El 15 de marzo de 2022, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) publicó un alerta en el que se detalla un ciberataque ruso contra una organización no gubernamental (ONG).
El actor ruso utilizó un ataque de fuerza bruta para adivinar la contraseña y comprometer una cuenta de usuario inactiva de la ONG. A continuación, pudo registrar un nuevo dispositivo con la cuenta de usuario de la ONG. autenticación multifactor (MFA), utilizando la cuenta comprometida. Aprovechando la configuración "fail open", el agresor pudo desactivar la MFA desconectando su dispositivo de Internet.
En última instancia, la amenaza encadenó contraseñas débiles, una cuenta de usuario inactiva, una configuración predeterminada que privilegiaba la comodidad sobre la seguridad y una vulnerabilidad anterior de Windows. Esto les permitió "acceder a la nube y a cuentas de correo electrónico para filtrar documentos", según CISA.
Esta entrada de blog no pretende criticar a otro proveedor. Llevo con RSA casi 20 años. En ese tiempo, he experimentado de primera mano los altibajos de la ciberseguridad. Así que permítanme decirles: la schadenfreude no ayuda a nadie.
Lo que yo se do es detallar algunos de los consejos que RSA ha dado a sus clientes a raíz de la reciente alerta de CISA. También explicaré cómo estos consejos se aplican a todas las soluciones AMF.
Alerta de spoiler menor: todas y cada una de las funciones o requisitos mencionados en el resto de este artículo forman parte de RSA.
La AMF es mucho más que un método de autenticación
Para evitar este tipo de ataques, las organizaciones deben replantearse qué es la AMF, cómo deben inscribirse inicialmente los usuarios en la AMF y cómo mantendrán esas inscripciones a lo largo del ciclo de vida de los usuarios.
Tenga siempre presente que el AMF no es sólo sobre tener un Contraseña única (OTP), una aplicación de autenticación o un dispositivo FIDO para iniciar sesión. Si crees que estás seguro solo porque tú o tus usuarios utilicéis autenticación biométrica en un smartphone para iniciar sesión en una aplicación en la nube, tengo malas noticias para ti: eso no es AMF.
Eso es sólo lo mínimo. Sí, te permitiría marcar la casilla "Usar MFA" para tu auditoría de cumplimiento, pero desde el punto de vista de la seguridad, sería una pérdida de tiempo y dinero.
La mayoría de los autenticadores se basan en alguna semilla o clave criptográfica para autenticar. Los autenticadores de hardware suelen ofrecer un mayor nivel de seguridad porque protegen esa semilla en mayor medida que los autenticadores basados en software. Las empresas deben conocer sus necesidades de seguridad y elegir un autenticador que ofrezca un nivel de seguridad suficiente: los autenticadores basados en hardware o en software pueden satisfacer requisitos individuales.
Sin embargo, el método en sí -ya sea hardware o software- es casi irrelevante si la inscripción de los autenticadores no logra establecer la confianza adecuada. Aunque su organización utilice los mejores autenticadores, si los gestiona de forma incorrecta, serán prácticamente inútiles para evitar o ralentizar un ataque. Piensa en un coche: que le pongas un motor potente y pintes las pastillas de freno de amarillo no significa que de repente estés al volante de un coche de carreras. También tendrás que cambiar los frenos, la suspensión, los neumáticos... y formar al piloto sobre cómo competir en una carrera de verdad. Hay mucho más que tener en cuenta.
Repasando un ciclo de vida de identidad típico, explicaré cómo sacar el máximo partido a una solución AMF y garantizar que realiza el trabajo para el que fue concebida: proteger a sus usuarios y asegurar sus activos digitales.
La inscripción es la primera fase del ciclo de vida de la identidad: durante la inscripción, se asigna un autenticador a una identidad (un usuario). Pero incluso antes de que una organización inscriba a un usuario concreto, debe plantearse un par de preguntas:
- ¿Quién puede matricularse en el MFA?
- ¿Cómo puede un usuario inscribirse en MFA?
Puede que pienses que la primera pregunta tiene una respuesta fácil: ¡todo el mundo debería utilizar el AMF!
Sin embargo, puede haber usuarios o grupos que no deban o no deban inscribirse. Piensa en cuentas que existen pero no están activas, como un empleado de baja por maternidad o paternidad, o cuentas huérfanas que nunca se asignaron o ya no se asignan a un usuario específico. Un equipo de seguridad no debería permitir que esas cuentas se inscriban en MFA porque es improbable que cualquier inscripción nueva o modificada del autenticador emitida a estas cuentas sea notada. Por ejemplo, los correos electrónicos de notificación que indiquen cambios en la configuración se quedarán ahí, en alguna bandeja de entrada sin supervisar.
