Aumenta la filtración de credenciales
El número de credenciales que se filtran a la Dark Web no deja de crecer y este dato pone de manifiesto una dolorosa realidad: una considerable parte de las organizaciones sigue sin proteger convenientemente la información de sus empleados. En este sentido, un informe publicado por Arctic Wolf revela que el número de contraseñas provenientes de empresas que se han filtrado a la internet oscura se ha disparado en un 429% desde el pasado mes de marzo. De esta manera, como promedio y por cada organización, se han publicado hasta 17 credenciales (usuario y contraseña) en la Dark Web.
La gravedad de una filtración de credenciales en la Dark Web resulta evidente: un usuario no autorizado y malintencionado puede acceder a los servidores de la organización y desde ahí moverse haciéndose con información comprometida de la misma. Los datos de este informe revelan asimismo que los hackers no descansan: el grueso de los ciberataques tiene lugar entre las 20 horas y las 8 horas del día siguiente (un 35%), y durante los fines de semana (un 14%), precisamente cuando la mayoría de las empresas cierran. Esta circunstancia obliga a extremar las precauciones las 24 horas del día y la pandemia no ha hecho sino empeorar estas cifras, debido fundamentalmente al incremento del teletrabajo.
La importancia de proteger convenientemente las credenciales
Esta situación obliga a las organizaciones a llevar a cabo una protección activa de la información y el primer paso consiste en reforzar las credenciales y evitar su robo. En este sentido, los MSP no deben confiarse con que sus clientes empleen contraseñas complejas, puesto que incluso estas pueden robarse mediante troyanos como Mimikatz. Pero para complicar todavía más si cabe las cosas, buena parte de los usuarios emplean contraseñas débiles o, lo que es peor, “entre 2 y 5 contraseñas para todos sus accesos”, como asegura Alexandre Cagnoni, Director de Autenticación en WatchGuard Technologies. Este hecho puede motivar, por poner un ejemplo, que en una cuenta compartida de Netflix se emplee la misma contraseña que para acceder al servidor corporativo de la empresa de forma remota.
Si esta contraseña “compartida” se utilizara en un servicio que ha sufrido una brecha de seguridad, lo más probable es que termine en la Dark Web y sin que su propietario sea consciente de ello. Esto es, precisamente, lo que sucedió con cerca de medio millón de cuentas activas del popular servicio de videoconferencias Zoom, que se encontraban a la venta en la Dark Web y afectaban a usuarios, entre otros, de entidades bancarias como Chase y Citibank, así como a instituciones educativas en Estados Unidos.
¿Lo más seguro? Emplear autenticación con notificación push
La autenticación multifactor (MFA) se ha convertido en una capa de seguridad imprescindible para asegurarse que quien está introduciendo unas credenciales es el verdadero usuario y no un usurpador. Sin embargo, una MFA basada en el envío de tokens a dispositivos móviles se ha demostrado que no es tan segura como cabría esperar. El blindaje real tiene lugar cuando la MFA se lleva a cabo mediante una notificación push no dependiente de un número de teléfono y que ofrece una serie de ventajas frente al envío de códigos temporales:
- Cuando un ciberatacante intenta acceder a un servicio empleando credenciales válidas, el usuario recibirá una notificación que, si no es aprobada, bloqueará de forma automática el intento de acceso.
- El propio hecho de recibir dicha notificación, si no es el usuario quien está intentando acceder, implica que la contraseña está comprometida, con lo que se tiene margen de tiempo para cambiarla.
- Las notificaciones push pueden incorporar datos añadidos como la geolocalización o la plataforma desde la que se solicita el acceso, lo que da valiosas pistas al usuario o MSP del origen de la petición y su autenticidad.
Las contraseñas en combinación de una MFA basada en notificaciones push siguen siendo, hoy en día, la forma más segura de proteger el acceso a los servicios. Esta realidad deja en evidencia la escasa idoneidad del acceso sin contraseña y mediante componentes biométricos, que no son soportados en la mayoría de páginas web y no cuentan con la suficiente flexibilidad como para emplearse en aplicaciones en la nube o acceder a diversos dispositivos como el teléfono móvil.
La autenticación multifactor (MFA) AuthPoint de WatchGuard permite a los usuarios el empleo de un panel para gestionar las notificaciones push para validar los accesos en múltiples dispositivos. Esta gestión se lleva a cabo de una forma intuitiva y que, sobre todo, garantiza que las peticiones de acceso son validadas una a una por el MSP o responsable del servicio, bloqueándose la solicitud si no es así. Adicionalmente, puede protegerse el acceso mediante el empleo de tokens de hardware, que generan contraseñas de un solo uso (OTP) y que simplifican el proceso de autenticación.