INFORME WHEN SECURITY AWARENESS FALLS SHORT: WHY EMPLOYEES BEHAVE INSECURELY (2022)

 GARTNER

COMPARTE LOS SIGUIENTES HALLAZGOS:

• BAJO MANTENIMIENTO DE LAS CONTRASEÑAS: El 57% de los empleados guarda la contraseña en un formato no cifrado.

• LÍMITES POCO CLAROS DE LA INTERFAZ PERSONAL-LABORAL: El 36 % utiliza el almacenamiento personal de la nube para el trabajo.

• CONTROL NEGLIGENTE DE DATOS: El 33% comparte datos de trabajo con personas que no deberían tener acceso a ellos.

• DESCUIDO CON LOS CORREOS ELECTRÓNICOS: El 36% abre correos electrónicos de fuentes desconocidas en un dispositivo de trabajo. Tomando esta información como base, y dado que octubre es el mes de la Concienciación en Ciberseguridad, SMARTFENSE propone una serie de acciones a su conveniencia:

1. Video: Contraseñas: La llave digital de nuestras cuentas online.
2. Módulo interactivo: Seguridad en la nube.
3. Newsletter: Clasifiquemos la información para protegerla.
4. Phishing: Amazon: Giftcard.
5. Video: Claves para reconocer correos electrónicos maliciosos.

CISA PUBLICA LAS LÍNEAS DE BASE DE CONFIGURACIÓN DE SEGURIDAD DE MICROSOFT 365 PARA PILOTOS, COMENTARIO PÚBLICO

     

    La Agencia de Seguridad de Infraestructura y Ciberseguridad publicó el jueves las líneas de base de configuración de seguridad de Microsoft 365 recomendadas para su uso en pilotos de seguridad en la nube por parte de agencias federales y para comentarios públicos.

   Como parte del proyecto Secure Cloud Business Applications (SCuBA) de CISA para proteger la información confidencial, las especificaciones del sistema de información ayudarán a las agencias a alinear sus entornos con los mandatos cibernéticos federales.

    CISA anunció SCuBA en abril, y las líneas de base son solo las primeras: se espera una serie de Google Workspace dentro de unos meses.

    Una línea de base de configuración es una especificación documentada para un sistema de información que se revisa formalmente y puede modificarse solo a través de cambios en los procedimientos de control.

    "CISA ha desarrollado estas líneas de base para que las agencias federales las adopten ampliamente, comenzando con esfuerzos piloto, a medida que las agencias transforman, modernizan y aseguran sus entornos empresariales”, dijo a FedScoop Sean Connelly, arquitecto cibernético senior de CISA.

    Las líneas de base flexibles complementan los requisitos únicos de las agencias y los niveles de tolerancia al riesgo e incluyen automatización para evaluar rápidamente los servicios de Microsoft 365.

    Un consorcio de expertos en seguridad llamado Equipo Tigre de Innovación Cibernética del Consejo Federal de Directores de Información realizó el trabajo fundamental sobre las líneas de base que la Oficina de Gestión de Servicios de Calidad Cibernética (QSMO) de CISA ha asumido posteriormente.

    “Hemos trabajado arduamente para alinear estrechamente estas líneas de base con los principios y principios de confianza cero”, dijo Connelly. “Y pueden ser un recurso clave a medida que las agencias mapean estas líneas de base con la aplicación, el pilar de carga de trabajo del modelo de madurez Zero Trust de CISA”.

    Las agencias federales y otras organizaciones que usan servicios en la nube tienen hasta el 24 de noviembre de 2022 para comentar sobre las líneas de base.

  SCuBA ayudará a los proveedores a adaptar sus capacidades y desarrollar productos que se ajusten mejor a su propósito, dijo Alice Fakir, socia de cuentas para los servicios de seguridad federal de IBM, durante CyberTalks presentados por CyberScoop el jueves.

  El aumento de las asociaciones con proveedores ayudará a construir la arquitectura de referencia técnicas en múltiples versiones.

    "Si hay algo que me gustaría agregar y ver más es más compromiso y colaboración con el gobierno, CISA específicamente, y poder desarrollar pruebas de concepto adicionales en torno a estas cosas", dijo Fakir.

