El fin de la era del Usuario/Contraseña
Luis Gorgona lgorgona@rsm.cr | Viernes 03 septiembre, 2021
El día de ayer pude observar (con cierto júbilo, debo de decir), que la Agencia de Seguridad de la Infraestructura y la Ciberseguridad del Gobierno de los Estados Unidos (CISA por sus siglas en inglés) añadió la autenticación de un solo factor como a la lista de prácticas “excepcionalmente riesgosas” en las organizaciones, dada la alta probabilidad de exposición de datos que se ocasiona de dicha práctica. Es la primera vez que una agencia gubernamental toma una decisión en ese sentido.
Para ponernos en contexto, existen 4 factores que permiten autenticar a una persona como verdadera dueña de las credenciales que ostenta:
- Algo que el usuario sabe: Por ejemplo, una contraseña, un PIN, un nombre de usuario.
- Algo que el usuario tiene: En esta categoría se encuentran tokens, tarjetas dinámicas, certificados digitales, entre otros.
- Algo que el usuario es: Aquí tenemos los dispositivos biométricos, tales como lectores de huella, de la palma de la mano, de retina y reconocimiento facial.
- Algo que el usuario hace: Esto se refiere a acciones del usuario, tales como reconocimiento por voz o reconocimiento de su firma.
En el mundo actual, con servicios en la nube, con herramientas totalmente descentralizadas, es casi que inaceptable que las organizaciones sigan protegiendo el acceso a datos, sistemas y redes mediante un esquema de usuario/contraseña. Definitivamente, este es el más inseguro de los métodos de acceso. La gente tiende a usar contraseñas fáciles de adivinar (12345678, password123, fechas de aniversario, nacimiento, etc). Además, las herramientas de “keylogging” pueden ser fácilmente implantadas en los equipos con el fin de obtener dichas contraseñas de forma muy trivial. La gente, comparte sus contraseñas con relativa facilidad, usa su misma contraseña en decenas de sitios, y además caen fácilmente presa de correos de trampa, denominados como “phishing”.
Hablemos de algunos mitos respecto a la autenticación multifactor y la ciberseguridad en general. La gente piensa que la autenticación multifactor es un recurso muy caro. Esa es una falacia. En realidad, activar autenticación de 2 factores en herramientas como Office365 o Google Workspace es relativamente, sencillo, fácil de implementar y, usualmente, sin costo añadido. Otro mito es que la gente no va a poder lidiar con ello. Otra vez, alejados de la realidad. La mayoría de los dispositivos móviles, como teléfonos inteligentes, tabletas, entre otros, tienen ya la autenticación por doble factor por defecto. otros, tienen ya la autenticación por doble factor por defecto.
El grado de exposición de las organizaciones por el mal uso de sus métodos de autenticación es lo suficientemente grande y riesgoso, como para que las organizaciones piensen en tomar control de ella. Las pérdidas por incidentes pueden ser cuantiosas, sin contar las multas, penalidades o acciones civiles derivadas de la divulgación no autorizada de datos, cubierta en la ley 8968 y su reglamento.
El convertir la autenticación de un solo factor, (independientemente de cuál sea) en una práctica peligrosa, es el catalizador que las organizaciones van a requerir en su proceso de empoderamiento con su ciberseguridad. Este empoderamiento debe de ser un proceso planificado, presupuestado y medible, que genere valor agregado a la organización y le ayude a cumplir con sus objetivos estratégicos. Durante muchos años, los profesionales en ciberseguridad hemos venido advirtiendo del riesgo contenido en dicha práctica, y debo decirlo, la mayoría de nuestra semilla no ha caído en terreno fértil
Recordemos, hay 3 tipos de empresas: Las que ya fueron vulneradas, las que no han sido vulneradas y las que aún no saben que han sido vulneradas. De las decisiones de cada uno de nosotros depende el que nuestra organización no pase a ser una cifra más en las estadísticas de la ciberdelincuencia. Ponga su ciberseguridad en manos de profesionales calificados, que puedan darle un punto de vista independiente del estado de su ciberseguridad. Evalúe, trate siempre de buscar el balance entre la seguridad, el valor agregado y el costo que representa. No actuar no es una opción.