Push y protección de contraseñas I WatchGuard Blog

¿Son todavía las contraseñas la estrategia más común para proteger las cuentas en las organizaciones? Esta encuesta de Pulse de seguridad de las contraseñas desvela que el 38% de los encuestados usa entre 4 y 6 cuentas protegidas por contraseñas diariamente y el 49% reconoce que sus equipos de IT resuelven una media de 9 problemas relacionados con contraseñas cada día. Se trata de algo que la mayoría confiesa que se ha agravado con el trabajo en remoto durante estos meses debido a la pandemia. En estos casos lo sorprendente es que, pese a que son conscientes de estas dificultades, tan solo un 38% da formación sobre ello a sus empleados anualmente.

Además, el 91% considera que las capas adicionales de seguridad son frustrantes para los usuarios finales. No es que no conozcan que las herramientas como los gestores de contraseñas (un 32% afirma que las utiliza) pueden ayudarles, pero sí se quejan de que los usuarios de estas herramientas no las consideran intuitivas ni sencillas de utilizar.al tener que autenticarse manualmente para poder acceder.

En este sentido, es preocupante que las organizaciones sepan lo importante que es proteger sus contraseñas, pero por diferentes motivos, como las dificultades de uso para sus empleados y usuarios, no cuenten con toda la seguridad que deberían. Hay que tener en cuenta que incluso las contraseñas más complejas pueden ser capturadas por los ciberatacantes mediante troyanos keyloggers o herramientas como Mimikatz: los usuarios tienden a usar no más de entre 2 y 5 contraseñas diferentes y en ocasiones, esas contraseñas comunes también las conocen sus familiares cuando comparten suscripciones de streaming u otras plataformas. Además, también existe el riesgo común de que puedan capturarse mediante técnicas de ingeniería social como el phishing.

Por otro lado, muchas credenciales también terminan en la Dark Web como consecuencia de una brecha de datos y hasta que la organización no se da cuenta de ello, esas contraseñas permanecen expuestas y pueden ser aprovechadas con findes maliciosos.

Bajo este contexto, es imprescindible que las organizaciones implementen soluciones de autenticación multifactor (MFA). Existen soluciones de autenticación multifactor sin contraseñas, pero son poco flexibles y muy específicas para determinadas funciones (por ejemplo, iniciar la sesión en el ordenador) `pt lo que la mayoría de webs y servicios todavía no las soportan. Además, en cualquier caso, aquellas que lo hacen casi siempre conllevan una contraseña de soporte detrás, como ocurre con las Apps bancarias que inicialmente soportan la biometría con reconocimiento facial del móvil pero siempre requieren además una contraseña de apoyo.

Por estos motivos, para la mayoría de los casos, la mejor solución para las organizaciones es que implementen soluciones MFA con notificaciones “push”. De esta manera, si el ciberatacante ha obtenido unas credenciales válidas pero intenta introducirse en la cuenta, el usuario legítimo recibirá una notificación de aviso (que generalmente incluye datos de referencia como la localización geográfica de quien ha intentado acceder) que él tendrá que confirmar. Si la ignora o la rechaza, el acceso para el ciberatacante quedará bloqueado. Además, esta solución también implica otro beneficio importante: al usuario legítimo le servirá de aviso para mostrarle que su contraseña ha sido obtenida sin su permiso o ha quedado expuesta en la dark web, con lo que podrá cambiarla rápidamente por otra. También es importante tener en cuenta que la formación de los usuarios es imprescindible en un despliegue de MFA. Deben entender y reconocer que siempre deben mirar el mensaje Push antes de aprobarlo o denegarlo, evitando así engaños.

Para aquellos que utilizan OTPs regulares basados en el tiempo, siempre existe el riesgo de que el hacker consiga clonar el teléfono móvil, utilizando alguna aplicación RAT, y creando un clon del token móvil.Para estos casos, también existe una funcionalidad extra de protección MFA que no solo verifica el número del teléfono, sino también si el dispositivo receptor es el legítimo, a través de un sistema de cifrado/algoritmo hash vinculado específicamente al hardware del dispositivo registrado previamente, como si fuera un ADN móvil. De esta manera, se reduce mucho el riesgo número 1 que hacen a las organizaciones vulnerables a accesos no autorizados: las credenciales de sus empleados.