Fuente: fedscoop.com

CISA BUSCA COMENTARIOS SOBRE LAS LÍNEAS BASE DE CONFIGURACIÓN DE SEGURIDAD DE MICROSOFT 365

    El 20 de octubre, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó nuevas recomendaciones de referencia de configuración de seguridad para los servicios en la nube de Microsoft 365.

    La agencia dijo que la publicación de las recomendaciones de referencia inicia una serie de esfuerzos piloto para promover las prácticas de seguridad en la nube en las agencias del poder ejecutivo civil federal. El esfuerzo tiene como objetivo mejorar los "entornos de aplicaciones comerciales en la nube a través de configuraciones, configuraciones y productos de seguridad adicionales", dijo CISA.

   La agencia busca comentarios sobre las recomendaciones hasta el 24 de noviembre en QSMO@CISA.dhs.gov.

    Estas nuevas recomendaciones de referencia se derivan del proyecto Secure Cloud Business Application (SCuBA) de CISA, que busca proteger los datos confidenciales y ayudar a las agencias federales a mejorar la seguridad en sus entornos de nube. CISA anunció el esfuerzo de SCuBA en abril.

    La base para el desarrollo de las recomendaciones de referencia fue formulada por un grupo de expertos en seguridad cibernética del Equipo Tigre de Innovación Cibernética del Consejo Federal de Directores de Información.

  CISA dijo que recomendará arquitecturas de ciberseguridad para Google Workspace en un futuro próximo.

Fuente: meritalk.com

GENERADOR DE CONTRASEÑAS SEGURAS

      

     Generar una contraseña fuerte y segura es fundamental para proteger sus cuentas bancarias u otras cuentas en línea, y para usar con software como AES Crypt .

   La pregunta que mucha gente hace es: "¿Qué es una contraseña segura?" Descubrirá que algunos sitios web exigirán el uso de caracteres especiales, incluidos !, %, $, etc. Dichos requisitos en realidad no contribuyen significativamente a la solidez de una contraseña, como verá a continuación. El secreto de una buena contraseña es la aleatoriedad y la longitud.

    Muchos de los detalles que se encuentran en la página a continuación pueden no ser de interés para la mayoría de las personas, por lo que puede omitirlos. Quizás lo que la mayoría de la gente podría querer es una de estas dos aplicaciones:

• Generador de contraseñas seguras en línea.

• Software generador de contraseñas seguras (secuencia de comandos Perl, código fuente C para Linux y Windows, y ejecutable de Windows).

   Siempre es una buena idea usar diferentes contraseñas para diferentes sitios web y diferentes aplicaciones. Una herramienta como Single Pass permite crear contraseñas muy crípticas utilizando una única contraseña maestra. Tenga en cuenta que, para mayor seguridad, es posible utilizar una contraseña aleatoria tanto para la "Contraseña de paso único" como para el "Nombre del servicio". Sin conocer ambos valores, sería imposible generar la "Contraseña de Servicio".

Crear una contraseña segura

    De forma predeterminada, el Generador de contraseñas seguras de Packetizer genera contraseñas usando solo letras, números y dígitos. Además, recomendamos el uso de esos caracteres para que sea más fácil de usar para los humanos. Después de todo, para eso están las contraseñas: para los humanos. Es justo preguntar si tales contraseñas son lo suficientemente seguras para varias aplicaciones. La respuesta es "sí", ya que la longitud y la aleatoriedad de la contraseña determinan su fuerza. vamos a explicar

Nota: el software generador de contraseñas al que se hace referencia anteriormente generará contraseñas utilizando caracteres especiales si se solicita; simplemente no lo hacemos por defecto y no lo recomendamos.

     La razón por la que no recomendamos el uso de caracteres especiales es que los caracteres especiales como '&' aumentan muy poco la seguridad de la contraseña, pero hacen que sea más difícil de usar para los humanos. Lo importante es el número de bits de fuerza. La contraseña anterior utiliza 62 valores posibles diferentes, incluidos números, letras mayúsculas y minúsculas. Esto significa que cada carácter proporciona alrededor de 5,95 bits de fuerza (log2(62)). Doce de estos caracteres producirán 71,45 bits de fuerza. Eso significa que hay alrededor de 2^71,45 (o 3,23x10^21) valores posibles que un pirata informático debe inspeccionar para descifrar la contraseña.

