En 2016, millones de correos electrónicos fueron violados en Deloitte, después de que los hackers obtuvieran acceso a una cuenta de administrador que les dio acceso sin restricciones al sistema de correo electrónico basado en la nube de Deloitte. Las investigaciones del incidente revelaron que la cuenta del administrador solo tenía una capa de protección, una contraseña, sin ningún otro método de identificación.
Esto podría haberse evitado fácilmente si se hubiera activado la autenticación de dos factores (2FA) para la cuenta de administrador. Además de utilizar una contraseña, el 2FA requiere que los usuarios proporcionen una prueba adicional que confirme su identidad. Puede ser algo que sólo posea el usuario, como un smartphone, o un elemento biométrico, como una huella dactilar.
De hecho, Microsoft estima que la eficacia de la autenticación multifactor es de más de 99,9 por cientobloqueando prácticamente todos los ataques de compromiso de cuentas. Esto es muy importante si se tiene en cuenta que la "autenticación rota" ha sido constantemente una de las principales vulnerabilidades en el Top Ten de OWASP.
Los hackers suelen utilizar una de las siguientes técnicas para obtener las credenciales de los usuarios:
- Elphishing de base amplia implica que un actor malicioso envía un correo electrónico genérico desde una dirección de correo electrónico falsa que anima a los destinatarios a iniciar sesión en una página web falsa utilizando sus credenciales reales. Las razones expuestas en el correo electrónico de phishing pueden ir desde "acceder a una nueva herramienta", "restablecer una contraseña" o, irónicamente, "confirmar una actividad sospechosa en la cuenta".
- Elspear phishing sigue el mismo modelo que el phishing de base amplia, pero los correos electrónicos son específicos para cada objetivo. Esto significa que el correo electrónico se dirige al usuario por su nombre real, o por las aplicaciones que utiliza habitualmente. Los correos electrónicos de spear phishing parecen más creíbles que sus homólogos, lo que aumenta su tasa de éxito.
- Losataques de relleno de credenciales, en los que un actor malicioso que descubre o compra con éxito la contraseña de un objetivo puede acceder a todas las cuentas que comparten esa contraseña. Esto es especialmente problemático si se tiene en cuenta la conciencia de ciberseguridad personal de los usuarios. En 2020, más del 50 por ciento de las personas admiten que utilizan la misma contraseña para varias cuentas. Esto deja tanto sus datos personales como los del trabajo vulnerables a este tipo de ataques.
- La pulverización de contraseñas permite a los atacantes obtener acceso probando contraseñas comunes o por defecto. Los ejemplos más genéricos son contraseñas como '123456' y 'password'.
¿Por qué es importante la autenticación de dos factores?
Como vemos, descifrar una contraseña no es misión imposible y no requiere que los atacantes revisen la basura del objetivo con la esperanza de encontrar una hoja de papel con sus credenciales escritas.
Entre estos tres tipos de ataques - phishing, relleno de credenciales y pulverización de contraseñas - es fácil imaginar que de cada mil empleados, al menos uno de ellos podría verse comprometido. Y eso pone en riesgo a toda la organización.
Sin embargo, cuando se añade otro modo de autenticación a la mezcla, el riesgo de compromiso se aproxima a cero. Mientras que una contraseña puede ser hackeada, las posibilidades de que el atacante también acceda remotamente al dispositivo de autenticación o biométrico del objetivo son casi nulas. Así es como se puede evitar el 99,9% de los compromisos de cuentas.
La formación en materia de seguridad es fundamental para el éxito de la autenticación de dos factores
La implementación de la autenticación de dos factores en su organización tiene dos consideraciones.
En primer lugar, la tecnología. Para implantar la autenticación de dos factores, hay que elegir un método que autentifique a los usuarios. El método más común hoy en día es el uso de un smartphone. Productos como Office 365 tienen funciones MFA integradas y gestión de políticas que pueden configurar fácilmente las aplicaciones móviles de los usuarios como prueba de identidad.
En segundo lugar, y quizás el más difícil, las personas. Los usuarios tendrán que pasar por un paso adicional de inicio de sesión cada vez que accedan a una herramienta que tenga habilitada la MFA. Aquí es donde la formación para la concienciación sobre la seguridad es indispensable. Si no se lleva a cabo una campaña de educación de los empleados en la que se destaque la importancia de la autenticación de dos factores, algunos usuarios pueden sentirse incómodos por el paso adicional de autenticación y pueden recurrir al uso de aplicaciones no autorizadas -como WhatsApp- para compartir archivos y mensajes. Este uso de aplicaciones no autorizadas se denomina TI en la sombra y es una práctica de alto riesgo, ya que elude toda la seguridad de la empresa.
La concienciación de los usuarios en materia de ciberseguridad es aún más importante si tenemos en cuenta el ataque de relleno de credenciales. Si más del 50% de los usuarios utilizan la misma contraseña para varias cuentas, también es muy probable que compartan las contraseñas entre las cuentas personales y las del trabajo.
Creación de un cortafuegos humano con autenticación de dos factores
Por esta razón, recomendamos ampliar las campañas de formación en materia de concienciación sobre la seguridad a los hábitos de seguridad personales de los empleados. Activar la 2FA en los servicios de correo electrónico personales, como Gmail, es fácil de configurar y cómodo de usar. Esta única acción tiene un beneficio bidireccional, directamente para el usuario e indirectamente para la organización, ya que minimiza el riesgo de violación de datos.
Además de promover la importancia de la autenticación de dos factores para el uso personal, la formación para la gestión de incidentes también puede ayudar a los usuarios que se han visto comprometidos a seguir un procedimiento que puede evitar daños mayores, incluida la notificación de las infracciones a los equipos de TI pertinentes y el cambio de contraseñas cuando sea necesario.
Las campañas educativas para impulsar una buena concienciación personal en materia de ciberseguridad son la única manera de conseguir la adhesión voluntaria de los usuarios. Cuando los empleados comprendan la importancia de mantener seguros sus servicios de comunicación y TI tanto en el trabajo como en casa, formarán una base sólida para toda la empresa.