Muchas brechas podrían haberse evitado fácilmente con la autenticación de dos factores (2FA). Además de una contraseña, la 2FA requiere un segundo paso de verificación, como un código de smartphone o un escaneado biométrico. Microsoft estima que la autenticación multifactor (MFA) bloquea más del 99,9% de los ataques de compromiso de cuentas, lo que la hace crucial, ya que la «autenticación rota» sigue siendo una de las principales vulnerabilidades OWASP.

Los piratas informáticos suelen utilizar una de las siguientes técnicas para obtener las credenciales de los usuarios:

  1. El phishing de base amplia implica que un actor malicioso envía un correo electrónico genérico desde una dirección de correo electrónico falsa que anima a los destinatarios a iniciar sesión en una página web falsa utilizando sus credenciales reales. Las razones expuestas en el correo electrónico de phishing pueden ir desde «acceder a una nueva herramienta», «restablecer una contraseña» o, irónicamente, «confirmar una actividad sospechosa en la cuenta».

  2. El spear phishing sigue el mismo modelo que el phishing de base amplia, pero los correos electrónicos son específicos para cada objetivo. Esto significa que el correo electrónico se dirige al usuario por su nombre real o por las aplicaciones que utiliza habitualmente. Los correos electrónicos de spear phishing parecen más creíbles que sus homólogos, lo que aumenta su tasa de éxito.

  3. Ataques de relleno de credenciales, en los que un actor malicioso que descubre o compra con éxito la contraseña de un objetivo puede acceder a todas las cuentas que compartan esa contraseña. Esto resulta especialmente problemático si se tiene en cuenta la concienciación personal de los usuarios en materia de ciberseguridad.

  4. La pulverización de contraseñas permite a los atacantes obtener acceso probando contraseñas comunes o predeterminadas. Los ejemplos más genéricos son contraseñas como ‘123456’ y ‘password’.

¿Por qué es importante la autenticación de dos factores?

Como podemos ver, descifrar una contraseña no es misión imposible y no requiere que los atacantes rebusquen en la basura del objetivo con la esperanza de encontrar una hoja de papel con sus credenciales escritas.

Entre estos tres tipos de ataques -phishing, relleno de credenciales y pulverización de contraseñas- es fácil imaginar que de cada mil empleados, al menos uno de ellos podría verse comprometido. Y eso pone en peligro a toda la organización.

Sin embargo, cuando se añade otro modo de autenticación a la mezcla, el riesgo de compromiso se aproxima a cero. Mientras que una contraseña puede ser pirateada, las posibilidades de que el atacante también acceda remotamente al dispositivo de autenticación o biométrico del objetivo son casi nulas. Así es como se pueden evitar el 99,9 por ciento de los compromisos de cuentas.

La formación sobre concienciación en materia de seguridad es fundamental para el éxito de la autenticación de dos factores

La implantación de la autenticación de dos factores en su organización tiene dos consideraciones.

En primer lugar, la tecnología. Para implantar la autenticación de dos factores, tiene que elegir un método que autentique a los usuarios. El método más común hoy en día es el uso de un smartphone. Productos como Office 365 cuentan con funciones MFA integradas y gestión de políticas que pueden configurar fácilmente las aplicaciones móviles de los usuarios como prueba de identidad.

En segundo lugar, y quizás el más difícil, las personas. Los usuarios tendrán que pasar por un paso adicional de inicio de sesión cada vez que accedan a una herramienta que tenga habilitada la MFA. Aquí es donde la formación para la concienciación sobre la seguridad es indispensable. Sin una campaña de educación de los empleados que destaque la importancia de la autenticación de dos factores, algunos usuarios pueden sentirse molestos por el paso de autenticación adicional y recurrir al uso de aplicaciones no autorizadas -como WhatsApp- para compartir archivos y mensajes. Este uso no autorizado de aplicaciones se conoce como TI en la sombra y es una práctica de alto riesgo, ya que elude toda la seguridad de la empresa.

La concienciación de los usuarios en materia de ciberseguridad es aún más importante si tenemos en cuenta el ataque de «relleno de credenciales». Si más del 50% de los usuarios utilizan la misma contraseña para varias cuentas, también es muy probable que compartan contraseñas entre las cuentas personales y las del trabajo.

Creación de un cortafuegos humano con autenticación de dos factores

Por este motivo, recomendamos ampliar las campañas de formación sobre concienciación en materia de seguridad a los hábitos de seguridad personales del empleado. Habilitar la 2FA en servicios de correo electrónico personales como Gmail es fácil de configurar y cómodo de usar. Esta única acción tiene un beneficio bidireccional, directo para el usuario e indirecto para la organización, ya que minimiza el riesgo de violación de datos.

Además de promover la importancia de la autenticación de dos factores para el uso personal, la formación en gestión de incidentes también puede ayudar a los usuarios que se hayan visto comprometidos a seguir un procedimiento que pueda evitar daños mayores, incluida la notificación de las infracciones a los equipos informáticos pertinentes y el cambio de contraseñas cuando sea necesario.

Las campañas educativas para impulsar una buena concienciación personal sobre la ciberseguridad son la única forma de conseguir la adhesión voluntaria de los usuarios. Cuando los empleados comprendan la importancia de mantener seguros sus servicios informáticos y de comunicación tanto en el trabajo como en casa, formarán una base sólida para toda la empresa.

Mejore suciberseguridad con una formación eficaz de los empleados

Para reforzar la ciberseguridad de su organización, le recomendamos explorar estos artículos:

Como alternativa, solicite una demostración gratuita de nuestra formación avanzada en ciberseguridad para empleados para comprobar cómo una formación eficaz puede mejorar su defensa contra las ciberamenazas.

Concienciación sobre ciberseguridad para dummies