     Si prefiere una contraseña un poco más segura, puede generar una a partir de un conjunto de 93 caracteres diferentes que usan caracteres especiales (p. ej., $, !, %) además de letras y números. El uso de 93 caracteres diferentes proporciona alrededor de 6,54 bits de fuerza por carácter (log2(93)). Entonces, 12 caracteres proporcionan 78,47 bits de fuerza. Eso significa que hay alrededor de 2^78,47 (o 4,18 x 10^23) valores posibles.

     ¿Cuál es el beneficio?

     Con caracteres especiales, hay una fuerza total de 78,47 bits, frente a 71,45 bits con la contraseña más amigable. Eso es solo 7 bits. Si desea tener la fuerza adicional, use una contraseña de 14 caracteres. Una contraseña de 14 caracteres compuesta únicamente por letras y números proporcionaría 83,35 bits de seguridad. Con 16 caracteres compuestos por letras y números, obtenemos un total de 95,27 bits de fuerza, lo que proporciona 2^95,27 o (4,77 x 10^28) valores posibles.

   Otro punto importante es que nunca debemos preocuparnos de que una contraseña sea más fácil para los humanos. A las computadoras no les importa cuán fácil es una contraseña para los humanos. Una computadora simplemente trabajará a través de las combinaciones de caracteres, sin importar cuáles puedan ser esos caracteres. Lo importante, como hemos dicho antes, es la longitud y la aleatoriedad de la contraseña. A estas alturas, debería quedar claro que cuando nos referimos a la longitud, nos referimos a la longitud en bits de la contraseña.  

   Para aplicaciones como AES Crypt , la seguridad de la contraseña es más importante que para el sitio web típico. Dicho software producirá archivos que podrían ser atacados fuera de línea durante un período de años con muchas computadoras en paralelo. AES Crypt usa una clave de cifrado de 256 bits, pero usa una contraseña para proteger esa clave. Idealmente, esto significa que las contraseñas también deben tener al menos 256 bits de longitud. Solo por si acaso, recomendamos usar contraseñas que brinden 384 bits de protección. Para lograr eso, se necesitarían al menos 43 caracteres en la contraseña, lo que arrojaría 43*log2(62) ~= 256 bits de fuerza. Si cree que la seguridad de la contraseña debería ser más fuerte, entonces cree una más larga usando las herramientas anteriores (o concatenando dos contraseñas aleatorias más cortas juntas).

Descifrar contraseñas

     A partir de 2011, existen productos comerciales que afirman poder generar 2.800.000.000 contraseñas por segundo (fuente: Wikipedia ). Entonces, con contraseñas de 12 caracteres compuestas de letras y números, a una sola computadora le tomaría 3.23x10^21 contraseñas / 2.8x10^9 contraseñas/segundo / 3.154x10^7 segundos/año = 36,513 años para descifrar.

    En 2012, hubo afirmaciones de que un producto comercial podía descifrar contraseñas a una velocidad de 350 mil millones por segundo. A ese ritmo, un carácter de 12 letras y números podría descifrarse en 3,23x10^21 contraseñas/3,5x10^11 contraseñas/segundo/3,154x10^7 segundos/año = 292,3 años para descifrar.

    Algunos sistemas especialmente diseñados pueden descifrar contraseñas a una velocidad mucho mayor, pero incluso si se procesan a una velocidad de 10x o 100x, llevará mucho tiempo descifrarlas. Además, un atacante no debería tener la oportunidad de atacar un servidor remoto durante tanto tiempo. Por lo tanto, estamos seguros de que una contraseña de 12 caracteres es bastante aceptable para cualquier sitio web.

