Con el aumento de los ataques basados en la identidad y la causa de importantes brechas, la autenticación multifactor (MFA) ha sido ampliamente adoptada por empresas, organizaciones y gobiernos de todo el mundo. Pero con casi el 90% de las organizaciones sufriendo ataques basados en la identidad en 2023, la implementación de MFA no es suficiente.
Como sabemos, la autenticación multifactor implica dos y a menudo tres factores de verificación de identidad antes de conceder a un usuario acceso a datos, una red, una cuenta o una aplicación.
Tres tipos de autenticación
La autenticación de factor único es muy sencilla. Como usuario, introduce un código de tres o cuatro dígitos -es decir, algo que conoce- para acceder a mensajes telefónicos, cuentas bancarias en línea, etc. Sin embargo, confiar en los autenticadores de factor único (SFA) resultó ser una protección escasa. Los piratas informáticos no tardaron en encontrar la forma de copiar, robar o adivinar los códigos "secretos" y acceder a cuentas privadas.
La autenticación de doble factor o en dos pasos implica algo que conoces, como un PIN o un código secreto, además de añadir algo que posees, como un dispositivo móvil personal, para recibir una notificación push o un mensaje de texto. En este ejemplo, hay dos capas de verificación. El acceso del usuario requiere conocer su código secreto y tener acceso inmediato a su dispositivo móvil.
La autenticación multifactor que va más allá de dos factores añade un tercer factor, es decir, algo que tú eres: un atributo físico que te es propio, como una huella dactilar, la voz o el reconocimiento facial. La AMF suele requerir los tres para que el usuario obtenga el acceso que busca.
El panorama de la seguridad de la AMF y los ataques impulsados por la IA
La realidad es que los riesgos de utilizar la AMF como procedimiento eficaz de seguridad de la identidad probablemente seguirán aumentando en el futuro. La razón principal es la aparición de ciberataques basados en inteligencia artificial o IA, que se intensificaron en 2023. La IA y el aprendizaje automático están demostrando ser formidables multiplicadores de fuerza, permitiendo a los ciberdelincuentes lanzar ataques altamente complejos y automatizados que eluden o superan las protecciones habituales de la AMF.
Por ejemplo, los ataques basados en IA pueden personalizar los ataques de phishing para centrarse específicamente en una sola persona y hacer creer al usuario que el atacante es esa persona. Los ataques impulsados por IA se hacen pasar por un usuario de confianza ingiriendo miles de puntos de datos de fuentes públicas, publicaciones en redes sociales y comportamientos en línea para evaluar los gustos y características específicos de esa persona y crear mensajes y presencia en línea falsos pero muy persuasivos. Estos y otros tipos de ataques basados en IA serán cada vez más comunes en 2024.
Los atacantes de Okta se alegran de que eligieras el AMF
Pero los ataques impulsados por la IA no son los únicos que están alimentando el aumento de los ataques a la identidad. La realidad es que incluso si se hace todo bien, los atacantes pueden eludir los controles preventivos. De hecho, varios riesgos situacionales comunes están dando lugar a ataques basados en la identidad de gran éxito y muy públicos.
Por ejemplo, la brecha de Okta de noviembre de 2023 no fue un ataque impulsado por IA, sino simplemente el resultado de un programa de gestión de acceso a identidades (IAM) sin suficiente visibilidad de los usuarios, su acceso a cuentas o el seguimiento de credenciales. Los hackers obtuvieron acceso no autorizado a la red a través de credenciales robadas de una cuenta de servicio almacenada en su sistema y accedieron a toda la información personal de cada titular de una cuenta de Okta.
La brecha se logró mediante un simple ataque basado en la identidad que MFA no pudo prevenir o detectar a tiempo. La brecha de Okta confirma el adagio de que las personas son nuestro activo más valioso pero, dependiendo de la situación, también pueden suponer el mayor riesgo incluso para las organizaciones más preparadas.
Ciertamente no había mucha innovación en el ataque de Okta, pero funcionó.
Riesgos de amenazas situacionales
Lo que es clave entender es que la brecha de Okta se debió a riesgos de amenazas situacionales, que son mucho más controlables que las amenazas impulsadas por la IA si tus capacidades de detección son las que deberían ser. Por supuesto, lo irónico de la brecha de Okta es que es el líder de la industria en autenticación multifactor (MFA), que está diseñado específicamente para prevenir ataques basados en la identidad. Sin embargo, los riesgos de amenazas situacionales siguen siendo una causa común de ataques basados en la identidad.
