Hay algo incómodo en el hecho de que la forma más común en que los atacantes entran en los sistemas no es a través de exploits técnicos altamente sofisticados o técnicas de vanguardia. Es a través de accesos que nunca deberían haber estado ahí en primer lugar.
El control de acceso roto ha ocupado el primer puesto en el Top 10 de OWASP por una razón. Aparece una y otra vez en las investigaciones de infracciones , en todos los sectores, independientemente de cuánto inviertan las organizaciones en herramientas de seguridad.
De hecho, OWASP descubrió que el 94% de las aplicaciones probadas mostraban alguna forma de control de acceso rotolo que pone de manifiesto lo extendido que está este problema.
Lo que lo hace más preocupante es que no se trata de un problema nuevo. El control de acceso es un reto conocido desde hace años y, sin embargo, sigue siendo uno de los puntos débiles más explotados. No porque sea invisible, sino porque se sitúa en ese difícil espacio entre la tecnología, el proceso y el comportamiento humano.
La lenta acumulación de riesgos
El control de acceso rara vez fracasa en un momento dramático. Tiende a deshacerse gradualmente, moldeado por decisiones cotidianas que parecen razonables en ese momento.
Tal vez alguien se incorpore a un equipo y se le dé un amplio acceso para que pueda empezar a trabajar rápidamente. O quizá un colega cambia de función pero mantiene el acceso a sus sistemas anteriores «por si acaso». Incluso podría ser cuando un proyecto termina, pero nadie vuelve a ver quién sigue teniendo permisos vinculados a él. Con el tiempo, estas pequeñas decisiones se van superponiendo hasta que el acceso deja de reflejar la realidad.
Así es como el exceso de permisos se convierte en algo normal. No ocurre porque la gente sea descuidada, sino porque la rapidez, la comodidad y la continuidad de la actividad suelen tener prioridad en el momento.
El problema es que los atacantes no ven esas decisiones como inofensivas - ven una oportunidad.
Cuando un acceso excesivo se convierte en la norma
En muchas organizaciones, el acceso se concede mucho más fácilmente de lo que se suprime. Existe una tendencia natural a permitir que las personas realicen su trabajo sin fricciones, lo que tiene sentido desde el punto de vista de la productividad.
El reto es que el acceso tiende a acumularse. Cuanto más tiempo lleva alguien en una organización, a más sistemas, archivos y datos puede acceder. Esto se conoce a menudo como privilege creep (acumulación de privilegios), aunque rara vez se percibe como un problema mientras está ocurriendo.
Sin embargo, desde el punto de vista de la seguridad, el panorama es muy distinto. Una sola cuenta comprometida puede abrir muchas más puertas de lo esperado. Lo que comienza como un correo electrónico de phishing o una credencial robada puede escalar rápidamente a algo mucho más serio si esa cuenta tiene permisos excesivos.
Esto resulta aún más significativo si se tiene en cuenta que las credenciales robadas están implicadas en casi la mitad de todas las infracciones, según Informe de Verizon sobre investigaciones de violaciones de datos.
Esta es una de las razones por las que el control de acceso roto se explota con tanta frecuencia. Los atacantes no necesitan romper múltiples capas de defensa si el acceso ya existe.
El problema de la visibilidad
Uno de los mayores retos a los que se enfrentan las organizaciones es simplemente comprender quién tiene acceso a qué.
El control de acceso no siempre se gestiona en un solo lugar. Abarca sistemas de identidad, aplicaciones, plataformas en la nube, unidades compartidas y herramientas de terceros. Cada uno de estos entornos puede tener su propia forma de asignar y realizar el seguimiento de los permisos, lo que dificulta la construcción de una visión clara y coherente.
Sin esa visibilidad, resulta casi imposible detectar los riesgos a tiempo. Al mismo tiempo, los ataques basados en la identidad siguen aumentando, y Microsoft informa de que en 600 millones de ataques de identidad diarios, lo que demuestra hasta qué punto los atacantes dependen de los accesos comprometidos.
Esta falta de claridad no sólo afecta a los equipos de seguridad, sino que crea incertidumbre en todos los niveles de la organización, desde TI hasta la dirección, sobre si el acceso se está gestionando de forma eficaz.
Las amenazas internas y externas se confunden
A menudo se tiende a separar las amenazas internas de los ataques externos, pero un control de acceso deficiente demuestra lo estrechamente relacionados que están en realidad.
Un atacante externo que obtiene acceso a una cuenta legítima está operando efectivamente como un infiltrado. Están utilizando credenciales reales, moviéndose por los sistemas de formas que parecen normales y aprovechándose de permisos que ya existen.
Al mismo tiempo, los auténticos iniciados pueden crear riesgos involuntariamente a través de acciones cotidianas. Compartir el acceso para cumplir un plazo, utilizar cuentas personales por comodidad o no cerrar la sesión en sistemas compartidos pueden exponer información sensible.
La línea que separa el riesgo interno del externo pierde sentido cuando el factor común es el acceso. Lo que importa es cómo se concede, gestiona y supervisa ese acceso a lo largo del tiempo.
Por qué arreglarlo resulta tan difícil
Si el control de acceso roto se entiende tan bien, se plantea una pregunta obvia. ¿Por qué sigue siendo un problema tan persistente?