     Para los casos en los que un atacante pueda tener acceso prolongado a un hash de contraseña para realizar un ataque fuera de línea, recomendamos usar 14 o más caracteres. En comparación, una contraseña de 16 caracteres tardaría 4300 millones de años en descifrarse (2^(log2(62)*16) contraseñas / 3,5x10^11 contraseñas/segundo / 3,154x10^7 segundos/año).

     Se recomienda usar una contraseña aún más larga para cosas como AES Crypt, como se indicó en la sección anterior, ya que los piratas informáticos pueden tener acceso prolongado a sus datos y pueden usar cualquier cantidad de máquinas de craqueo en paralelo.

Por qué contraseñas aleatorias

    Dijimos varias veces que la seguridad de la contraseña es una función de la longitud y la aleatoriedad de las contraseñas. Sin embargo, gran parte del artículo se centró en la longitud. No olvides la importancia de la aleatoriedad.

     Algunos generadores de contraseñas en Internet crean contraseñas largas, pero muy "simples". Por ejemplo, pueden generar contraseñas que son una concatenación de palabras y números en inglés como "Spoon2Gobbler". No recomendamos usar esos. Tales contraseñas facilitan que los atacantes realicen un ataque de "diccionario" en su contraseña. Incluso las "palabras" que no son palabras reales, pero fonéticamente atractivas, generan contraseñas más débiles. Siempre es mejor tener contraseñas compuestas de bits de datos aleatorios que nadie pueda adivinar. Hágalos verdaderamente aleatorios y descifrarlos se vuelve extremadamente difícil.

     Para darte un ejemplo, supongamos que usaste la contraseña "Spoon2Gobbler" anterior. Supongamos que el atacante tenía un diccionario de 100.000 palabras. Por supuesto, estas palabras estarían en ese diccionario. Supongamos que el atacante sabía que la contraseña podría tener cualquiera de las siguientes formas: palabra + dígitos + palabra, palabra + dígitos, dígitos + palabra. Además, el atacante podría suponer que las palabras estaban todas en minúsculas o tenían un carácter inicial en mayúsculas. Suponga también que el número de dígitos puede ser 1 o 2. Para atacar la primera forma (palabra + dígitos + palabra), el atacante probaría (100 000 * 2) * 100 * (100 000 * 2) combinaciones. Son 4 billones de combinaciones impresionantes, pero esa máquina de descifrado de contraseñas de alta gama solo tardaría 23,81 minutos en descifrarse. Es probable que los piratas informáticos también utilicen un diccionario aún más pequeño, porque la mayoría de las personas solo seleccionaría de un diccionario de palabras de uso común que probablemente tengan menos de 5,000 palabras. Si podemos suponer un diccionario de 5000 palabras, el mismo ataque tardaría unos 4 segundos.

     ¿Quieres obligar a una persona a trabajar durante unos pocos millones de años o unos segundos para acceder a tu información confidencial o cuentas bancarias? La longitud y la aleatoriedad son realmente esenciales.

Fuente: packetizer.com

PUEDES REVISAR LA SEGURIDAD DE TU CONTRASEÑA EN LA SIGUIENTE WEB: 

http://www.passwordmeter.com/

LOS DIEZ MEJORES DE OWASP

    El OWASP top 10 es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.

RECONOCIDO MUNDIALMENTE POR LOS DESARROLLADORES COMO EL PRIMER PASO HACIA UNA CODIFICACIÓN MÁS SEGURA.

     Las empresas deben adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos. Usar OWASP Top 10 es quizás el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de su organización a una que produzca código más seguro.

Los 10 principales riesgos de seguridad de las aplicaciones web

     Hay tres categorías nuevas, cuatro categorías con cambios de nombre y alcance, y cierta consolidación en el Top 10 para 2021.

• A01:2021: el control de acceso roto se mueve hacia arriba desde la quinta posición; El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto. Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control de acceso roto tuvieron más ocurrencias en las aplicaciones que cualquier otra categoría.

• A02:2021: las fallas criptográficas suben una posición al n. ° 2, anteriormente conocido como exposición de datos confidenciales, que era un síntoma general en lugar de una causa raíz. El enfoque renovado aquí está en las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.

