Las empresas necesitan más que una autenticación de dos factores para mantener seguros a los usuarios
Por Sridhar Muppidi
Harvard Business Review
Seguridad y Privacidad
Todos conocemos los conceptos básicos del delito cibernético, como los correos electrónicos de phishing con enlaces maliciosos o archivos adjuntos, o las llamadas telefónicas de los escritorios de ayuda falsos que buscan hacerse cargo de su computadora.
Pero los esquemas en el mundo cibernético continúan siendo más sofisticados. Una de las estafas más recientes son los hackers que roban números de teléfono para drenar cuentas de criptomonedas como Bitcoin. ¿Cómo? Los hackers han identificado una debilidad en la forma en que usamos nuestros teléfonos para autenticar nuestras identidades a los proveedores de servicios móviles, así como a las cuentas en línea. Están explotando esta debilidad para robar todo lo que pueden tener en sus manos. Y todo se remonta a la autenticación de dos factores, o 2FA.
Si ha habilitado 2FA en Twitter, Facebook o Google, probablemente haya recibido una contraseña de un solo uso, a través de un mensaje de texto SMS, para iniciar sesión o realizar cambios en la cuenta. Muchos monederos y servicios de criptomoneda en línea también usan mensajes de texto SMS como segunda forma de autenticación, además de la contraseña que usa para acceder a su cuenta. Con los recientes secuestros de teléfonos móviles, lo que está siendo atacado es su número de teléfono como método de comunicación.
El objetivo final aquí es transferir el número de teléfono de una persona a un teléfono de quemador o tarjeta SIM que no se pueda rastrear hasta el atacante. Una vez que el atacante puede recibir textos SMS destinados a su objetivo, puede usar el útil enlace "¿Olvidó su contraseña?" En diferentes páginas de inicio de sesión y verificar su identidad al hacerse pasar por la víctima.
Las contraseñas de un solo uso, ya sean entregadas a través de SMS o correo electrónico, a menudo son la primera forma de 2FA que las compañías adoptan para mejorar sus medidas de seguridad. Aunque los ataques móviles han sido una amenaza creciente para él, este método todavía se ha considerado beneficioso. En los recientes robos de criptomonedas, podría argumentarse que la autenticación de SMS se convirtió más en un vector de ataque que en una medida de seguridad.
Entonces, ¿cómo defendemos nuestra información contra este último método, y un fraude de autenticación más amplio? ¿No tendría más sentido si pudiéramos hacer que el proceso de autenticación fuera más inteligente y consciente del riesgo? Una forma de avanzar es usar notificaciones push para vincular su identidad a un dispositivo en lugar de a su número de teléfono. Las aplicaciones de autenticación son un buen lugar para comenzar con este tipo de funcionalidad (Divulgación: IBM Verify, ofrecido por mi empresa, es uno de estos).
Si bien las notificaciones push son una solución para este problema específico, la solución más grande para las empresas es comprender mejor cada punto de autenticación en su entorno de seguridad. Las empresas pequeñas y medianas deberían considerar el uso de soluciones de gestión y acceso a la identidad para permitir el acceso a recursos y aplicaciones, ya sea en la nube, en los locales o en una nube híbrida. Las soluciones modernas manejan a los usuarios de incorporación y eliminación, las certificaciones de acceso y la separación de tareas para ayudar a las organizaciones a cumplir con las regulaciones como GDPR y PSD2.
Las empresas que analizan detenidamente sus factores de riesgo suelen recurrir a la solución más sólida posible: la autenticación multifactorial. La mayoría de las instituciones financieras más grandes han adoptado este enfoque estratificado para autenticar identidades en varios puntos a lo largo de la experiencia del usuario. Por ejemplo, el usuario proporcionará un PIN, una contraseña o una huella digital para iniciar sesión en una aplicación de banca móvil, y si el sistema detecta factores de riesgo adicionales, es posible que se requieran otras formas de autenticación. Si el dispositivo móvil del usuario informa que se encuentra en un lugar fuera de los patrones de viaje normales del usuario, por ejemplo, el sistema podría marcar la sesión por posibles fraudes e impulsar el siguiente desafío para el usuario, para asegurarse de que son quienes dicen ser .