La buena noticia es que, aunque se utilizan a menudo, con la solución adecuada de detección de amenazas de identidad y respuesta, son bastante prevenibles. Sabiendo esto, su primer paso debería ser evaluar los riesgos de amenazas situacionales dentro de su propio entorno. Puede que los riesgos no sean tan obvios como le gustaría. Sin embargo, si mira de cerca, encontrará riesgos situacionales que pueden no estar cubiertos -ni ser descubiertos- por sus prácticas y procedimientos de gestión de acceso a identidades (IAM) o incluso de gestión de acceso privilegiado (PIM).
A continuación se enumeran las cinco principales amenazas de riesgo situacional controlables que están contribuyendo al rápido aumento de los ataques basados en la identidad y que, con la solución adecuada, son fácilmente evitables.
1. Actividades relacionadas con las fusiones y adquisiciones
La actividad de fusiones y adquisiciones (M&A) está aumentando, y se espera que las operaciones de capital privado y corporativo aumenten entre un 12% y un 13% en 2024. Si su organización participa en una operación de fusión y adquisición, o tiene previsto hacerlo, tenga en cuenta que la tolerancia al riesgo de una organización alcanza su nivel más bajo durante el proceso de fusión y adquisición.
Esto se debe a varias razones. En primer lugar, al más alto nivel de análisis, cada fase de la actividad de fusión y adquisición aporta nuevos comportamientos, nuevas personas, nuevos procesos, nuevos objetivos y nuevos acontecimientos a la vida diaria de su organización. Estos cambios repercutirán en todos los niveles de la organización, desde los empleados principiantes hasta los directivos. En resumen, las nuevas realidades conllevan nuevos riesgos.
A nivel operativo, el proceso de fusión y adquisición implica nuevas estrategias, la selección de nuevas personas, la armonización de prácticas diferenciadas de diligencia debida, alteraciones en las rutinas, intercambio de datos, nuevos procesos de integración de sistemas, nuevas transacciones y otros cambios situacionales y de comportamiento. Cada uno de ellos presenta nuevos retos y nuevos riesgos. Algunos de los riesgos serán obvios, otros pueden no serlo.
A nivel cultural y de recursos humanos, conciliar las prácticas empresariales cotidianas, el comportamiento de los empleados, las expectativas de gestión de riesgos y los retos de integración del personal también puede conllevar riesgos situacionales nuevos y desconocidos. Además, por su propia naturaleza, las fusiones y adquisiciones suelen implicar la supresión de puestos de trabajo, lo que puede traducirse en empleados descontentos, conflictos territoriales entre el personal y otras pautas de comportamiento que pueden plantear riesgos basados en la identidad.
A todos estos factores hay que añadir el empeño del consejo de administración y de la alta dirección por cerrar la operación con el menor trastorno o pérdida de negocio posible. Esto puede significar que algunos ejecutivos tomen atajos en los procedimientos o en las mejores prácticas de gestión de riesgos, como compartir demasiados datos demasiado pronto, conceder acceso de alto nivel cuando no es necesario y otros atajos para cerrar el acuerdo más rápidamente.
Estos y otros riesgos coyunturales son inherentes a las fusiones y adquisiciones.
2. Las organizaciones que poseen datos confidenciales o infraestructuras críticas son objetivos de gran valor.
Otra forma de riesgo situacional son las empresas y organizaciones que trabajan con o poseen datos y/o infraestructuras de gran valor. Esto las hace más propensas a ser blanco de ataques de identidad.
Por ejemplo, Okta, con su infraestructura crítica, tiene una probabilidad elevada de ser objetivo de atacantes de identidad. Una empresa de servicios financieros con miles de millones de dólares en activos sería otro ejemplo de empresa con una probabilidad elevada de riesgo situacional de ataque de identidad. Las empresas energéticas con infraestructura nuclear, las empresas sanitarias, las empresas de telecomunicaciones, los bufetes de abogados y determinados fabricantes también tienen elevados riesgos situacionales de ataques de identidad.
