Mantenerse a la vanguardia de las ciberamenazas es un reto constante para la mayoría de las organizaciones, y por eso los organismos gubernamentales actualizan continuamente sus directrices y requisitos.
La Dirección Australiana de Señales (ASD) ha actualizado recientemente el Esencial Ocho-que representan "las ocho estrategias de mitigación más eficaces" para que las organizaciones se defiendan contra los ciberataques más frecuentes y de mayor impacto-, con nuevas e importantes directrices sobre el factor múltiple (MFA) para ayudar en la batalla en curso contra los actores de amenazas.
Aunque muchas organizaciones gubernamentales están obligadas a ajustarse a los ocho principios fundamentales, las actualizaciones no deben considerarse un ejercicio de cumplimiento de las normas por parte de las administraciones públicas. Por el contrario, las actualizaciones representan una oportunidad para todas las organizaciones reforzar su marco de ciberseguridad mediante la adopción de estas directrices.
Uno de los cambios clave de los Ocho Esenciales es el nuevo requisito de que las organizaciones introduzcan el uso de una AMF resistente al phishing, como los dispositivos FIDO2. Se trata de un cambio fundamental y representa una elevación significativa de los mecanismos de defensa de las organizaciones frente a la amenaza de ciberseguridad más prevalente: los ataques de suplantación de identidad, que fueron la causa más frecuente de una brecha y la segunda más perjudicial para los resultados de una organización. Informe de IBM sobre el coste de la filtración de datos en 2024 descubrió que las infracciones provocadas por phishing cuestan una media de 4,88 millones de dólares.
Dada la frecuencia y el impacto de los ataques de phishing, RSA apoya firmemente al Centro Australiano de Ciberseguridad (ACSC) y a la ASD por hacer de este un requisito para cualquier implementación de AMF para alcanzar una postura de "Nivel de Madurez 2" y con el objetivo final de reducir el riesgo para las organizaciones.
FIDO2 es una tecnología diseñada para revolucionar la autenticación en línea. Se trata de un sistema en dos partes que hace que el inicio de sesión en sitios web sea más seguro y cómodo. Con FIDO2, puedes utilizar datos biométricos (como tu huella dactilar), una clave de seguridad o tu teléfono para iniciar sesión, en lugar de las contraseñas tradicionales. Este método es mucho más seguro, ya que es mucho más difícil para los atacantes piratear o suplantar las credenciales de los usuarios que utilizan FIDO2.
FIDO2 consiste en un protocolo especial que permite a los dispositivos de hardware comunicarse de forma segura con los servicios en línea, y una API web que integra esta tecnología directamente en navegadores web como Chrome o Safari, facilitando el uso de todo el proceso. Es una forma más inteligente de proteger las identidades y los datos en línea.
FIDO2 también permite a las organizaciones eliminar gradualmente las contraseñas en toda su infraestructura. Desde hace tiempo, la mayoría de las organizaciones se han propuesto eliminar las contraseñas. Sin embargo, a pesar de las evidentes ventajas de FIDO2 para la seguridad y la facilidad de uso, su adopción en Australia ha sido, por desgracia, muy escasa. Esto se debe en gran parte a que la infraestructura y los sistemas heredados no pueden aprovechar los protocolos de FIDO2, lo que supone un importante obstáculo técnico y financiero para una adopción más generalizada. Estos sistemas antiguos siguen dependiendo en gran medida de métodos de AMF más antiguos, como la contraseña de un solo uso (OTP).
Para sacar el máximo partido de sus inversiones anteriores, cumplir las nuevas directrices de los Ocho Esenciales y mejorar su postura general de ciberseguridad, las organizaciones deberían examinar tecnologías que puedan proporcionar simultáneamente FIDO2 y OTP en la misma solución, de la forma más discreta posible.
RSA ofrece a las organizaciones opciones rentables y altamente seguras que superan estos requisitos. El sitio RSA Authenticato La propia aplicación está certificada por FIDO en Android e iOS. En segundo lugar, la Autenticador de hardware RSA DS100 es a la vez un dispositivo de hardware con certificación FIDO y proporciona OTP en un panel de visualización. Por último, el Clave RSA iShield serie 2, con tecnología Swissbit, ofrece un dispositivo con certificación FIDO compatible con FIDO2 y TOTP y cuenta con la certificación FIPS 140-3.
Las directrices de los Ocho Esenciales han excluido la biometría (por ejemplo, una huella dactilar en el teléfono) como método de autenticación válido en cualquiera de los niveles de madurez. Se debe revisar cualquier requisito de utilizar este tipo de tecnología para el acceso privilegiado y nunca se debe utilizar la biometría como único medio para conceder acceso.
Además, el reconocimiento de voz es otro enfoque para conceder acceso en el que se reta al usuario a utilizar su propia voz para acceder a algo. Las técnicas actuales de IA generativa permiten a los actores de amenazas clonar cualquier voz con un pequeño conjunto de muestras, y los resultados son muy convincentes: el Índice de seguridad móvil Verizon 2023 El libro blanco informa de que "siete palabras pueden bastar como muestra para crear una suplantación creíble de la voz de un individuo".
A la luz de este desarrollo, puede ser justo decir que el reconocimiento de voz es, en efecto, una tecnología muerta para la autenticación. Las actualizaciones biométricas de Essential Eight subrayan por qué las organizaciones deben tener cuidado con los rápidos avances en el mundo de la tecnología de IA generativa y su relación con la identidad y la seguridad. Manténgase alerta.
Adoptar estos cambios requiere una planificación y ejecución estratégicas. Un primer paso es garantizar la alineación con las asignaciones presupuestarias y de recursos. La integración de una AMF más sofisticada puede exigir importantes recursos iniciales, pero representa una inversión a largo plazo en la seguridad digital general de la organización. Cuando algo es gratis, siempre obtienes aquello por lo que has pagado.
El compromiso de los empleados también es fundamental. La eficacia de las nuevas medidas de seguridad depende en gran medida de que los usuarios las comprendan y las acepten. Impartir formación y fomentar continuamente una cultura de concienciación sobre la ciberseguridad facilitará una transición fluida a los nuevos métodos de autenticación.
Hemos visto cómo las organizaciones conseguían una aceptación más rápida por parte de los empleados haciéndoles partícipes de la transición y dotándoles de nuevos recursos en lugar de imponerles el cambio. Ofrecer a los usuarios un autoservicio que les permita elegir entre una variedad de métodos de AMF equivalentes puede contribuir a ello.
Además, e igualmente importante, es vital equilibrar la ciberseguridad con la eficiencia operativa. La implantación de medidas de AMF no debe obstaculizar la experiencia del usuario ni las operaciones empresariales. Alcanzar el equilibrio adecuado entre protocolos de seguridad estrictos y experiencia del usuario puede ser complicado, pero es clave para el éxito de la adopción. Además, tenga en cuenta los sistemas heredados: seleccione un proveedor que pueda proteger los recursos antiguos y, al mismo tiempo, proteger los más avanzados.
Las directrices actualizadas de Essential Eight subrayan la importancia de la gestión de riesgos. La implantación de una solución sólida de AMF reduce la probabilidad de accesos no autorizados y, por tanto, las posibles violaciones de datos. Por extensión, estas medidas reducen en gran medida el riesgo global para la infraestructura digital.
Por eso instamos a todas las organizaciones a que aborden las directrices revisadas de los ocho aspectos esenciales de la AMF como mucho más que un requisito de cumplimiento para las organizaciones gubernamentales y sus afiliados, y a que las vean como lo que son: una vía estratégica para fortalecer cualquier organización contra las ciberamenazas.
