataques como fuerza bruta y adversario en el medio (AiTM). La evolución de estos métodos desde 2018 muestra un aumento significativo en la diversidad de clientes HTTP utilizados, con un marcado incremento en el uso de opciones alternativas a OkHttp, como Axios y Node Fetch, desde marzo de 2024.
A pesar de que muchos intentos de apropiación son esencialmente de fuerza bruta con bajas tasas de éxito, Proofpoint ha delineado campañas donde la utilización de herramientas como Axios ha incrementado significativamente la efectividad. En combinación con técnicas AiTM, Axios ha alcanzado una tasa de éxito mensual del 38%, permitiendo a los delincuentes interceptar y manipular tráfico, abriendo la puerta al robo de credenciales y tokens de acceso.
Los blancos principales de estos ataques son ejecutivos, responsables financieros y personal operativo en sectores cruciales como el transporte, construcción, finanzas, tecnología y salud. Durante el periodo de junio a noviembre de 2024, el 51% de las organizaciones atacadas tuvo cuentas comprometidas en un 43%, según el informe.
El perfeccionamiento de estas tácticas ha llevado a los ciberdelincuentes a adoptar infraestructuras distribuidas y redes de IP secuestradas, minimizando el riesgo de ser detectados. Una significativa campaña de fuerza bruta ejecutada mediante Node Fetch se ha caracterizado por su alta velocidad, acumulando desde junio más de 13 millones de intentos de inicio de sesión fraudulentos, con una inquietante cifra promedio de 66,000 intentos diarios. En agosto de 2024, la introducción del cliente HTTP Go Resty expandió aún más la diversidad de ataques, aunque su prevalencia disminuyó en octubre mientras Node Fetch continúa activo.
Frente a este desafío, expertos en ciberseguridad subrayan que los atacantes seguirán adaptando sus herramientas y técnicas para burlar las defensas. Las recomendaciones de Proofpoint insisten en el fortalecimiento de la autenticación multifactor, la vigilancia de patrones de acceso sospechosos y el bloqueo del uso de clientes HTTP en entornos sensibles.
La constante adaptación de los delincuentes cibernéticos con clientes HTTP legitima la urgencia de que las organizaciones permanezcan en alerta, innovando sus estrategias de protección para salvaguardar sus sistemas y datos frente a estas persistentes amenazas.