3. Riesgo de acceso de terceros
A medida que aumenta el uso y la confianza de las organizaciones en las aplicaciones, los contratistas externos y los servicios externos, también aumenta el riesgo de ataques basados en la identidad. Mantener un estricto control de acceso a redes, servicios y aplicaciones sensibles se convierte en un reto cada vez mayor a medida que se recurre a más socios, contratistas y proveedores externos.
Por ejemplo, los atacantes pueden utilizar identidades de Microsoft para obtener acceso a aplicaciones de Microsoft conectadas y aplicaciones SaaS federadas. Los ataques en estos entornos no se producen explotando vulnerabilidades per se, sino abusando de la funcionalidad nativa de Microsoft. El grupo de atacantes Nobelium, vinculado a los ataques de SolarWinds, ha sido documentado utilizando funcionalidades nativas como la creación de Federated Trusts para obtener acceso ininterrumpido a un tenant de Microsoft.
También es problemático para las organizaciones que dependen de múltiples socios y terceros, ya que les llevará más tiempo supervisar a sus socios para asegurarse de que se siguen y aplican los procedimientos adecuados de gestión de riesgos y accesos. Diferentes niveles de experiencia, socios comerciales distribuidos geográficamente, así como costumbres y expectativas de comportamiento culturalmente diversas, suponen riesgos de violaciones de identidad para las organizaciones.
4. Riesgos de amenazas de información privilegiada y de reducción/despido de personal
Sus empleados pueden ser una fuente importante de riesgo para su identidad. Incluso hoy en día, con el peligro de las ciberamenazas bien conocido, la mayoría no sigue ni siquiera los protocolos de seguridad más básicos para proteger su identidad.
Por ejemplo, el 62% de los profesionales utiliza una contraseña para varias cuentas, lo que facilita demasiado los ataques basados en la identidad. Esto ayuda a explicar por qué el 31% de las organizaciones encuestadas afirman haber sufrido ataques de fuerza bruta o de pulverización de contraseñas en el último año. Las VPN pueden ayudar a verificar y permitir el acceso remoto de terceros, pero su visibilidad es limitada.
Las reducciones de plantilla y los despidos también pueden ser una causa importante de amenazas internas basadas en la identidad. Por ejemplo, casi 1 de cada 3 antiguos empleados sigue teniendo acceso al SaaS de la empresa. Con plataformas cloud como Microsoft 365, que tienen muchos puntos de acceso, los ciberdelincuentes pueden acceder a las credenciales de sus exempleados a través de sus dispositivos personales desprotegidos, aplicaciones compartidas u otras vías.
5. Acceso excesivo para los empleados
Otro riesgo situacional muy común es que a los empleados se les dé más acceso a los datos, aplicaciones y redes del que necesitan para realizar su trabajo. El acceso excesivo puede producirse cuando a los nuevos empleados se les concede un nivel fijo o estandarizado de acceso a la red, los sistemas y las aplicaciones de la empresa que excede lo necesario para sus funciones.
El acceso excesivo abre la puerta a empleados de bajo nivel y escasa responsabilidad que pueden no proteger sus llaveros, portátiles o factores de autenticación como deberían, y convertirse en vectores involuntarios de ataques basados en la identidad. En estos casos, las herramientas de IAM son ineficaces porque el exceso de acceso se ha concedido, por lo que no se reconoce el abuso.
Esto también ocurre cuando a los empleados se les concede un nivel superior de acceso autorizado para un proyecto o propósito específico. Una vez finalizada la tarea o el proyecto, el acceso elevado no se revoca, lo que puede dar lugar a abusos de identidad.
No sólo los empleados con accesos de bajo nivel plantean riesgos de acceso que no pueden mitigarse con herramientas IAM o PAM. Las identidades privilegiadas, especialmente las cuentas de servicio, son difíciles de supervisar y controlar los permisos de acceso. Como resultado, los equipos de seguridad a menudo tienen poca visibilidad sobre los datos y/o activos sensibles a los que acceden sus empleados con privilegios o por qué.
Otro escenario común para el exceso de acceso es cuando un empleado se traslada a una división diferente o asume un papel diferente dentro de la empresa u organización. Los niveles de acceso anteriores pueden quedar abiertos innecesariamente, puede que no se borren los accesos anteriores de su portátil o que no se recojan o desactiven sus fobs. Cada uno de estos son riesgos situacionales comunes que pueden aumentar el riesgo de un ataque basado en la identidad.
