Nigel Seddon. VP of EMEA West. Ivanti
Cumplir con las normas de seguridad no es tarea fácil cuando se trabaja «desde cualquier lugar«. Muchos empleados no obedecen las mismas reglas cuando trabajan desde casa que cuando lo hacen desde la oficina. Por ejemplo, desde casa podrían visitar un sitio web al que jamás accederían si estuvieran en la oficina o el dispositivo que utilizan podría no ser lo suficientemente fiable y seguro como para acceder a los datos de la empresa.
Desde el comienzo de la pandemia, se registró un incremento de los ciberataques dirigidos expresamente a los teletrabajadores. En cuanto al cibercrimen, aumentó un 19,1% en 2020 en comparación con el año anterior. Aunque el escenario ha cambiado, los ciberdelincuentes siguen utilizando las mismas técnicas, y la usurpación de contraseñas sigue siendo el origen principal de sus ataques.
Según el 2020 Data Breach Investigation Report, de Verizon, el robo de contraseñas fue la causa de más del 80% de todas las violaciones de datos. Por su parte, los parches siguen dejando brechas en la seguridad de las empresas. Una reciente investigación reveló que la falta de parches en el sistema operativo o en las aplicaciones fue la responsable de casi el 60% de las filtraciones ocurridas en los últimos dos años.
Prácticas sencillas pero frecuentes, como la actualización de parches y el restablecimiento de contraseñas, no hacen sino aumentar la carga de trabajo de los departamentos de TI. Pero para crear un entorno de «confianza cero», en el que el usuario pueda tener acceso verificado sólo a los recursos corporativos necesarios, y para reducir la carga que los equipos de TI tienen que afrontar a diario, es necesario abordar ambas.
La maldición de las contraseñas
Las credenciales y las contraseñas son un fallo crítico en las infraestructuras de ciberseguridad. Las personas no tienen la capacidad de recordar 50 contraseñas, a cual más compleja. Lo primero que hará un usuario para superar ese obstáculo es reducir el número de las contraseñas que tiene operativas, y la forma más fácil de conseguirlo es utilizando las mismas credenciales para las aplicaciones personales y las corporativas. De hecho, un 25% de los empleados reconoce utilizar su correo electrónico y contraseña de trabajo para acceder a sitios web de consumo.
Cuando se piratea una cuenta de Amazon, por ejemplo, las contraseñas suelen sustraerse de una web de un comercio pequeño y poco protegido. Si el uso de esas credenciales se extiende a las aplicaciones empresariales, el empleado podría estar poniendo en peligro a toda su organización. Los ciberdelincuentes entienden tan bien el comportamiento humano que ven en el robo de contraseñas una oportunidad para atacar otras cuentas. El robo de contraseñas es un tipo de ataque que depende exclusivamente del excesivo uso de las mismas.
Quitarse «un peso de encima»
En lugar de confiar en contraseñas y nombres de usuario insuficientes y destinados a caer en el olvido, las empresas deberían esforzarse en utilizar una tecnología más segura, que contemple capacidades biométricas como el reconocimiento facial. Esto no sólo evitaría al empleado la carga y la responsabilidad de tener que memorizar contraseñas imposibles, sino que mejoraría su experiencia de usuario al desbloquear las capacidades de inicio de sesión. La eliminación de las contraseñas debe ir estrechamente unida a la capacidad de establecer una relación contextual entre el usuario y los datos a los que accede, pues no es suficiente conceder el acceso tras introducir el nombre de usuario y la contraseña correctos.
Por su parte, el personal de TI debe ser capaz de controlar elementos de seguridad de contexto que le permitan saber desde dónde se conecta el empleado, desde qué tipo de dispositivo y si está comprometido, a qué hora se conecta, si es segura la red desde la que se conecta y dónde está ubicada, etc. Puede parecer excesivo, pero hay detalles que delatan que algo no va bien. Por ejemplo, si un empleado se conecta desde Londres y a la media hora intenta hacerlo desde Nueva York o Singapur, claramente algo no encaja. Para establecer una auténtica relación de «confianza cero», es imprescindible examinar sistemáticamente los atributos clave de seguridad que se recogen en tiempo real, tanto del dispositivo como del usuario.
Protección con parches
Recopilar información sobre los parches puede ser una tarea dura. Algunos proveedores, como Adobe y Microsoft, publican constantemente información al respecto, y lo hacen siempre el mismo día de cada mes: «el martes de los parches». Por su parte, otros proveedores lo hacen según surge la incidencia. Una empresa media utiliza 464 aplicaciones. Recopilar la información necesaria sobre parches para cada aplicación a partir de lo que publican los medios de comunicación, los foros especializados y los blogs, además de comprobar regularmente si existen actualizaciones, consume una gran cantidad de tiempo.
Una vez que se anuncia un parche, hay que ir a toda velocidad para aplicarlo y evitar el ataque. Desgraciadamente, los atacantes suelen ser más rápidos que los defensores. El trabajo a distancia ha aumentado la urgencia de parchear, ya que los dispositivos que acceden a los datos han dejado de estar bajo el control del perímetro corporativo. Las empresas suelen tardar entre 100 y 120 días en gestionar un parche una vez que está disponible, lo que significa que los hackers tienen de tres a cuatro meses para explotar al máximo las vulnerabilidades.
Los parches pueden también ser objeto de «ingeniería inversa», permitiendo volver a explotar la vulnerabilidad una vez se haya resuelto. La situación es aún más urgente en los casos en que un parche cierra una vulnerabilidad previamente conocida o explotada. Los hackers son conscientes de que su estrategia pronto dejará de ser eficaz y estarán deseosos de volver a la carga lo antes posible.
