Por Alan Mai, especialista en ciberseguridad y CEO de Bloka.
En la actualidad, tanto en Chile como en otros países de la región, los responsables de TI suelen culpar a la falta de presupuesto (en todas sus formas: para contratar recursos, capacitarlos, dotarlos de tecnología, tenerlos disponibles 24×7, etc.) como el principal factor ante la imposibilidad de contener ataques, principalmente de ransomware.
Si bien esto no deja de ser cierto para la mayoría de ellos, incluso en pleno 2022 y con el viento a favor que dejó la post-pandemia (con la aceleración de la transformación digital y la penetración de la tecnología para la gran mayoría de las empresas), en los hechos falta mucho camino por recorrer para que la alta dirección apoye con más recursos al responsable de TI en su afán por mejorar los niveles de protección de su organización.
Sin embargo, las estadísticas[1] más recientes en países desarrollados indican que el presupuesto no fue un problema en empresas que fueron víctimas de ataques de ransomware, por ejemplo. Esto es muy importante, porque deja en evidencia que no alcanza con tener presupuesto suficiente. El ejercicio de la disciplina de la ciberseguridad requiere, en la actualidad, un conjunto de factores combinados en su justa medida para que su gestión sea exitosa.
No debemos, por ello, perder las esperanzas de mejorar nuestra capacidad de resiliencia, pero sí aprovechar todas las oportunidades que se nos presentan. De esto se trata esta columna y más adelante explicaré por qué la autenticación multifactor representa una de esas oportunidades que el responsable de TI no puede dejar pasar; pero antes, necesitamos tener algo de contexto y datos duros.
Cuando analizamos información pública disponible de alguno de los principales fabricantes de ciberseguridad[2] podemos ver cómo en Chile, durante el período comprendido entre el 24 de junio de 2022 y el 24 de julio de 2022, el porcentaje de malware de Día Cero supera el 50% del malware total analizado. Esto no es casualidad ni algo aislado de Chile. Hace ya algunos años que sucede en la región, y tiene sentido que así lo sea: si usted fuera el atacante, ¿elegiría atacar con un malware que cualquier antivirus pudiera frenar o uno desconocido para el fabricante?
Por si se está preguntando qué es malware de Día Cero o desconocido, estamos hablando de aquel malware (software malicioso) que aprovecha vulnerabilidades que hasta el momento son desconocidas para el fabricante que tiene esa vulnerabilidad, pero que ya están siendo explotadas por los atacantes. O, dicho de otro modo, si estuviéramos hablando de vacunas, una variante de COVID-19 para la que aún no hay vacuna, podría ser una variante de Día Cero.
Entonces, si un antivirus tradicional (vacuna contra COVID-19) no puede detectar malware de Día Cero (nueva variante), ¿cómo puedo protegerme? No compete a esta columna centrarnos en eso, aunque la respuesta corta sea contando con capacidades de detección por compartimiento y no únicamente basadas en firmas tradicionales. Lo que sí compete a esta columna -y es el punto que quiero explicar- es que los atacantes utilizan para distribuir este tipo de malware, ataques a credenciales de usuarios que no están correctamente protegidas, como uno de los principales vectores de ataque. Un intento de phishing a una credencial sin un segundo factor de autenticación podría encuadrarse en un caso así.
Ahora, imagínese que la política de trabajo remoto que se mantuvo en su empresa después del período de aislamiento de comienzos de la pandemia implica conexiones por el protocolo de Escritorio Remoto de Microsoft (RDP por sus siglas en inglés), piense por un instante cómo está protegiendo las credenciales de acceso. El RDP de Microsoft está fuera de soporte hace ya años y aún siguen descubriéndose nuevas vulnerabilidades. Usted tomó la precaución de no publicar RDP en sus puertos standard (si lo hubiera hecho, no hubiera durado ni un instante en ser víctima de un ataque, y si no me cree, pruébelo en un entorno de laboratorio, será instantáneo). ¿Pero qué precaución tomó para proteger la credencial del usuario que quiere acceder?
Para que se haga una idea, un ataque de fuerza bruta puede, en la actualidad, vulnerar una contraseña que combine mayúsculas, minúsculas, números y símbolos de 6 caracteres, de forma instantánea[3] y si el número de caracteres asciende a 8, solo le tomaría 39 minutos. Estos números se reducen año a año conforme aumenta nuestra capacidad de cómputo.
Cuando combinamos el porcentaje de malware de Día Cero que circula en internet, lo extendidas que están las herramientas de acceso remoto y el nivel de privilegios que tienen los usuarios una vez que acceden a la red, con los tiempos que le puede tomar a un atacante vulnerar una contraseña (o los “no-tiempos” ya que en muchos casos es instantáneo), el cocktail puede ser letal para la organización.
En ciberseguridad, como en cualquier disciplina en la que se gestionan riesgos, hablamos de Quick-wins: aquellas medidas que son de baja dificultad para su implementación, pero que tienen un alto impacto en la gestión de algún riesgo.
En mi opinión, la autenticación multifactor (MFA por sus siglas en inglés) representa hoy un quick-win para el área de TI en materia de ciberseguridad para las organizaciones que aún no lo han implementado. Tanto el costo para la organización como la barrera cultural para el usuario se ha reducido mucho en el último tiempo. Contar con una solución corporativa, que le permita al administrador de la red unificar todas las credenciales corporativas del usuario en un solo lugar, incluyendo la gestión de las contraseñas, es clave para mejorar la seguridad de la identificación del usuario.
Nada es infalible, ya existen múltiples técnicas para vulnerar un MFA y en los próximos años veremos el auge del “passwordless”. Pero mientras tanto, es mandatorio que, de una vez por todas, las organizaciones adopten como una medida standard más de su stack de tecnologías de ciberseguridad, una solución corporativa de MFA.
[1] Reporte de Sophos “The State of Ransomware 2022”.
[2] Threat Landscape.
[3] Infografía “Time it takes a hacker to brute force your passward in 2022” de Hive Systems.
