Blog de WatchGuard

Go to 

Conocer el origen de los intentos de acceso es la clave para MFA

17 diciembre 2021 Por The Editor
MFA- Geofence

Los ciberataques en el ámbito de la geopolítica tienen un impacto cada vez más significativo. 2020 fue un año intenso en el que se utilizó la pandemia para lanzar campañas de desinformación. Además, se produjeron incidentes graves provocados por grupos vinculados a potencias extranjeras. Uno de los casos más sorprendentes del 2021 ocurrió el mes pasado: el Gobierno alemán ha revelado que tiene "información fidedigna" que indica que los recientes ciberataques contra los Estados miembros de la Unión Europea son producto del accionar de "agentes" rusos vinculados al servicio de espionaje militar ruso, conocido aún por su antiguo acrónimo GRU, y a la agencia de inteligencia de Rusia.

La cibercampaña se ha denominado "Escritor fantasma" (o Ghostwriter) y está dirigida a "un gran número de miembros del Parlamento, funcionarios gubernamentales, políticos, miembros de la prensa y de la sociedad civil de la UE", según se afirma en un comunicado de prensa publicado por el Consejo Europeo. Los hackers utilizan correos electrónicos de suplantación de identidad (phishing) con la intención de obtener credenciales, acceder a los sistemas de sus víctimas y robar información. 

Grupos de amenaza persistente avanzada (APT)

En este contexto, la protección de las credenciales de los usuarios se torna cada vez más importante. Hace unas semanas, mencionamos que las contraseñas de empresas que se han filtrado a la dark web han aumentado un 429 % desde marzo pasado.

Pero más allá de estas fugas masivas en las que los ciberdelicuentes ponen a la venta grandes volúmenes de datos, los casos como los de la campaña Escritor fantasma demuestran que los grupos de APT vinculados al Estado y con objetivos muy específicos también representan un riesgo grave para la seguridad de las credenciales de una organización.

Estos hackers cuentan con recursos para investigar a las potenciales víctimas y sus entornos de trabajo de manera individual. Luego de realizar una investigación preliminar, utilizan métodos de ingeniería social, como la suplantación de objetivo definido (spear phishing), que les permite confundir a sus objetivos al hacerse pasar por colegas, miembros del equipo de TI o incluso sus superiores (en lo que se conoce como "fraude de director general"). A través de este método, logran engañar a sus víctimas para obtener las credenciales, aun cuando los usuarios estén familiarizados con las prácticas de ciberseguridad.

Dado que estos ataques tan sofisticados se originan en el extranjero, se plantea la pregunta sobre cómo pueden las organizaciones y los Estados protegerse para impedir el acceso no autorizado y los ciberataques provenientes de zonas geográficas específicas. Una de las posibles respuestas a esta pregunta es la autenticación multifactor con geolocalización. 

MFA combinada con políticas de riesgos de geofece

Dado los antecedentes de Rusia, los políticos, los funcionarios y otras personas importantes afectadas por la campaña Escritor fantasma podrían haber evitado el incidente si sus organizaciones hubiesen implementado herramientas de ciberseguridad para proporcionar medidas específicas de geofence contra los intentos de acceso no autorizado de dicho país.

Sin embargo, estas medidas de geofence deben combinarse con soluciones avanzadas de autenticación multifactor (MFA) que ofrezcan funcionalidades de autenticación basada en riesgos. De esta manera, se garantiza que la persona que escribe las credenciales para iniciar sesión en el sistema sea un usuario o un empleado verdadero.

En este sentido, WatchGuard AuthPoint ofrece un nivel de seguridad avanzado mediante la autenticación basada en riesgos para determinar los factores de riesgo cuando se toma una decisión de autenticación. Por ejemplo, los administradores pueden activar políticas de riesgos de geofence (es muy sencillo a través de WatchGuard Cloud) para asegurarse de que el acceso solo tenga lugar en las áreas geográficas autorizadas, incluso si la solicitud de acceso proviene de equipos aparentemente legítimos.

La ventaja de la autenticación basada en riesgos es que tiene en cuenta los factores de riesgo a la hora de tomar una decisión de autenticación. No se trata de una mera autenticación estática, sino que permite a los administradores crear reglas para modificar el comportamiento de autenticación. Por ejemplo, en ocasiones esta autenticación puede simplificar el acceso si el riesgo es bajo, solicitar pasos adicionales para garantizar que se trate del usuario correcto, o bloquear el acceso si el riesgo es alto, aunque el usuario haya proporcionado una contraseña de un solo uso (OTP) correcta.

Adición de valor si eres un proveedor de servicios gestionados (MSP)

Los partners de WatchGuard pueden ofrecer a sus clientes un mayor nivel de seguridad en los procesos de autenticación gracias a las notificaciones push que incluyen geolocalización. De este modo, los administradores y los usuarios pueden conocer con precisión de dónde proviene la solicitud. Esto reduce significativamente la probabilidad de que grupos de APT extranjeros accedan a los sistemas, aun habiendo obtenido previamente las credenciales.

 

Comparte esto:

Archivado bajo: Autenticación de Acceso e Identidad, MSP, Modelos de Seguridad, WatchGuard AuthPoint, Socios de canal, Autenticación multifactor, Tendencias de Ciberseguridad
< Blog Inicio

Posts relacionados

< Blog Inicio