La otra capa de seguridad que ahora se implementa para autenticar identidades es el análisis de comportamiento, que se utiliza para complementar la autenticación multifactorial. Esto permite que los equipos de seguridad marquen la seguridad requerida hacia arriba o hacia abajo, dependiendo no solo del valor de los datos o la transacción, sino también de los riesgos de seguridad presentados durante toda la sesión. En situaciones donde se determina que el riesgo es bajo y la experiencia del usuario es primordial, se pueden suprimir factores de autenticación adicionales si no se detecta actividad anormal, lo que reduce la barrera de completar una transacción.
Todas estas mejoras de seguridad móvil apuntan a usar el dispositivo mismo para la autenticación, y no a un número de teléfono fácilmente transferible o un mensaje que pueda ser interceptado por un malware móvil. Cada nivel de defensa cuenta, pero como muestran los casos de secuestro de teléfonos, las medidas de autenticación solo funcionan si no son el punto débil. El panorama general aquí es que ningún método único de autenticación siempre será adecuado para cada situación. Más temprano que tarde, las empresas deberían adoptar un enfoque basado en el riesgo que utilice la autenticación multifactorial, teniendo en cuenta la ubicación, el análisis del comportamiento y muchos otros indicadores de identidad.
Sridhar Muppidi es un Ingeniero Distinguido de IBM y Director de Tecnología para Soluciones de Gestión de Identidad y Acceso en IBM Security Systems. En esta función, Sridhar impulsa la estrategia, la arquitectura y las soluciones técnicas de IAM, incluida la seguridad móvil y la seguridad en la nube. Es un líder técnico con aproximadamente 20 años de experiencia en seguridad, desarrollo de productos de software y arquitectura de soluciones de seguridad para varios sectores verticales de la industria.
Harvard Business Review
Seguridad y Privacidad
Todos conocemos los conceptos básicos del delito cibernético, como los correos electrónicos de phishing con enlaces maliciosos o archivos adjuntos, o las llamadas telefónicas de los escritorios de ayuda falsos que buscan hacerse cargo de su computadora.
Pero los esquemas en el mundo cibernético continúan siendo más sofisticados. Una de las estafas más recientes son los hackers que roban números de teléfono para drenar cuentas de criptomonedas como Bitcoin. ¿Cómo? Los hackers han identificado una debilidad en la forma en que usamos nuestros teléfonos para autenticar nuestras identidades a los proveedores de servicios móviles, así como a las cuentas en línea. Están explotando esta debilidad para robar todo lo que pueden tener en sus manos. Y todo se remonta a la autenticación de dos factores, o 2FA.
Si ha habilitado 2FA en Twitter, Facebook o Google, probablemente haya recibido una contraseña de un solo uso, a través de un mensaje de texto SMS, para iniciar sesión o realizar cambios en la cuenta. Muchos monederos y servicios de criptomoneda en línea también usan mensajes de texto SMS como segunda forma de autenticación, además de la contraseña que usa para acceder a su cuenta. Con los recientes secuestros de teléfonos móviles, lo que está siendo atacado es su número de teléfono como método de comunicación.
El objetivo final aquí es transferir el número de teléfono de una persona a un teléfono de quemador o tarjeta SIM que no se pueda rastrear hasta el atacante. Una vez que el atacante puede recibir textos SMS destinados a su objetivo, puede usar el útil enlace "¿Olvidó su contraseña?" En diferentes páginas de inicio de sesión y verificar su identidad al hacerse pasar por la víctima.