• A03:2021-La inyección se desliza hacia abajo hasta la tercera posición. El 94 % de las aplicaciones se probaron para detectar algún tipo de inyección, y los 33 CWE asignados a esta categoría tienen la segunda mayor cantidad de casos en las aplicaciones. Cross-site Scripting ahora es parte de esta categoría en esta edición.

• A04:2021: Diseño inseguro es una nueva categoría para 2021, con un enfoque en los riesgos relacionados con fallas de diseño. Si realmente queremos "mover a la izquierda" como industria, se requiere un mayor uso del modelado de amenazas, patrones y principios de diseño seguro y arquitecturas de referencia.

• A05:2021: la configuración incorrecta de seguridad sube del n. ° 6 en la edición anterior; El 90 % de las aplicaciones se probaron para detectar algún tipo de error de configuración. Con más cambios hacia software altamente configurable, no sorprende ver que esta categoría sube. La categoría anterior para entidades externas XML (XXE) ahora forma parte de esta categoría.

• A06:2021-Componentes vulnerables y desactualizados se tituló anteriormente Uso de componentes con vulnerabilidades conocidas y ocupa el segundo lugar en la encuesta de la comunidad Top 10, pero también tenía suficientes datos para llegar al Top 10 a través del análisis de datos. Esta categoría sube del puesto 9 en 2017 y es un problema conocido que nos cuesta probar y evaluar el riesgo. Es la única categoría que no tiene vulnerabilidades y exposiciones comunes (CVE) asignadas a los CWE incluidos, por lo que en sus puntajes se tienen en cuenta un exploit predeterminado y pesos de impacto de 5.0.

• A07:2021: las fallas de identificación y autenticación anteriormente eran autenticación rota y se están deslizando hacia abajo desde la segunda posición, y ahora incluyen CWE que están más relacionadas con fallas de identificación. Esta categoría sigue siendo una parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.

• A08:2021: Fallas de integridad de datos y software es una nueva categoría para 2021, que se enfoca en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la integridad. Uno de los impactos ponderados más altos de los datos de Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) asignados a los 10 CWE en esta categoría. La deserialización insegura de 2017 ahora forma parte de esta categoría más amplia.

• A09:2021: las fallas de registro y monitoreo de seguridad anteriormente eran registro y monitoreo insuficientes y se agregaron de la encuesta de la industria (n. ° 3), subiendo del n. ° 10 anterior. Esta categoría se expande para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense.

• A10: 2021: falsificación de solicitud del lado del servidor se agregó de la encuesta de la comunidad Top 10 (# 1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media para el potencial de Explotación e Impacto. Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustra en los datos en este momento.

Fuente: owasp.org

KEYLOGGERS INSTALADOS EN CADA VEZ MÁS PÁGINAS WEB QUE VISITAS EN EL DÍA A DÍA

 

    Hace años que sabemos que plataformas como Facebook registran absolutamente todo lo que hacemos cuando estamos dentro de ellas.. y también fuera.

    Se llega al punto, de hecho, de que si te pones a escribir una actualización en tu timeline, o un comentario como respuesta a una publicación de un conocido, y luego lo borras antes de darle a publicar, es bastante probable que Facebook ya lo haya almacenado.

    ¿La razón? Esta información, según reconocía la propia compañía, es a veces incluso más interesante para conocer al usuario que la que acaba publicando, por el simple motivo de que en muchas ocasiones, ese contenido que borramos antes de publicar apela a los sentimientos, y viene moderado a posteriori… por la propia auto-moderación a la que todos, de una u otra manera, nos auto-imponemos, por eso de que Internet no es la barra de un bar, y todo lo que digamos o hagamos queda ahí para siempre.

    El tema es que esto, en una plataforma como Facebook es casi hasta esperable. Meta lleva años demostrando tener un nulo interés por la protección de datos de sus usuarios, haciendo lo justo y necesario para cumplir la regulación pertinente… normalmente cuando ya le han puesto una multa.