La falta de visibilidad del acceso y el comportamiento de los usuarios aumenta el riesgo basado en la identidad
La falta de visibilidad del acceso, las identidades y los comportamientos de los usuarios es el hilo conductor de la mayoría de los riesgos situacionales, incluidos los cinco enumerados en este artículo. Es más, los equipos de los SOC se enfrentarán a retos cada vez más difíciles a la hora de defender a sus organizaciones frente a los riesgos basados en la identidad.
Hay varias razones para ello.
La explosión de las aplicaciones SaaS ha dificultado mucho a los equipos de seguridad informática el acceso y la visibilidad de las aplicaciones SaaS, la identidad de los usuarios y su comportamiento dentro de la red.
La expansión del trabajo a distancia ha hecho más difícil determinar la identidad y la necesidad de que terceros empleados accedan a la red. Esta tendencia continuará.
El rápido aumento del número de identidades aumenta la amenaza del riesgo basado en la identidad. Las estadísticas son asombrosas. Alrededor del 98% de las organizaciones han visto aumentar el número de identidades (ISDA). Además, por cada identidad humana, hay 45 identidades de máquinas/servicios, y el 62% de las organizaciones carecen de visibilidad sobre los empleados o máquinas que acceden a sus datos y activos sensibles.
Estos factores hacen que los programas IAM sean menos eficaces de lo necesario y pueden permitir que usuarios no verificados obtengan acceso desde direcciones IP no autorizadas y accedan a datos restringidos, o algo peor. Sin visibilidad, hacer cumplir las normas a los empleados que comparten cuentas y determinar la situación laboral de una persona o su comportamiento dentro de la red a nivel granular puede ser difícil, si no imposible.
Aprovechar la IA para obtener visibilidad y contexto situacional sobre la identidad y el comportamiento de los usuarios
La clave para comprender y detener el riesgo basado en la identidad es ser capaz de dar la vuelta a la tortilla en los principales factores de riesgo situacional. Esos factores incluyen la falta de visibilidad de la identidad del usuario, garantizar que el nivel de acceso del usuario a la red es el adecuado y la capacidad de contextualizar rápidamente el comportamiento del usuario. Su equipo SOC debe ser capaz de verificar automáticamente a un usuario, obtener al instante visibilidad del comportamiento del usuario dentro de la red y la cloud, y correlacionarlo inmediatamente con el nivel de acceso y las funciones del usuario, independientemente de dónde se encuentre.
Determinar la identidad y la necesidad de los empleados de terceros que acceden a la red y a la cloud, por ejemplo, es un reto común. Sin embargo, puede resolverse con la solución adecuada que ofrezca una visibilidad profunda de los entornos híbridos de las organizaciones. Pero sin visibilidad, aplicar las normas para que los empleados compartan cuentas, determinar la situación laboral de una persona o su comportamiento dentro del entorno híbrido a un nivel granular, puede ser difícil, si no imposible.
Además, proteger a las organizaciones con respuestas apropiadas automatizadas también es necesario para minimizar el riesgo de ataques basados en la identidad. La reparación instantánea impulsada por IA permite a su equipo detener comportamientos no autorizados, eliminar accesos y evitar brechas, abusos de aplicaciones, exfiltraciones u otros daños, en cuestión de minutos, no de meses.
Eso es muy importante.
Vectra ITDR aprovecha Attack Signal Intelligence artificial Attack Signal IntelligenceIntelligenceTM para señalar comportamientos de identidad activos y encubiertos, como administradores furtivos, cuentas de servicio mal utilizadas e inicios de sesión maliciosos en múltiples superficies de ataque. Con un contexto completo de los incidentes y el conocimiento del comportamiento de los atacantes, garantiza una visión de 360 grados de los ataques basados en la identidad con >80% menos ruido de alerta que otras herramientas.
Vectra AI ofrece una claridad de señal, una cobertura y un control inigualables, lo que permite a las organizaciones ver, comprender y detener inmediatamente los inicios de sesión no autorizados, el acceso al motor de scripting, el abuso de aplicaciones de confianza, los cambios en la federación de dominios y el abuso generalizado de privilegios en la red y en cloud antes de que se produzcan ataques de ransomware y filtraciones de datos.
Reserve hoy mismo un análisis gratuito de las deficiencias en la exposición a la identidad y evalúe su nivel de protección en caso de una posible violación de identidad.