Debido a la pandemia de COVID-19, 2019 y 2020 fueron los años en los que las empresas mutaron cada vez más a una fuerza laboral remota. Como parte de ese cambio, las organizaciones expusieron cada vez más los sistemas comerciales de manera externa y adoptaron Software-as-a-Service (SaaS). Estos servicios basados en suscripción y aplicaciones comerciales accesibles desde el exterior facilitan la continuidad y las operaciones de su negocio. Sin embargo, esto también presenta riesgos. Debido a factores de riesgo adicionales, las industrias vieron una mayor necesidad de autenticación multifactorial.
Protección de la información empresarial crítica
Estos entornos SaaS suelen almacenar información empresarial crítica. Desde la gestión de relaciones con los clientes hasta datos confidenciales. Por ejemplo, esto puede incluir información de identificación personal (PII) e incluso propiedad intelectual organizacional (IP).
Muchas organizaciones simplemente utilizan nombres de usuario y contraseñas. Los nombres de usuario y las contraseñas no son suficientes desde una perspectiva de seguridad. Los piratas informáticos pueden adivinar fácilmente y, a menudo, exponer estas credenciales. Las personas también pueden verificar si sus credenciales se han visto comprometidas a través de sitios web populares donde ingresa direcciones de correo electrónico. Pueden verificar si han estado involucrados en una violación de datos.
Los actores malintencionados suelen exponerlos durante ataques y violaciones de datos. Estas amenazas permiten a los piratas informáticos utilizarlas para comprometer otras cuentas. Esto es frecuente, ya que muchas personas reutilizan las credenciales de un entorno a otro. Por ejemplo, tiene su correo electrónico personal o las credenciales de su cuenta de redes sociales. Luego, puede reutilizar esas credenciales, por ejemplo, para sus cuentas y entornos comerciales. Los actores maliciosos pueden combinar adivinar nombres de usuario y contraseñas para pasar de cuentas personales a cuentas comerciales.
Implementación de la autenticación multifactorial
Hay muchas opciones para proteger aplicaciones comerciales o entornos SaaS expuestos externamente. Uno de los más fáciles de implementar y de mayor valor agregado es la autenticación multifactorial (MFA). Básicamente, MFA agrega otra capa de seguridad a su proceso de inicio de sesión. En lugar de solo proporcionar un nombre de usuario y una contraseña, ahora puede solicitar a los usuarios que también proporcionen un segundo factor de autenticación. Por ejemplo, puede solicitar un código enviado por SMS a su teléfono. También puede dar un paso más al utilizar aplicaciones, como Google Authenticator, para generar contraseñas de un solo uso.
La implementación de MFA obliga a los actores malintencionados a necesitar más que solo presentar credenciales, como nombres de usuario y contraseñas. También les exige que proporcionen códigos enviados a través de mensajes de texto SMS o contraseñas de un solo uso entregadas a las aplicaciones. Esto aumenta exponencialmente la dificultad para los actores malintencionados que buscan obtener acceso no autorizado a su información confidencial.
Los líderes en el espacio de MFA señalan que la implementación de MFA tiene los beneficios de permitir una autenticación más sólida. Además, se adapta a la mano de obra remota. Lo hace sin comprometer la experiencia del usuario.
Ataques por SMS
A pesar de los méritos discutidos anteriormente, MFA no está exento de preocupaciones, en particular los SMS. Por ejemplo, muchos utilizan texto SMS para MFA. Sin embargo, puede verse comprometido por ataques de SMS. Esto incluye comprometer teléfonos, números de teléfono o incluso centros de mensajería.
Si estos ataques tienen éxito, el texto SMS enviado a su dispositivo móvil como parte del proceso de MFA puede ser expuesto o interceptado por actores malintencionados. Puede utilizarse y combinarse con sus nombres de usuario y contraseñas comprometidos para acceder en última instancia a sus cuentas comerciales. Incluso organizaciones, como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., Han descartado el uso de mensajes SMS con contraseñas de un solo uso como medida segura de MFA.
Métodos seguros de autenticación multifactorial
Utilizar una aplicación de contraseña de un solo uso, como Google Authenticator o Duo, es un método MFA más seguro que la mensajería de texto SMS. Esto se debe a los posibles ataques mencionados anteriormente. Si bien los actores malintencionados también pueden capturar contraseñas de un solo uso (OTP), el método es mucho más improbable que comprometer la mensajería SMS.
Pensamientos finales
A medida que las organizaciones se muevan cada vez más para brindar soporte a la fuerza de trabajo remota, aumentará la exposición a las aplicaciones comerciales internas. Esto se aplica especialmente a cuando se combina con una mayor adopción de sistemas basados en la nube y SaaS. Con este crecimiento, las organizaciones continuarán exponiendo datos confidenciales. Esta continuación generalmente se realizará a través del almacenamiento basado en la nube o mediante la concesión de acceso externo a sus entornos como parte de las suscripciones de SaaS.
Esta realidad amerita mayores medidas de seguridad. Estas medidas protegen los datos de la organización y de los clientes de los agentes malintencionados. Las empresas deben adoptar MFA. Además, deberían considerar especialmente las OTP basadas en software para mitigar este riesgo, proteger sus datos comerciales, su marca y evitar posibles retrocesos, tanto desde la perspectiva regulatoria como del cliente.
Análisis en Español por: Pablo Moreno