    Lo que sí que no esperábamos es que este tipo de técnicas tan sumamente cuestionables son bastante más comunes de lo que a priori cabría pensar. Y no hablo solo de redes sociales, sino de páginas de reserva de hoteles, viajes, servicios de crowdsourcing…

    Ahora, tras la investigación (EN) realizada por varios investigadores de la Universidad de Lovaina, la Universidad de Radbound y la Universidad de Lausana, sabemos que de los 100.000 sitios webs más visitados en occidente, 1.844 recopilaban la dirección de correo electrónico de un usuario de la UE sin que este proactivamente la enviase o diera su consentimiento, y hasta 2.950 registraban el correo electrónico de alguna forma.

    Hay que matizar, eso sí, que muchas de estas páginas no lo hacían con herramientas propias, sino que este scrapping masivo se debía al uso de APIs y servicios de terceros, como algunas herramientas de tracking enfocadas a análisis de marketing, como es el caso de Meta Pixel (el pixel de rastreo de Facebook, para que nos entendamos) y TikTok Pixel.

    Ambos sistemas de rastreo, presentes en hasta 8.438 y 154 sitios de los analizados respectivamente, llegan a obtener sin consentimiento explícito del usuario su correo electrónico, almacenándolo bajo un hash que lo pseudo-anonimiza.

    Es algo sobre lo que un servidor lleva alertando literalmente años en esa serie de artículos que publiqué en mi página sobre los tentáculos de Facebook.

    Hay casos sorprendentes, como el del gigante tecnológico ruso Yandex (el navegador más utilizado en el país), que ya no solo rastrea y recopila el correo del usuario, sino que incluso estaba recopilando las contraseñas asociadas al perfil ANTES de que el usuario la metiera para identificarse.

Seguro que se trata de un error no premeditado, ya sabes…

    En total, casos tan extremos como este los han encontrado en 52 páginas, y tras avisar al equipo encargado de administrar cada web en mayo del año pasado, a priori, este tipo de abusos ya se han resuelto.

Formularios con fugas

    Lo que es verdaderamente preocupante es que situaciones como estas se repitan en varios millares de las páginas más visitadas en EEUU y Europa, a sabiendas de que ambas zonas tienen una política muy clara (y cada vez más restrictiva, afortunadamente) de lo que se puede hacer, y lo que no, sin consentimiento explícito del usuario.

    Cuando una página cuenta con un formulario, lo esperable es que hasta que no le des a enviar, dicha información no se almacene en sus servidores. Sin embargo, a las pruebas expuestas, queda claro que una cosa es lo que diga el sentido común (y la legalidad), y otra la realidad:

En algunos casos, cuando haces clic en el siguiente campo, recogen el anterior, como cuando haces clic en el campo de la contraseña y recogen el correo electrónico, o simplemente haces clic en cualquier sitio y recogen toda la información inmediatamente

    Este funcionamiento recuerda mucho a los keyloggers, herramientas normalmente utilizadas en la industria del cibercrimen para robar datos confidenciales de las víctimas.

    La única diferencia es que su uso en este caso suele tener fines de negocio… y viene dado por empresas y organizaciones totalmente legítimas.

FUENTE: cyberbrainers.com

¿QUÉ ES MFA RESISTENTE AL PHISHING?

   

    Lo más probable es que haya estado leyendo acerca de un término relativamente nuevo llamado MFA resistente al phishing . De hecho, estamos viendo requisitos gubernamentales recientes para la implementación de MFA resistente al phishing. ¿Qué es exactamente, cuáles son los beneficios y qué significa para usted y su organización? Este concepto puede resultar un poco desalentador al principio, por lo que comenzaremos por el principio, con la autenticación.

    La autenticación es el proceso de confirmar la identidad de alguien. En otras palabras, ¿eres realmente la persona que dices ser? Cada vez que ingresa a un sitio web con su nombre de usuario y contraseña, se está autenticando. La autenticación a menudo se combina con la autorización. Una vez que esté autenticado (por ejemplo, su identidad ha sido confirmada), la autenticación determina lo que puede y no puede hacer. De lo que estamos hablando hoy es solo de la pieza de autenticación.