Parte de la respuesta reside en la escala. Las grandes organizaciones pueden tener miles de usuarios, cientos de aplicaciones y funciones y responsabilidades en constante cambio. Mantener el acceso alineado con la realidad requiere un esfuerzo continuo, no un arreglo puntual.
También está la complejidad de los entornos modernos. Los servicios en la nube, el trabajo a distancia y las integraciones de terceros han ampliado considerablemente el número de puntos de acceso. Cada nuevo sistema introduce otra capa que gestionar.
La responsabilidad es otro factor que a menudo se pasa por alto. El control del acceso no siempre tiene un propietario claro. Los equipos de TI pueden gestionar los sistemas de identidad, los equipos de seguridad se centran en el riesgo y los líderes empresariales aprueban el acceso en función de las necesidades operativas. Sin una responsabilidad clara, las lagunas son casi inevitables.
Todo esto hace que el control de acceso parezca un blanco móvil. Es más fácil dar prioridad a las amenazas visibles e inmediatas que abordar algo que requiere una coordinación continua entre equipos.
El elemento humano detrás del acceso
En su esencia, el control de acceso está conformado por decisiones humanas. La tecnología impone los permisos, pero las personas deciden quién obtiene acceso, cuándo y por qué.
Esas decisiones se toman a menudo bajo presión. Un recién llegado necesita acceso urgentemente. Una parte interesada de alto nivel solicita permisos adicionales. Se acerca la fecha límite de un proyecto y no hay tiempo para preguntarse si el acceso es estrictamente necesario.
En esos momentos, la elección segura no siempre es la más fácil. Sin una orientación clara y procesos coherentes, la gente opta por defecto por lo que le ayuda a avanzar rápidamente.
Esta es la razón por la que la concienciación por sí sola no es suficiente: decir a la gente que siga las mejores prácticas no aborda las presiones subyacentes que impulsan el comportamiento.
Hacia un control que refleje la realidad
Mejorar el control de acceso empieza por reconocer que no es un problema estático. Requiere una atención continua y la voluntad de adaptarse a medida que cambia la organización.
Eso significa revisar periódicamente quién tiene acceso y si sigue teniendo sentido. Significa crear procesos que faciliten la eliminación del acceso a medida que evolucionan las funciones, no sólo su concesión. También significa crear una imagen más clara del acceso en toda la organización, para que las decisiones se basen en conocimientos reales y no en suposiciones.
Igualmente importante es establecer una propiedad clara. Cuando la responsabilidad del control del acceso se comparte pero no se define, resulta difícil impulsar un cambio significativo. Asignar responsabilidades ayuda a asegurarse de que el acceso se gestiona de forma activa en lugar de heredarse de forma pasiva.
La tecnología tiene un papel que desempeñar aquí, especialmente en la automatización de partes del proceso y la mejora de la visibilidad. Sin embargo, debe estar respaldada por una cultura que reconozca el acceso como una parte fundamental de la seguridad, no sólo como una tarea administrativa.
Por qué se sigue pasando por alto este riesgo
Un control de acceso defectuoso no siempre parece urgente hasta que algo va mal. No genera las mismas alertas inmediatas que otros tipos de amenazas y a menudo permanece en segundo plano.
Eso hace que sea fácil quitarle prioridad, aunque el impacto potencial sea significativo.
La realidad es que muchos incidentes de seguridad no empiezan con ataques sofisticados. Empiezan con accesos que nunca se revisaron, nunca se eliminaron o nunca se comprendieron del todo.
Abordar esta cuestión requiere un cambio en la forma en que las organizaciones piensan sobre el acceso. Se trata de un proceso continuo que refleja cómo trabajan las personas, cómo se utilizan los sistemas y cómo evoluciona el riesgo con el tiempo.
Cómo puede ayudar MetaCompliance
En MetaCompliance, enfocamos el control de acceso a través de la lente del riesgo humano.
Comprender quién tiene acceso es sólo una parte del cuadro. Lo que importa igualmente es cómo se toman las decisiones en torno al acceso, cómo evolucionan los comportamientos con el tiempo y dónde es probable que surjan lagunas.
Nuestro enfoque combina la formación de concienciación sobre seguridad con conocimientos sobre el comportamiento, ayudando a las organizaciones a ir más allá de la orientación genérica y a centrarse en las áreas en las que realmente se está generando riesgo. Al medir cómo interactúan las personas con los sistemas e identificar patrones de comportamiento, ayudamos a los equipos a comprender dónde se está rompiendo el control de acceso hacer wn y por qué.
Como parte de esto, apoyamos a las organizaciones con formación alineada con los riesgos del mundo real, incluyendo las vulnerabilidades OWASP Top 10 como el control de acceso roto. Esto ayuda a los equipos a ir más allá de la teoría y comprender cómo se manifiestan estos problemas en las decisiones cotidianas, desde el exceso de permisos hasta la omisión de las revisiones de acceso.
También trabajamos con organizaciones para crear programas que apoyen una mejor toma de decisiones en torno al acceso a lo largo del ciclo de vida del empleado, desde la incorporación y los cambios de funciones hasta las revisiones continuas del acceso. La atención se centra en ayudar a las personas a reconocer dónde puede desarrollarse el riesgo y ofrecerles formas prácticas de reducirlo sin ralentizar el negocio.
Si el control de accesos le parece un reto en constante evolución, es porque lo es. La clave está en disponer de la visibilidad, la perspectiva y el apoyo necesarios para gestionarlo con confianza.