La utilización de clientes HTTP, herramientas fundamentales para el envío y recepción de peticiones en la web, se ha convertido en un arma potente para la apropiación de cuentas por parte de ciberdelincuentes. Según un reciente informe de Proofpoint, en la segunda mitad de 2024, un alarmante 78% de los usuarios de Microsoft 365 fueron objetivo de al menos un intento de toma de control de sus cuentas a través de estas aplicaciones.
Los clientes HTTP como OkHttp, Axios o Node Fetch, son comúnmente empleados por desarrolladores para realizar pruebas y gestionar conexiones con servidores. Sin embargo, su accesibilidad y funcionalidad han captado la atención de actores malintencionados, quienes explotan estas herramientas desde repositorios públicos para efectuar ataques de fuerza bruta y adversario en el medio (AiTM). Desde 2018, el empleo de estos métodos ha evolucionado considerablemente, alcanzando su cúspide en 2024, a medida que incrementa la variedad de clientes HTTP utilizados en estos ataques. En particular, aunque las variantes de OkHttp dominaban los primeros meses del año, marzo marcó un aumento en la adopción de alternativas como Axios y Node Fetch, facilitando agresiones de alta velocidad contra cuentas en la nube.
Estos ataques, si bien en su mayoría son intentos de fuerza bruta con baja tasa de éxito, han mostrado ser muy eficaces en campañas específicas. Un ejemplo notable es el del cliente Axios, que, en conjunción con técnicas AiTM, ha logrado una preocupante tasa de éxito mensual del 38%. Esta herramienta permite interceptar, transformar y anular tráfico, lo que facilita el robo de credenciales y tokens de acceso. Los objetivos principales de tales ataques son ejecutivos, responsables financieros y personal operativo de sectores estratégicos como transporte, construcción, finanzas, informática y sanidad. Más del 51% de las organizaciones objetivo fueron atacadas entre junio y noviembre de 2024, comprometiéndose un 43% de las cuentas.
Los ciberdelincuentes han perfeccionado significativamente sus tácticas en los últimos meses, implementando infraestructuras distribuidas y redes de IP secuestradas para minimizar su rastreo y evitar detección. Una campaña masiva de fuerza bruta usando Node Fetch se ha destacado por su alta velocidad y distribución de intentos de acceso. Desde junio de 2024, se han documentado más de 13 millones de intentos fraudulentos de inicio de sesión, alcanzando un promedio de 66.000 intentos diarios. Asimismo, en agosto, apareció una variante basada en Go Resty, un cliente HTTP para Go, permitiendo ataques más diversificados, aunque su protagonismo disminuyó en octubre, mientras que los embates con Node Fetch permanecen activos.
Frente a este complejo escenario, los expertos en ciberseguridad advierten que los atacantes continuarán adaptando sus estrategias y herramientas para maximizar la efectividad de sus ataques y burlar los mecanismos de defensa existentes. Los investigadores de Proofpoint recomiendan el fortalecimiento de las medidas de autenticación multifactor, la vigilancia constante de patrones de acceso sospechosos y el bloqueo del uso de clientes HTTP en entornos críticos.
La dinámica de los ataques mediante clientes HTTP subraya el ingenio persistente de los ciberdelincuentes en la adaptación de sus métodos. Con la combinación de herramientas legítimas y estrategias sofisticadas, las organizaciones deben mantenerse en extrema alerta para proteger sus sistemas y datos frente a estas amenazas en continua evolución.