    Tradicionalmente, la autenticación ha sido una combinación de nombre de usuario y contraseña. Su nombre de usuario indica quién es usted, el conocimiento de su contraseña confirma su identidad. El problema con las contraseñas es que son dolorosas y confusas para que las personas las usen y relativamente fáciles de comprometer para los atacantes cibernéticos. Hay varias formas en que una contraseña puede verse comprometida, por ejemplo, sitios web de phishing de contraseñas que recopilan sus contraseñas, malware de registro de pulsaciones de teclas que registra sus contraseñas, personas que usan contraseñas débiles y fáciles de adivinar, personas que reutilizan la misma contraseña en varias cuentas y sitios web comprometidos. Las contraseñas han demostrado ser una forma débil de autenticación. Si bien pueden haber sido "suficientemente buenos" hace diez o veinte años, ya no son lo suficientemente buenos para hoy.

    Como resultado, se desarrolló una forma mucho más fuerte de autenticación, algo llamado autenticación de dos factores. Dos factores es más fuerte ya que su nombre implica que se requieren dos factores, generalmente algo que sabe (su contraseña) y algo que tiene (su dispositivo móvil) o algo que es (biometría). De esta manera, si su contraseña se vio comprometida, su identidad aún estaba segura ya que un atacante cibernético no tenía acceso al segundo método (como su dispositivo móvil). Este concepto es similar a su tarjeta de cajero automático cuando retira dinero. Para retirar dinero con éxito, necesita tanto su tarjeta de cajero automático como el PIN (es por eso que nunca desea escribir su PIN en su tarjeta de cajero automático).

Este método en capas es un enfoque mucho más sólido y está siendo adoptado por muchas organizaciones y sitios web. De hecho, la autenticación de dos factores se está convirtiendo rápidamente en un estándar, ya que es muy eficaz para detener los ataques basados ​​en la autenticación. Pero hay varios problemas.

    En primer lugar, hay que ponerse de acuerdo sobre cómo queremos llamar a esto. Originalmente, el término más común era autenticación de dos factores, ya que estaban involucrados dos factores. Pero a menudo se usan otros nombres para incluir la verificación en dos pasos, la autenticación fuerte y la contraseña de un solo uso (OTP). Sin embargo, la mayor parte de la industria parece estar estandarizando el término autenticación multifactor (MFA). Muy a menudo, las personas se confunden pensando que hay diferencias en estos (y puede haberlas), pero en general estos términos se refieren a lo mismo. Usaremos el término MFA en el futuro.

    Desafortunadamente, no solo usamos diferentes nombres para la solución, sino que también se implementan de muchas maneras diferentes. Tres de las formas más comunes en SANS en las que vemos que se implementa MFA son las siguientes. Primero ingresa a su cuenta con su nombre de usuario y contraseña, luego. . .

1. Se envía un código único a su dispositivo móvil.
2. Se genera un código único en una aplicación móvil en su dispositivo móvil.
3. Se envía un código único o una solicitud a su dispositivo móvil

    Hay otras variaciones de MFA, pero casi todas comparten una debilidad, se requiere interacción humana. Tienes que hacer algo con el código. Y cuando se requiere interacción humana, las personas pueden ser objeto de suplantación de identidad. En otras palabras, un atacante cibernético puede insertarse en el proceso de autenticación. Después de que una víctima inicia sesión en un sitio web, y después de que una víctima obtiene su código MFA único, ese código puede ser extraído de la víctima y utilizado por el atacante cibernético para obtener acceso al sitio web. En otras palabras, estos enfoques de MFA son "phishing".

    Ahora, antes de que entremos en pánico, cualquiera de estos métodos MFA es exponencialmente mejor que solo las contraseñas. ¿Deberíamos dejar de usar MFA porque son 'phishing'? Absolutamente no, hay un gran valor para ellos. Pero los atacantes cibernéticos solo mejorarán en la explotación del lado humano de esto. Entonces, ¿qué sigue?

    MFA resistente al phishing. La MFA resistente al phishing no es más que el mismo proceso de autenticación que acabamos de describir, pero las personas se eliminan de la ecuación. Hay varias formas diferentes de implementar esto, pero lo guiaré a través del enfoque más común, algo llamado FIDO.

