Este post se publicó por primera vez en 2023 y ha sido actualizado.
Algunas de las mayores filtraciones de datos de los últimos tiempos eludieron la autenticación multifactor (AMF). Esto no significa que la AMF sea ineficaz. Significa que los atacantes suelen eludir la AMF centrándose en las lagunas que rodean la autenticación y no en el factor en sí.
Ya sea atacando la configuración de la MFA, bombardeando a los usuarios o atacando a los subcontratistas, los actores de amenazas encontraron formas de atacar los puntos débiles del ciclo de vida de la identidad, exfiltrar datos y revelar por qué la MFA debe ser su primera línea de defensa, pero no la última.
Esta es la lección principal para los equipos de seguridad. La AMF sigue siendo importante, pero funciona mejor como parte de una estrategia más amplia de seguridad de la identidad.
Los atacantes utilizan diferentes métodos en función del entorno, pero hay varios patrones que aparecen una y otra vez.
Fatiga del AMF y bombardeo puntual
Una táctica habitual es Fatiga del AMF, También llamado "bombardeo de solicitudes". Los atacantes envían repetidamente solicitudes de aprobación hasta que un usuario acepta una por error o por frustración. Este método funciona mejor cuando los usuarios están distraídos, tienen prisa o no están seguros de si la solicitud es legítima.
Esta es una de las razones por las que la educación de los usuarios sigue siendo importante. La gente debe saber que un aviso inesperado debe considerarse una señal de advertencia, no un paso rutinario del inicio de sesión.
Configuración MFA débil
La fuerza de la AMF depende de su implementación. Si los administradores dejan lagunas en la política, la inscripción, los métodos alternativos, la gestión de excepciones o los requisitos de paso a paso, los atacantes las buscarán. En muchos casos, el punto débil no es el factor en sí. Es la forma en que el factor fue desplegado.
Exposición de terceros y contratistas
Los atacantes también atacan a proveedores, contratistas y socios con acceso a sistemas internos. Un control estricto puede fallar si la identidad de un tercero tiene demasiados privilegios, está mal supervisada o mal gobernada. El riesgo de identidad no se limita a los empleados.
Arquitectura abierta a fallos
Un sistema “abierto en caso de fallo” es aquel que se abre por defecto cuando los controles operativos estándar no funcionan. Ese principio puede tener sentido en la seguridad física, pero introduce graves riesgos a la hora de garantizar el acceso digital.
Si un sistema pierde el contacto con un servicio MFA basado en la nube y pasa por defecto a conceder acceso, los atacantes pueden aprovecharse de esta situación para eludir por completo el MFA.
Lagunas en el ciclo de vida de la identidad
La autenticación es sólo una parte de la seguridad de la identidad. Los actores de las amenazas saben que la identidad es mucho más que su gestión. Buscan puntos débiles en el aprovisionamiento, la recuperación, la administración delegada, el acceso de terceros y la gestión de derechos.
La lección más importante de estos ataques no es que la MFA haya fallado. La lección es que las defensas de identidad deben ir más allá de la pantalla de inicio de sesión.
Cuando las organizaciones se centran únicamente en el evento de autenticación, dejan expuestas otras áreas de gran valor. Los flujos de trabajo de recuperación, las excepciones de políticas, el acceso sin conexión, los roles privilegiados y los derechos excesivos pueden convertirse en vías de ataque.
Por ejemplo, no basta con proporcionar acceso: las organizaciones deben empezar por preguntarse si el usuario necesita acceso. En caso afirmativo, ¿durante cuánto tiempo? ¿Le hemos proporcionado demasiado acceso o sólo el suficiente? ¿Cómo podemos saberlo? Se trata de cuestiones prácticas de seguridad que afectan directamente al riesgo de infracción.
Las organizaciones que desean reducir el riesgo de elusión de la AMF necesitan una mayor visibilidad de todo el ciclo de vida de la identidad. Eso significa comprender no solo quién puede iniciar sesión, sino también por qué tienen acceso, a qué pueden acceder y cómo cambian esos permisos con el tiempo.
La mejor defensa no es un único factor o un único producto. Es un enfoque por capas que cierra las brechas en las que confían los atacantes.
