Por Adrián Ali (*)
El fácil acceso a las credenciales brinda a los cibercriminales una gran ventaja. Y la capacitación del usuario por sí sola no puede restablecer el equilibrio: se necesita educación del usuario y un enfoque sólido para la administración de credenciales con capas de protección para garantizar que las credenciales no caigan en las manos equivocadas.
El problema con las contraseñas
Casi la mitad de todas las infracciones reportadas involucran credenciales robadas. Una vez obtenidas, permiten a los hackers hacerse pasar por usuarios legítimos para desplegar malware o ransomware, o bien moverse lateralmente a través de las redes corporativas. Los atacantes también pueden fácilmente extorsionar, robar datos, recopilar inteligencia, y comprometer el correo electrónico comercial (BEC) con repercusiones financieras y de reputación potencialmente masivas. Las consecuencias por credenciales robadas o comprometidas tuvieron un costo promedio de US$ 4.35 millones en 2022 y tardan más en identificarse y contenerse (327 días).
Tal vez no sea sorprendente escuchar que el dark web está inundado de credenciales robadas; de hecho, había 24 mil millones en circulación en 2022. Un factor aquí es la mala gestión de contraseñas. Si no se pueden adivinar o descifrar, los inicios de sesión pueden ser la ventana para phishing individual de los usuarios o ser robados. La práctica común de la reutilización de contraseñas significa que estos acarreos de credenciales se pueden alimentar en un software automatizado para desbloquear cuentas adicionales en la web, en los llamados ataques de relleno de credenciales. Una vez en manos de los hackers, se ponen rápidamente a trabajar. Según un estudio, los ciberdelincuentes accedieron a casi una cuarta parte (23%) de las cuentas inmediatamente después del ataque, muy probablemente a través de herramientas automatizadas diseñadas para validar rápidamente la legitimidad de la credencial robada.
La educación del usuario no es una panacea
El phishing es una amenaza particularmente grave para las empresas y está creciendo en sofisticación. A diferencia del spam lleno de errores de antaño, algunos esfuerzos parecen tan auténticos que incluso un profesional experimentado tendría problemas para detectarlos. Los logotipos corporativos y la tipografía se replican fielmente. Los dominios pueden utilizar typo-squatting para parecer a primera vista idénticos a los legítimos. Incluso podrían usar nombres de dominio internacionalizados (IDN) para imitar dominios legítimos sustituyendo letras del alfabeto romano con similares de alfabetos no latinos. Esto permite a los estafadores registrar dominios de phishing que parecen idénticos al original.
Lo mismo es cierto para las páginas de phishing a las que los ciberdelincuentes dirigen a los empleados. Estas páginas están diseñadas para parecer convincentes. Las URL de las páginas web a menudo emplearán las mismas tácticas utilizadas anteriormente, como sustituir letras. También tienen como objetivo replicar logotipos y fuentes. Algunas páginas de inicio de sesión incluso muestran barras de URL falsas que muestran la dirección real del sitio web para engañar a los usuarios. Es por eso por lo que no puede esperar que los empleados sepan qué sitios son reales y cuáles están tratando de engañarlos para que envíen credenciales corporativas.
Esto significa que los programas de sensibilización del usuario deben actualizarse, tanto para tener en cuenta los riesgos específicos de trabajo híbrido como para tener en cuenta las tácticas de phishing en constante cambio.
Para las páginas de phishing en particular, se debe alentar a los usuarios a no hacer clic en enlaces a páginas de fuentes que no conocen. En su lugar, deben ir directamente a sitios web de confianza e iniciar sesión directamente. También se debe enseñar a los empleados a inspeccionar siempre la barra de URL para verificar que estén en el sitio en el que creen que deberían estar. Otra habilidad clave será mostrar a los empleados cómo inspeccionar los enlaces URL e interpretarlos, lo que les permitirá distinguir potencialmente entre una página de inicio de sesión legítima y algo que se hace pasar por el verdadero negocio. Esto no funcionará en todos los casos, pero podría ayudar en la mayoría.
Hacia la protección en tiempo real
No hay una bala de plata y la educación del usuario por sí sola no es confiable para detener el robo de credenciales. Los cibercriminales solo necesitan tener suerte una vez. Y hay muchos canales para llegar a sus víctimas: correo electrónico, texto, redes sociales, y aplicaciones de mensajería instantánea. Es imposible esperar que cada usuario detecte e informe estos intentos.
Las organizaciones deben adoptar un enfoque por capas para la administración de credenciales. El objetivo es reducir el número de sitios en los que los usuarios tienen que poner contraseñas. Deben esforzarse por implementar el inicio de sesión único (SSO) para todas las aplicaciones de trabajo y sitios web necesarios de buena reputación. Si hay inicios de sesión que requieren diferentes credenciales, entonces un administrador de contraseñas sería útil mientras tanto. Esto también proporciona una forma para que los empleados sepan si se puede confiar en una página de inicio de sesión en la que se encuentran o no, ya que el administrador de contraseñas no ofrecerá credenciales para un sitio que no reconoce. Las organizaciones también deben habilitar la autenticación multifactor para proteger los inicios de sesión. FIDO2 también está ganando adopción y proporcionará una solución más robusta que las aplicaciones de autenticación tradicionales, que siguen siendo mejores que los códigos enviados a través de mensajes de texto.
Combinado con un enfoque holístico de la seguridad de la empresa, aunado con un enfoque en capas para la administración de credenciales puede ayudar a reducir la superficie de ataque y mitigar el riesgo de toda una clase de amenazas.
(*) director general, HP Inc. Latinoamérica