FIDO es un estándar creado hace años por FIDO Alliance , un equipo sin fines de lucro de múltiples organizaciones de todo el mundo. Este es un estándar neutral del proveedor que está siendo adoptado por la mayoría de los grandes jugadores, para incluir a Google, Amazon, Microsoft y Apple. Si escucha a la gente hablar sobre "WebAuthn", esa es la tecnología que admite y ayuda a implementar el estándar FIDO. FIDO y WebAuthn en un nivel alto hacen referencia a la misma solución (menciono esto porque siempre me confundió). Entonces, ¿cómo funciona esto?

Cuando crea una cuenta en línea (o actualiza una cuenta existente para usar FIDO), registra su dispositivo en el sitio web. Este dispositivo puede ser un token especial (como una YubiKey ) o puede usar su dispositivo móvil (como su teléfono inteligente) como token. Cuando registra su dispositivo, su dispositivo y el sitio web crean un par de claves criptográficas único para su cuenta (conocido como cifrado asimétrico o criptografía de clave pública). No necesita conocer los detalles técnicos, pero lo que sucede se basa en este par de claves, ese sitio web ahora 'sabe' y confía en su dispositivo. En el futuro, para iniciar sesión en el sitio web, simplemente inicie sesión con su dispositivo, a menudo no se requiere contraseña.

    Desde la perspectiva del usuario (que variará de un sitio web a otro y de un dispositivo a otro), todo lo que sucede es que cuando visita un sitio web para el que ha creado una cuenta, le pedirá que se verifique con el dispositivo. Las formas en que puede hacer esto incluyen conectar su dispositivo al puerto USB de su computadora o usar tecnologías inalámbricas como NFC (comunicaciones de campo cercano). Para asegurarse de que realmente es usted con su dispositivo (en lugar de que alguien robe su dispositivo e intente iniciar sesión como usted), se le pedirá que demuestre que realmente es usted con datos biométricos (huella digital, escaneo facial, etc.). Desde la perspectiva del usuario, todo el proceso de autenticación no es más que datos biométricos.

    Lo que hace que esto sea tan efectivo es que no hay un código único para phishing o engañar a las personas. Casi todo sucede entre su dispositivo y el sitio web. La única interacción humana es la biométrica, algo que la gente ya hace todos los días. Por lo tanto, tenemos una solución que no solo es mucho más segura ya que es mucho más resistente a los ataques de phishing, sino que también es mucho más fácil de usar para las personas. ¿Esta tecnología elimina todo riesgo? No. A medida que esto se implemente ampliamente, se desarrollarán nuevos ataques, pero será MUCHO más difícil para el atacante cibernético.

    Passkey es el nombre que los miembros de FIDO Alliance le han dado a esta nueva forma de autenticación, para incluir a Apple, Google y Microsoft. De hecho, Apple lanzó claves de acceso como parte de iOS16 y MacOS Ventura , espere que otras grandes empresas anuncien estas características pronto (si es que aún no lo han hecho). Esperemos que esto le dé una idea de lo que es MFA 'resistente al phishing'. Si todavía está un poco confundido acerca de cómo funcionará todo esto, no se sienta mal. Yo también.

PD: Como nota al margen, una cosa clave que me gustaría aclarar. FIDO es extremadamente resistente a los ataques de phishing, pero adoptar FIDO no significa que su organización esté segura contra el phishing. Una gran cantidad de ataques de phishing no tienen nada que ver con las contraseñas (archivos adjuntos de correo electrónico infectados, BEC, ataques de llamada a este número de teléfono, etc.). Menciono esto porque veo organizaciones que insinúan "Estamos adoptando FIDO MFA, lo que significa que no podemos ser objeto de suplantación de identidad". Algunos de los correos electrónicos de phishing más efectivos que existen tienen solo una o dos oraciones y un número de teléfono para que la víctima llame. Así que recuerde, 'MFA resistente a phishing' o estándares como FIDO son mecanismos de autenticación increíblemente fuertes que son altamente resistentes a los ataques de phishing, pero hay una ENORME cantidad de ataques de phishing que no tienen absolutamente nada que ver con la autenticación.

Fuente: www.sans.org