Reforzar las opciones de autenticación
No todos los métodos de autenticación ofrecen el mismo nivel de protección. Con opciones como el Face ID de Apple convirtiéndose en casi omnipresente para los usuarios de móviles, la biometría es una forma popular de autenticación sin contraseña, pero ciertamente no la única. Las organizaciones deben evaluar opciones más sólidas que puedan reducir la exposición a los ataques de suplantación de identidad y basados en repeticiones. Dar prioridad a una gama de soluciones sin contraseña que puedan soportar cada usuario, en cada entorno, en cada momento.
Reducir la dependencia de las conjeturas del usuario
La AMF basada en push es cómoda, pero la comodidad puede crear riesgos cuando se espera que los usuarios interpreten indicaciones inesperadas en el momento. Cuanto más dependa un flujo de autenticación del criterio del usuario bajo presión, más vulnerable puede resultar.
Por este motivo, las organizaciones deben combinar una autenticación más sólida con la concienciación en materia de seguridad, controles de políticas adaptables y la supervisión de patrones de aprobación sospechosos.
Planificar escenarios de fracaso
Esta es una de las conclusiones más claras de estos ataques. Hay varias formas de evitar estos ataques sin bloquear el acceso de los usuarios al sistema. La primera es emplear un sistema híbrido de autenticación que pueda recurrir a un nodo local en caso de fallo de Internet. La segunda es emplear un sistema de autenticación que pueda validarse fuera de línea.
En entornos de alta seguridad, la resistencia es importante, pero también lo es el comportamiento ante fallos. Los equipos de seguridad deben saber exactamente qué ocurre cuando los servicios ascendentes no están disponibles.
Mejorar la visibilidad de la identidad
La seguridad de la identidad requiere algo más que verificar un factor. También requiere conocer el acceso, los derechos, los cambios en el ciclo de vida y las señales de riesgo entre usuarios y sistemas. Sin esa visibilidad, las organizaciones pueden asegurar la autenticación dejando expuestos activos críticos.
Autenticación sin contraseña puede ayudar a reducir el riesgo de elusión de la AMF alejando a las organizaciones de las credenciales susceptibles de phishing y de los flujos de inicio de sesión frágiles.
Ya sea la biometría, FIDO2, Si se utilizan códigos QR, BLE, NFC u otros factores de forma sin contraseña, las organizaciones deben utilizar soluciones que puedan soportar una gama de entornos, aplicaciones y grupos de usuarios mixtos.
El uso sin contraseña no es sólo una cuestión de comodidad. También puede reducir la dependencia de las contraseñas, que siguen siendo uno de los puntos de entrada más utilizados en los ataques a la identidad.
Los autenticadores OTP y FIDO tienen cada uno sus propias ventajas. Algunos son más adecuados para la autenticación moderna basada en navegador, mientras que otros ofrecen una cobertura más amplia en entornos heredados e híbridos. Sin embargo, al comparar OTP y FIDO, la mejor respuesta suele ser un “Y”. Muchas organizaciones necesitan tanto flexibilidad como una mayor garantía.
El AMF debe ser su primera línea de defensa, pero no la última. Para reducir el riesgo de elusión de la AMF, las organizaciones necesitan opciones de autenticación más sólidas, una arquitectura resistente y una mejor visibilidad de todo el ciclo de vida de la identidad.
Con RSA ID Plus, las organizaciones pueden admitir la autenticación híbrida y sin contraseña, reforzar la protección de entornos modernos y heredados y crear una estrategia de seguridad de identidades más resistente. Descubra cómo RSA ID Plus puede ayudar a defenderse de las brechas que los atacantes atacan cuando la AMF está sola.
La AMF es un control de seguridad crítico que funciona mejor cuando se despliega como parte de una estrategia de seguridad de identidad más amplia. En nuestro seminario web analizamos varias de las formas habituales en que los atacantes eluden la AMF, como el bombardeo inmediato, la configuración deficiente, la exposición a terceros y las brechas en el ciclo de vida de la identidad, Anatomía del atentado: Auge y caída del AMF, que suscitó preguntas de los asistentes. Las preguntas frecuentes que figuran a continuación abordan algunas de las cuestiones más importantes que surgieron de esa conversación.
