BLOG

Robo de credenciales: Tan fácil como dispararle a Phish en un barril

Miniatura
Publicado el 8 de febrero de 2017

Imagina tu mejor escenario: Ha realizado una capacitación sobre concientización sobre seguridad para sus usuarios y los ha educado sobre todas las amenazas que se aplican a ellos. Ha cultivado una cultura de seguridad donde todos conocen las tácticas de los phishers y cómo evitar ser comprometidos por un correo electrónico de phishing. Tiene antivirus instalado en todos sus puntos finales para combatir las descargas automáticas. Sus usuarios incluso son lo suficientemente avanzados como para usar un administrador de contraseñas porque conocen y les preocupan los peligros de las contraseñas débiles y la reutilización de contraseñas.

Contraseña

Ahora, volvamos a la realidad. Usamos tecnología porque los humanos somos propensos a errores. Por supuesto, educar a sus usuarios es muy importante porque reducirá drásticamente la frecuencia de incidentes relacionados con phishing. Pero no importa cuánto eduques a tus usuarios, siempre habrá algunos que cometan un error. Según el Informe de investigaciones de violaciones de datos de Verizon de 2016 (DBIR), el 13 por ciento de las personas examinadas para detectar phishing hicieron clic en el archivo adjunto en el correo electrónico de phishing. Así que no te engañes pensando que ninguno de tus usuarios estaría dentro de ese 13 por ciento. Dejando a un lado los errores, el 20 por ciento de los empleados están dispuestos a vender sus contraseñas y el 44 por ciento de esos empleados lo haría por menos de 1.000 dólares . Si observa estas estadísticas y piensa "Eso no sucedería en mi organización", entonces es usted el que está cometiendo el error si no anticipa y se prepara para que ocurran incidentes de phishing.

Una motivación obvia del phishing es robar las credenciales del usuario para luego lanzar un ataque más profundo. El DBIR de Verizon de 2016 registró 1.429 incidentes que involucraron el uso de credenciales comprometidas. ¿Cómo es esto posible? La fatiga de las contraseñas del usuario es un factor importante. Piense en todas las contraseñas que guarda para sus necesidades personales: su aplicación de banca móvil, su cuenta de Gmail, su cuenta de Facebook, su Amazon Prime… la lista continúa. Ahora, apliquemos esta misma situación a las empresas, donde el 80 por ciento de ellas entregan aplicações (Office 365, Salesforce, Concur, etc.) desde la nube. Los datos más confidenciales de las empresas residen en sus aplicações, y esas aplicações pueden tener los siguientes requisitos típicos de complejidad de contraseña:

  • Mínimo 8 caracteres
  • Uso de al menos 1 carácter especial (!,@,#,$, etc.)
  • Uso de al menos 1 letra mayúscula (A-Z)
  • Uso de al menos 1 número (0-9)


Las mejores prácticas indican que se debe usar una contraseña única para cada una de esas cuentas y, para muchas de esas aplicaciones, es necesario cambiar la contraseña cada 90 a 180 días. ¡Buena suerte recordando todas esas contraseñas!

¿Cómo refleja la realidad esos requisitos de contraseña? Lo que realmente hacen la mayoría de los usuarios es utilizar una o dos, tal vez tres contraseñas casi únicas, posiblemente con una ligera variación (agregar un “1” al final) para nuestras aplicaciones más importantes. Esto se traduce en que una contraseña comprometida es un gran comienzo para que un atacante comprometa varios conjuntos de credenciales. ¿Cómo podemos detener esto?

La implementación de la seguridad siempre implica encontrar el equilibrio entre la seguridad y la conveniencia para el usuario. Eliminar por completo los ataques generados por phishing puede ser una tarea titánica, y posiblemente imposible, en nuestros entornos de trabajo de ritmo rápido. Entonces, ¿qué haremos? 

Una gran solución para detener o, al menos, reducir significativamente el daño causado por las credenciales comprometidas resultantes del phishing es la autenticación multifactor (MFA). La MFA consiste en algo que sabes (una contraseña), algo que tienes (un token) e incluso algo que eres (biometría). Al ingresar su nombre de usuario, contraseña y proporcionar algún tipo de token único o verificación física, garantiza que solo los usuarios aprobados puedan acceder a sus aplicações.

Si por casualidad trabajas con un grupo de unicornios, como se describe en el primer párrafo, todavía hay mucha evidencia que demuestra que aún así deberías implementar una solución MFA. Si bien los navegadores web y los administradores de contraseñas son ciertamente útiles porque ayudan a los usuarios a cumplir con las mejores prácticas, los atacantes también los tienen en la mira. Cuando los usuarios seleccionan la función de autocompletar, los atacantes pueden ocultar campos sensibles como dirección, fecha de nacimiento y número de teléfono, e incluso contraseñas, mientras muestran solo cuadros de entrada básicos como nombre y correo electrónico. Esto significa que las contraseñas y otra información confidencial de los usuarios se ingresan involuntariamente en campos de texto que el usuario no puede ver. Pero hay formas de ofuscar el texto ingresado y encriptarlo para que no pueda leerse.

Sus usuarios desean conectarse a las aplicações desde cualquier lugar y con cualquier dispositivo, por lo que depende de usted ayudarlos a hacerlo de forma segura. Las soluciones de acceso a aplicação de F5 proporcionan una fácil integración con numerosos proveedores de MFA para que pueda ofrecer opciones de un segundo o incluso tercer factor o una autenticación mayor para sus usuarios (es decir, notificaciones push de teléfonos móviles con contraseña de un solo uso [OTP] a través de aplicaciones de autenticación, Yubikey y muchos otros). Además, cuando se implementa en conjunto con las soluciones antifraude de F5, como F5 WebSafe , el texto ingresado en formularios en línea, incluidos nombres de usuario y contraseñas, se puede ofuscar y cifrar para brindar protección adicional.

La autenticación segura para sus aplicações combinada con una experiencia simple pero mejorada para sus usuarios es una victoria segura para todos.