Las contraseñas de un solo uso, ya sean entregadas a través de SMS o correo electrónico, a menudo son la primera forma de 2FA que las compañías adoptan para mejorar sus medidas de seguridad. Aunque los ataques móviles han sido una amenaza creciente para él, este método todavía se ha considerado beneficioso. En los recientes robos de criptomonedas, podría argumentarse que la autenticación de SMS se convirtió más en un vector de ataque que en una medida de seguridad.
Entonces, ¿cómo defendemos nuestra información contra este último método, y un fraude de autenticación más amplio? ¿No tendría más sentido si pudiéramos hacer que el proceso de autenticación fuera más inteligente y consciente del riesgo? Una forma de avanzar es usar notificaciones push para vincular su identidad a un dispositivo en lugar de a su número de teléfono. Las aplicaciones de autenticación son un buen lugar para comenzar con este tipo de funcionalidad (Divulgación: IBM Verify, ofrecido por mi empresa, es uno de estos).
Si bien las notificaciones push son una solución para este problema específico, la solución más grande para las empresas es comprender mejor cada punto de autenticación en su entorno de seguridad. Las empresas pequeñas y medianas deberían considerar el uso de soluciones de gestión y acceso a la identidad para permitir el acceso a recursos y aplicaciones, ya sea en la nube, en los locales o en una nube híbrida. Las soluciones modernas manejan a los usuarios de incorporación y eliminación, las certificaciones de acceso y la separación de tareas para ayudar a las organizaciones a cumplir con las regulaciones como GDPR y PSD2.
Las empresas que analizan detenidamente sus factores de riesgo suelen recurrir a la solución más sólida posible: la autenticación multifactorial. La mayoría de las instituciones financieras más grandes han adoptado este enfoque estratificado para autenticar identidades en varios puntos a lo largo de la experiencia del usuario. Por ejemplo, el usuario proporcionará un PIN, una contraseña o una huella digital para iniciar sesión en una aplicación de banca móvil, y si el sistema detecta factores de riesgo adicionales, es posible que se requieran otras formas de autenticación. Si el dispositivo móvil del usuario informa que se encuentra en un lugar fuera de los patrones de viaje normales del usuario, por ejemplo, el sistema podría marcar la sesión por posibles fraudes e impulsar el siguiente desafío para el usuario, para asegurarse de que son quienes dicen ser .
La otra capa de seguridad que ahora se implementa para autenticar identidades es el análisis de comportamiento, que se utiliza para complementar la autenticación multifactorial. Esto permite que los equipos de seguridad marquen la seguridad requerida hacia arriba o hacia abajo, dependiendo no solo del valor de los datos o la transacción, sino también de los riesgos de seguridad presentados durante toda la sesión. En situaciones donde se determina que el riesgo es bajo y la experiencia del usuario es primordial, se pueden suprimir factores de autenticación adicionales si no se detecta actividad anormal, lo que reduce la barrera de completar una transacción.
Todas estas mejoras de seguridad móvil apuntan a usar el dispositivo mismo para la autenticación, y no a un número de teléfono fácilmente transferible o un mensaje que pueda ser interceptado por un malware móvil. Cada nivel de defensa cuenta, pero como muestran los casos de secuestro de teléfonos, las medidas de autenticación solo funcionan si no son el punto débil. El panorama general aquí es que ningún método único de autenticación siempre será adecuado para cada situación. Más temprano que tarde, las empresas deberían adoptar un enfoque basado en el riesgo que utilice la autenticación multifactorial, teniendo en cuenta la ubicación, el análisis del comportamiento y muchos otros indicadores de identidad.
Sridhar Muppidi es un Ingeniero Distinguido de IBM y Director de Tecnología para Soluciones de Gestión de Identidad y Acceso en IBM Security Systems. En esta función, Sridhar impulsa la estrategia, la arquitectura y las soluciones técnicas de IAM, incluida la seguridad móvil y la seguridad en la nube. Es un líder técnico con aproximadamente 20 años de experiencia en seguridad, desarrollo de productos de software y arquitectura de soluciones de seguridad para varios sectores verticales de la industria.
No hay comentarios:
Publicar un comentario