La segunda cuestión es más crucial porque debe abordarse desde dos perspectivas:
- ¿Cómo puede la inscripción de su organización alcanzar el nivel de confianza deseado?
- ¿Cómo puede la inscripción alcanzar el nivel de confianza deseado de forma cómoda y eficaz tanto para el usuario como para la administración o el servicio de asistencia?
La confianza en un autenticador viene determinada por cómo se inscribió inicialmente: el grado de seguridad que tiene un usuario en el momento de la inscripción establece su techo de confianza mientras siga utilizando ese autenticador.
Otra forma de decirlo: tanto si se utiliza hardware como software, los autenticadores sólo pueden proporcionar el nivel de confianza necesario para un inicio de sesión MFA o una autenticación escalonada si la inscripción inicial era lo suficientemente sólida. Si pones unos cimientos poco sólidos, tu casa siempre será inestable.
Hay muchas maneras de decidir quién puede inscribirse y cómo debe completar el proceso de forma que se equilibren la seguridad y la comodidad. Pero decida lo que decida su organización, asegúrese de que no está sólo utilizando contraseñas para inscribirse.
¿Por qué no? Las contraseñas son cómodas. Los usuarios ya conocen sus credenciales, así que los administradores no tienen que preocuparse más que de apuntar la solución MFA a un Directorio Activo. ¿Verdad?
Error. Aunque es una forma fácil de completar la inscripción en MFA, utilizar sólo contraseñas deja a su organización abierta a todo tipo de ataques. El peor escenario posible es que un atacante ya haya comprometido una cuenta y luego la inscriba en MFA. Inscribir una cuenta en MFA que no debería estar inscrito en MFA es lo mismo que saltarse MFA.
Eso es exactamente lo que ocurrió en el ataque a la ONG mencionado al principio de este artículo. Aunque hubo otros pasos que el atacante utilizó para elevar su acceso, la inscripción en sí fue el fallo fatal.
Hay formas más inteligentes y seguras de registrar autenticadores. SecurID recomienda encarecidamente a las organizaciones que apliquen controles técnicos y de procedimiento adicionales a la inscripción en MFA. De hecho, SecurID no permite por defecto la inscripción mediante contraseña. Un cliente tendría que esforzarse mucho para habilitar ese tipo de inscripción y nosotros se lo desaconsejaríamos en todo momento.
Determinar la inscripción adecuada depende de los autenticadores disponibles, los niveles de confianza requeridos, las capacidades de la solución MFA de una organización y las herramientas y procedimientos de que disponga la empresa.
Hay muchos controles técnicos que pueden ayudar a asegurar y simplificar el proceso de inscripción sin recurrir a las contraseñas. Por ejemplo, las organizaciones podrían:
- Confiar en un SMS o un Voice-OTP a un número de teléfono registrado previamente antes de la inscripción
- Exigir a los usuarios que se pongan en contacto con el servicio de asistencia para obtener un código de inscripción.
- Distribuir un código de inscripción al usuario por correo electrónico
- Imprima y comparta cartas con PIN para obligar a los usuarios a utilizar ese PIN único para inscribirse.
- Asignar y enviar tokens de hardware a los usuarios (en este caso, las organizaciones deben mantener los tokens desactivados y dejar que el usuario llame al servicio de asistencia para activar el token de hardware).
- Permitir la inscripción sólo desde la red de la empresa
Por supuesto, hay más controles disponibles y también son posibles diversas combinaciones. Las organizaciones con poblaciones de usuarios grandes y diversas probablemente deberían considerar la posibilidad de ofrecer más de una forma de inscribirse, lo que podría dar lugar a diferentes niveles de confianza en función de la función del usuario.
Todos estos controles añaden capas de seguridad alrededor del propio servicio de inscripción. Y aunque establecer estas capas requiere un esfuerzo de configuración y mantenimiento, esa inversión tiene una enorme recompensa: autenticadores en los que se puede confiar.
Pero ese es solo el primer paso para asegurar el ciclo de vida de la identidad de un usuario. Hay muchos más escenarios que previenen a los actores de amenazas con importantes oportunidades y muchas más situaciones para las que las organizaciones deben prepararse. En la próxima parte de esta serie, Revisaremos los restablecimientos, las medidas de seguridad y otros puntos del ciclo de vida de la identidad que las organizaciones deberían priorizar para protegerse a sí mismas y a sus equipos.
