Autenticación multifactor: para pymes

Autenticación multifactor

La triste realidad es que las organizaciones que no utilizan la autenticación multifactor (MFA) están expuestas a ataques cuando sus empleados comparten contraseñas o caen en estafas de phishing.

Entonces, ¿cómo puede explicar la renuencia a adoptarautenticación multifactor?

Las credenciales de inicio de sesión comprometidas son una de las mayores amenazas de seguridad para las empresas en la actualidad.

La razón es que el atacante está usando credenciales válidas, aunque sean robadas.

Teniendo esto en cuenta,

¿por qué alguna de sus herramientas de seguridad detectaría algo sospechoso?

La investigación de IS Decisions sobre las prioridades de seguridad de acceso de 500 gerentes de seguridad de TI en los EE. UU. Y el Reino Unido

A pesar de esta conocida amenaza, muchas organizaciones siguen haciendo las cosas de forma incorrecta con respecto a la seguridad de la contraseña.

Hace unos años, encuestamos a 500 administradores de seguridad de TI en los EE. UU. Y el Reino Unido , los resultados mostraron que solo el 38% de las organizaciones usan MFA. Lamentablemente, las investigaciones más recientes muestran que las cosas no han cambiado tanto.

Cuatro conceptos erróneos sobre la autenticación multifactor

Concepto erróneo 1: MFA es para grandes empresas, no para pymes

Este es un concepto erróneo por la sencilla razón de que cualquier empresa puede beneficiarse de MFA, independientemente de su tamaño. Ya sea que su organización sea una PYME o una gran empresa, los datos que intenta proteger son igualmente confidenciales. Por eso, el uso de MFA debería formar parte de la estrategia de seguridad de todas las empresas. Además, MFA no es necesariamente complejo, costoso o frustrante.

Concepto erróneo 2: MFA debe usarse para proteger solo a los usuarios privilegiados

El segundo concepto erróneo entre las organizaciones es que creen que no necesitan MFA porque no tienen usuarios privilegiados.

Consideran que MFA es demasiado para los usuarios sin acceso a datos valiosos.

Bueno, debe comprender que esos usuarios “no privilegiados” tienen acceso a suficiente información para dañar a su empresa.

Permítanme ilustrar esto con un ejemplo:

Una enfermera que vende los datos de un paciente famoso a un periódico.

El valor de los datos es bastante claro aquí, así como el posible daño que se puede hacer si se usa de manera inapropiada.

Además, la gran mayoría de los atacantes no comienzan con una cuenta privilegiada, generalmente aprovechan cualquier cuenta que caerá en estafas de phishing para luego moverse lateralmente dentro de la red.

Concepto erróneo 3: MFA no es perfecto

Bien, eso es cierto. Pero la cuestión es que ninguna solución de seguridad es perfecta. Sin embargo, MFA está cerca.

El mes pasado, el FBI emitió una advertencia con respecto a los ataques en los que los atacantes pudieron eludir el MFA.

Hubo dos vulnerabilidades principales del autenticador que fueron ‘Channel Jacking‘, que implicaban hacerse cargo del canal de comunicación que se utiliza para el autenticador ⁠ y  ‘Real-Time Phishing‘, ⁠utilizando una máquina en el medio que intercepta y reproduce los mensajes de autenticación. Los expertos dicen que este tipo de ataque requiere altos costos y esfuerzo.

La mayoría de los piratas informáticos que se encuentran con MFA pasarán a su siguiente objetivo en lugar de intentar eludir esta medida.

Las organizaciones también pueden tomar precauciones simples para evitar ciertas vulnerabilidades, como elegir autenticadores MFA que no dependan de la autenticación por SMS.

(El Instituto Nacional de Estándares y Tecnología (NIST) desalienta los SMS y la voz en sus últimas Pautas de identidad digital).

El FBI todavía cree que MFA es muy eficaz y que es un paso simple para mejorar la seguridad.

Concepto erróneo 4:

MFA interrumpe la productividad de los usuarios

Esto no tiene por qué ser cierto

En realidad, este es un desafío cada vez que desee implementar una nueva tecnología.

Siempre debe pensar en cómo molestar menos a sus empleados.

Si la solución es demasiado disruptiva, se adoptará muy lentamente o no se adoptará en absoluto.

Es por eso que la flexibilidad es clave cuando se usa MFA.

La mejor manera de evitar interrumpir a sus usuarios es personalizar MFA según sus propias necesidades.

 

Por Marcelo Lozano – General Publisher IT Connect Latam