Especialistas en ciberseguridad y tecnologías de la información.

Poussin 4, Insurgentes Mixcoac, CDMX
55-62-68-90-82
[email protected]

El robo de credenciales a usuarios

Hoy en día, usar contraseñas robustas con varios caracteres y de diferentes tipos ya no es tan seguro. Su principal inconveniente es que pueden ser robadas sin conocimiento del usuario, pues una contraseña no es más que una serie de caracteres que puede ser obtenida por diferentes técnicas de ataque.

Desde hace varios años, los ataques a los sistemas de autenticación se han popularizado drásticamente; se han vuelto más frecuentes, más sofisticados y más fáciles de realizar. Además, se pueden combinar varios tipos de ataques, que revelan todo tipo de contraseñas en poco tiempo. Es por eso que deben tomarse medidas de seguridad adicionales, para reducir el riesgo de que un ciberdelincuente obtenga acceso a las cuentas.

El aumento en la frecuencia y variedad de ciberataques muchas veces ocurre por el robo de contraseñas débiles. Los ciberdelincuentes utilizan una gran variedad de técnicas para realizar estos robos, como el phishing o las brechas de seguridad de alguna plataforma o aplicación, lo que demuestra la facilidad con que los ciberdelincuentes pueden obtener contraseñas para entrar en cuentas ajenas.

Las contraseñas pueden robarse de varias formas: actualmente, el spear phishing es una de las técnicas más populares entre los ciberdelincuente para obtener estos datos sin conocimiento de las víctimas.

El spear phishing es una estafa de correo electrónico dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo por lo regular es robar datos, como las credenciales de los usuarios, los atacantes también pueden tratar de instalar un programa malicioso o malware en la computadora de la víctima.

Este tipo de técnicas tienen mucho éxito porque inspiran confianza en las víctimas, porque reciben correos personalizados por medio de un entorno conocido, como su bandeja de correo electrónico. Además, los ciberdelincuentes se hacen pasar por personas del entorno de la víctima para hacer la comunicación más creíble. El atacante podría obtener las credenciales, si el correo simulado contiene temas de interés para la víctima o si sobre todo le transmite un nivel de urgencia para atender el correo.

Según indica el Instituto SANS, hasta el 95% de los ataques en el sector corporativo se deben a un intento exitoso de spear phishing. En el entorno laboral es complicado conocer el correo de los empleados de otras áreas con quienes no se interactúa comúnmente. Sin embargo, es posible tener varios correos profesionales, los cuales facilitan el robo de credenciales con esta técnica.

La información robada es frecuentemente vendida al mejor postor en la darkweb a compradores que quieren acceder a cuentas valiosas. Además del phishing, las brechas de seguridad pueden afectar a organizaciones de gran escala poniendo en riesgo la reputación e información valiosa de la empresa.

Debido a esto, la enorme debilidad del uso de contraseñas es evidente, respecto a la protección de cuentas que pueden resguardar información valiosa, sin importar lo fuertes que sean las contraseñas. Incluso si se utilizan combinaciones de alta seguridad o administradores de contraseñas es complicado defenderse de los ataques sofisticados sin develar información sensible por accidente, a través de los métodos de phishing o mediante las fugas de información que sufren las grandes compañías.

Los factores de autenticación

Hoy en día, con el auge de los ataques de phishing, ingeniería social, fuerza bruta o simple robo, es fundamental una autenticación que utilice factores de distintas categorías, dado que cada categoría tiene sus fortalezas y distintas superficies de ataque.

Los factores de autenticación son una evidencia que sirven para demostrar la identidad de una persona y por lo tanto acceder a la información. Estos pueden dividirse en tres categorías:

  1. Algo que se sabe (conocimiento): es algo que sólo el usuario puede saber. Por ejemplo, una contraseña o PIN.
  2. Algo que se tiene (posesión): la evidencia es algo que sólo el solicitante puede poseer. Por ejemplo, como un teléfono o token que le permita recibir un código de seguridad o una contraseña de un solo uso (OTP).
  3. Algo que se es (inherencia): es algo que sólo el solicitante puede ser. En general, se trata de alguna característica biométrica, ya que se trata de información inherente al usuario.

La autenticación multi-factor

La autenticación multi-factor (MFA) es un proceso de verificación que requiere de más de un factor de autenticación para que el proceso sea exitoso y el usuario obtenga acceso a los recursos o información solicitada. Para lograr la autenticación, deben ser correctos todos los factores presentados, pues si uno es erróneo, se deniega el acceso al sistema o servicio solicitado. El método de MFA más utilizado es la autenticación de dos factores (2FA). Se trata de autenticar a un usuario utilizando una combinación de dos factores pertenecientes a distintas categorías. Por lo general, los sistemas de doble autenticación suelen utilizar los factores conocimiento (nombre de usuario y contraseña) y posesión (teléfono o token para recibir código de seguridad).

La ventaja principal de utilizar autenticación multi-factor es que, como la seguridad de sólo uno de los factores de autenticación no es suficiente, un ciberdelincuente no podrá acceder a los recursos de la organización si llegara a robar su contraseña, puesto que deberá obtener los demás factores.

Existen soluciones tecnológicas que permiten a las organizaciones centralizar la gestión de la verificación de identidades y autenticación multi-factor. Estas soluciones proporcionan a la organización autenticadores integrados de varios factores, fáciles de usar para los usuarios. De esta forma, y según las necesidades de cada aplicación o servicio, la organización puede usar los factores de autenticación más apropiados. Este tipo de soluciones suelen estar compuestas por un gestor centralizado y aplicaciones para dispositivos móviles, dispositivos y tokens, que son los que actúan como autenticadores, permitiendo lecturas biométricas, generando códigos OTP (One Time Password), recibiendo notificaciones push, etc.

Las características principales de MFA

Las soluciones tecnológicas ayudan a centralizar el proceso de autenticación de los usuarios, simplificando la implementación y gestión de la autenticación multi-factor.

Generalmente permiten habilitar la autenticación adaptativa basada en riesgo, analizando los atributos contextuales del usuario y su entorno (por ejemplo, hora de conexión, dirección IP o localización).

Gestionan la creación de políticas de seguridad para incrementar la seguridad de los factores o del proceso de autenticación, como las políticas de autenticación para obligar el uso de ciertos factores en determinadas situaciones.

Facilitan las acciones de auditoría y monitoreo del proceso de autenticación y de las sesiones gracias a la centralización del proceso.

Conclusión

La autenticación basada en nombres de usuario y contraseñas por sí sola es muy básica, y los usuarios pueden tener problemas para almacenarlos, recordarlos y administrarlos en distintas cuentas. Incluso muchos reutilizan contraseñas en todos los servicios y crean contraseñas que carecen de complejidad.

La autenticación multi-factor reduce el riesgo de acceso no autorizado de un atacante al sistema ya que agregar una capa adicional de autenticación. También permite identificar cualquier intento de inicio de sesión no autorizado en las cuentas.

Las técnicas de phishing no serían tan efectivas con este método, ya que sí una persona es víctima de un ataque, el ciberdelincuente no podría acceder fácilmente a la cuenta debido al factor adicional implementado. Con este modelo de autenticación, si el atacante ha logrado obtener el usuario y contraseña de alguna manera, no podrá iniciar sesión debido a que es más difícil conocer el siguiente factor de autenticación.