Más allá de los nombres de usuario y las contraseñas

En los últimos meses, es posible que haya notado un aumento de las solicitudes de autenticación de dos factores y de múltiples factores, que se están utilizando para verificar las cuentas de consumidores y empresas. Estas herramientas están ganando terreno para ayudar a los usuarios a protegerse contra el fraude de identidad, las violaciones de datos, el robo de contraseñas y los ataques de phishing/ransomware.

Las estadísticas recientes del Centro de Recursos para el Robo de Identidad (ITRC, por sus siglas en inglés) muestran que alrededor del 92% de las violaciones de datos están relacionadas con ataques cibernéticos, y que éstas fueron un 14% más altas en el primer trimestre de 2022 que en el mismo periodo del año anterior.

Las cifras del ITRC también muestran que casi la mitad (154 de 367) de las notificaciones de violaciones de datos no incluían la naturaleza de la violación y se designaron como "desconocidas". Esta cantidad "desconocida" fue un 40% superior en el primer trimestre de 2022 a las que se registraron en todo el año 2021.

Entonces, ¿cómo pueden los CISO preparar a sus empresas para frustrar estos ataques de ciberseguridad? Deben estar al tanto de las tecnologías emergentes para combatir las amenazas en evolución, la vulnerabilidad de los sistemas y los malos actores, adaptándose a las circunstancias en constante cambio.

Ciberataques en 2022

Este año ya ha demostrado estar repleto de exploits de seguridad de las empresas. Un conocido grupo denominado Lapsus$, que opera desde Sudamérica, ha cometido varios ciberataques. Se ha confirmado que el grupo es el autor de los ataques contra NVIDIA, Samsung, T-Mobile y Vodafone.

En el caso de T-Mobile, los miembros de Lapsus$ hackearon su red en marzo de 2022, comprometiendo las cuentas de los empleados, ya sea mediante phishing u otra forma de ingeniería social. Una vez dentro de la base de datos de clientes de T-Mobile, los ciberdelincuentes trataron de encontrar cuentas conectadas con el Departamento de Defensa de Estados Unidos y el FBI.

Lapsus$ también reivindicó un ciberataque contra Microsoft. El gigante del software confirmó que sus repositorios internos de código fuente Azure DevOps y los datos robados fueron hackeados a través de la cuenta de un empleado, pero añadió que sólo se concedió un acceso limitado.

Otra infiltración reciente se aprovechó del equipo de ventas de una empresa mediante ingeniería social. Un ciberdelincuente, que se hizo pasar por un miembro del departamento de TI corporativo de la empresa, se puso en contacto con los vendedores de la organización para solicitarles las credenciales de acceso al CRM. Irónicamente, esta solicitud se hizo bajo el pretexto de instalar capas adicionales de seguridad para que los usuarios y sus sistemas críticos fueran más seguros.

Desgraciadamente, al menos un vendedor cayó en el engaño y los delincuentes pudieron acceder a sus credenciales, entrar en el sistema CRM de la empresa y descargar partes específicas de la base de datos de clientes.

Este tipo de ataques son cada vez más comunes y más difíciles de resolver con los métodos tradicionales de control de acceso.

Implementando la autenticación multifactorial

Para los CISO se ha vuelto imperativo implementar la autenticación de dos factores (2FA) -como mínimo- para el acceso a todos los ordenadores, servidores, servicios de infraestructura y aplicaciones empresariales. La incorporación de la 2FA ayuda a mantener a raya a los hackers y ciberdelincuentes, impidiéndoles el acceso a los sistemas. Aunque incluso estas soluciones pueden ser burladas mediante técnicas ingeniosas.

Algunas empresas utilizan llaves de seguridad físicas para obtener una capa adicional de protección de datos. Por ejemplo, pueden ayudar a detener los ataques de phishing cuando se dispone de autenticación multifactor. Están disponibles en varios formatos, son fáciles de usar y, en general, son un medio barato para proteger la seguridad de los datos.

Se han introducido otras medidas de seguridad que aprovechan los dispositivos existentes de los empleados para combatir el ejemplo anterior del vendedor desprevenido que regala las credenciales de acceso al sistema. Por ejemplo, una empresa ha desarrollado un código QR específico para cada usuario y transacción -un código Nametag- que se asigna a todos los empleados de la empresa, incluidos los administradores de TI. Si una persona de la empresa recibe una solicitud para compartir detalles de inicio de sesión o algún otro dato crítico, este código dinámico verifica la solicitud: la identidad, la intención y el permiso para completar la transacción son verificados y aprobados. Sin él, la solicitud no es válida.

Resolviendo el problema de las contraseñas

¿Cómo resolver el problema de las contraseñas de los usuarios? ¿Son las soluciones tecnológicas la respuesta? Por ejemplo, ¿pueden los profesionales de TI aumentar la seguridad de los datos vinculando el nombre de usuario/contraseña de una persona a la proximidad física de su dispositivo? ¿Y son necesarios niveles más profundos en torno a la formación, la gestión y el comportamiento de los usuarios?

Las oportunidades de innovación abundan. Unas cuantas empresas emergentes están uniendo la biometría del comportamiento con fines de gestión de la identidad informática. La plataforma evalúa varios factores sobre los individuos, por ejemplo, cómo camina un usuario, cómo habla en voz alta, cómo escribe en su teclado o cómo mueve el ratón. Por separado, estos factores pueden no ser suficientes para confirmar la identidad de un usuario. Pero cuando se combinan varios de ellos, estas características pueden crear una biometría única que identifique a un usuario con una precisión cercana al 100%.

En un mundo cada vez más remoto/híbrido y volátil, los CISO deben proteger el acceso a los datos de múltiples maneras y esforzarse por:

• Aprender, comprender y estar atentos a los tipos de herramientas y tácticas en evolución que los ciberdelincuentes están utilizando activamente.
• Tener listo un plan de ciberataque o un manual de respuesta a incidentes.
• Preparar estrategias de contención y mitigación y directrices para afrontar los eventos durante o después de ellos.
• Estar al día sobre las nuevas tecnologías basadas en la IA que pueden ayudar a minimizar los riesgos de ciberseguridad.
• Compartir datos y alertas de seguridad con otras empresas y comunidades gubernamentales/de ciberseguridad para ayudar a otros a ser más conscientes de las amenazas potenciales y de cómo mitigar mejor estos eventos potencialmente dañinos.

Con las fuerzas externas malévolas en aumento y la guerra en Ucrania creando una presión de seguridad informática adicional, es primordial que los CISO se aseguren de que esta forma de acceso más básica esté resguardada contra los nuevos y siempre cambiantes riesgos de seguridad.