P: ¿Estás de acuerdo con Microsoft en que el PIN de Windows Hello es más seguro que una contraseña para acceder a tu puesto de trabajo?
R: Es una pregunta fascinante que se debatirá durante muchos años. Tanto las contraseñas como los PIN entran en la categoría de autenticación de "algo que sabes" y, por tanto, son susceptibles de ataques de phishing. En comparación con las contraseñas, los PIN suelen tener una longitud más corta y utilizan un conjunto de caracteres restringido. Así que, desde una perspectiva entrópica, los PIN son más débil que las contraseñas, es decir, cuanto mayor sea el número de opciones posibles, más difícil será forzar una contraseña o un PIN.
Pero eso es sólo una parte de la historia. A diferencia de las contraseñas, los PIN (o al menos los PIN según la definición del NIST SP800-63) son validado localmente. Esto significa que nunca se transmiten ni se almacenan en un depósito centralizado. Esto hace que sea mucho menos probable que los PIN sean interceptados o robados en un ataque de asalto y robo.
Como suele ocurrir, el entorno, la configuración y la formación de los usuarios tienden a tener un mayor impacto en su postura general de ciberseguridad que los protocolos o las tecnologías.
P: ¿Puede darnos más detalles sobre las opciones de autenticación fuera de línea para evitar el problema del "fail open"? Ejemplos de arquitectura u ofertas de productos?
R: Un sistema "abierto en caso de fallo" es aquel que se abre por defecto cuando los controles operativos estándar no funcionan. Aunque este es un principio de seguridad importante en la seguridad física (por ejemplo, en caso de incendio, todas las puertas exteriores deben desbloquearse inmediatamente), no lo es tanto cuando se trata de proteger el acceso a activos críticos.
En el caso de uso de la ONG, los atacantes consiguieron acceder al activo impidiendo que el sistema local se comunicara con el proveedor de MFA basado en la nube, eludiendo de hecho el control de MFA. Esto fue posible porque la solución de identidad instalada utilizaba por defecto una "fallo al abrirde seguridad").
Hay varias formas de evitarlo sin bloquear a los usuarios del sistema. La primera es emplear un sistema de autenticación híbrido que pueda recurrir a un nodo local (on-prem) en caso de fallo de Internet. La segunda es emplear un sistema de autenticación que pueda validarse sin conexión. RSA ID Plus admite ambas opciones.
P: En su opinión, ¿cuál es el mejor proveedor de identidades (IDP)?
R: Si respondo otra cosa que no sea "RSA ID Plus", estoy bastante seguro de que perderé mi trabajo.
Pero hablando en serio, yo me fijaría en varias cosas. En primer lugar, ¿tiene el proveedor un historial probado? En segundo lugar, ¿es la identidad el núcleo de su negocio o sólo una de las muchas cosas que hace? Tercero, ¿prioriza el proveedor la comodidad sobre la seguridad a la hora de tomar decisiones de diseño? En cuarto lugar, ¿ofrece la solución la flexibilidad necesaria para dar soporte a un amplio conjunto de usuarios y casos de uso, incluidas esas peludas aplicaciones heredadas en las entrañas de su centro de datos? Y por último, cuando las cosas salen mal (y saldrán mal), ¿el proveedor se responsabiliza con total transparencia o se ofusca y echa la culpa a otros?
La seguridad no es fácil y las amenazas identidad del objetivo más que cualquier otra parte de la superficie de ataque. Las organizaciones necesitan IDP que lo entiendan.
P: ¿Hasta qué punto son fiables las soluciones ZTNA que ofrecen actualmente los proveedores de seguridad?
R: Zero Trust Network Access (ZTNA) es un concepto basado en el principio de que la confianza nunca debe ser supuesto basada únicamente en la conexión de un usuario a la intranet local: los usuarios deben autenticarse continuamente, deben tener permiso para acceder a un recurso específico y también deben tener una razón válida para hacerlo.
Aunque hoy en día existen muchos productos de "Confianza Cero" en el mercado, es importante señalar que la ZTNA es un marco conceptual y un conjunto de buenas prácticas. Cómo La forma en que usted emplee la tecnología, defina sus políticas y gestione su ecosistema determinará su postura ante la ZTNA. La tecnología puede ayudar, sin duda, pero si algún proveedor le dice que su producto le hará cumplir la ZTNA, busque a otro.
Si quieres saber más sobre Zero Trust, te recomiendo que empieces por los siete principios de Zero Trust definidos en NIST SP800-207.
P: ¿La autenticación sin contraseña se basa exclusivamente en la biometría? ¿Qué otros métodos pueden utilizarse? ¿Cómo se utiliza la IA en la autenticación?
R: Con opciones como el Face ID de Apple convirtiéndose en casi omnipresente para los usuarios móviles, la biometría es definitivamente una forma popular de autenticación sin contraseña, pero ciertamente no es la única. FIDO2 es una opción cada vez más común tanto para consumidores como para empresas. Los métodos sin contacto como el código QR, BLE y NFC también se utilizan, aunque en menor medida. Los principios de la IA, como las reglas inteligentes, el aprendizaje automático y el análisis del comportamiento, se utilizan cada vez más para aumentar la confianza en la identidad como factores invisibles de autenticación que introducen poca o ninguna fricción para el usuario final. RSA ID Plus admite todas estas opciones en la actualidad.
P: ¿Cuál es el futuro de la gestión de identidades y accesos?
R: Creo que estos tres ataques demuestran que “Gestión de Identidades y Accesos” es, si no un término anticuado, tal vez insuficiente.
Estos ataques ponen de relieve que necesitamos proteger las identidades, no solo gestionarlas. Por ejemplo, no basta con proporcionar acceso: debemos empezar por preguntarnos "¿necesita el usuario acceso?". Si es así, ¿durante cuánto tiempo? ¿Le hemos proporcionado demasiado acceso o solo el suficiente? ¿Cómo podemos saberlo? En muchos casos, no creo que los administradores lo sepan, ni siquiera cómo averiguarlo.
Los actores de las amenazas saben que la identidad es mucho más que gestionarla. Los ataques que he analizado demuestran cómo los ciberdelincuentes atacan las brechas que la IAM no tiene en cuenta. Creo que la comprensión de la identidad por parte de las organizaciones debe ampliarse para tener en cuenta y proteger todo el ciclo de vida de la identidad.
En un plano más técnico, creo que la IA desempeñará un papel importante en el procesamiento de las enormes cantidades de datos de autenticación, derechos y uso. Disponer de una plataforma inteligente que pueda evaluar datos detallados con rapidez y a gran escala puede ser un activo real para mantener la seguridad de las organizaciones.
P: ¿Cómo compararía SecurID con YubiKey?
R: SecurID y YubiKey son autenticadores líderes en sus respectivas categorías. Y la buena noticia es que RSA ID Plus admite ambos (entre otras muchas opciones de autenticación).
Dejando a un lado las especificidades de cada proveedor, los autenticadores OTP y FIDO tienen cada uno sus propias ventajas. Aunque FIDO es cada vez más popular como opción segura y cómoda para iniciar sesión en Internet, las opciones de FIDO basadas en software siguen teniendo una versatilidad limitada, los dispositivos de hardware suelen requerir una conexión física y la compatibilidad real con FIDO más allá del navegador web es prácticamente inexistente. Mientras tanto, OTP tiene la ventaja de funcionar prácticamente en cualquier lugar, tanto en hardware como en software, sin necesidad de software cliente especializado ni de conexión física.
Sin embargo, cuando se comparan OTP y FIDO, la mejor respuesta suele ser ‘Y’. Los dispositivos híbridos como el RSA DS100 authenticator combinan lo mejor de ambos mundos, ofreciendo OTP y FIDO2 en un único factor de forma para proporcionar la máxima flexibilidad y amplitud de compatibilidad. RSA también admite el iShield Key Serie 2, que ofrece autenticación respaldada por hardware validada con arreglo a los criterios de seguridad más exigentes. Certificado por FIPS 140-3 y FIDO2, se ajusta a marcos como FedRAMP, NIST, DORA, NIS2, HIPAA y PCI DSS.
