Exploremos cómo implementar MFA resistente al phishing para la fuerza laboral moderna de hoy no es algo que deba esperar. y es un paso absolutamente crucial para cualquier ingeniero de seguridad que se tome en serio IAM. …comencemos con una pequeña historia (hipotética).
Imagínese esto: un empleado de su empresa recibe una llamada aparentemente rutinaria de un especialista de TI externo sobre un problema de backend. La ‘solución’ implica actualizar su contraseña a través de un enlace proporcionado. Parece bastante sencillo, pero este simple acto podría ser simplemente una estafa de phishing disfrazada, inteligentemente diseñada para eludir las medidas de seguridad tradicionales. Cada vez más piratas informáticos utilizan este método relativamente sencillo para robar las credenciales de su organización.
Esta no es una situación hipotética sino una amenaza real en el panorama digital actual. …¿recuerdas la el hack de MGM? La ciberseguridad no se trata sólo de proteger los datos; se trata de salvaguardar la integridad y la confianza de su empresa. Las violaciones de datos no solo son costosas en términos de pérdidas financieras, que, según el Informe sobre el costo de una violación de datos de IBM, promediaron 4,24 millones de dólares por incidente en 2023 – pero también en términos de daño a la reputación.
La autenticación multifactor tradicional (MFA) es un paso en la dirección correcta, pero no es infalible. Es vulnerable a sofisticados ataques de “evitación MFA”, donde los atacantes pueden obtener nombres de usuario, contraseñas e incluso códigos MFA. Estos ataques no son meros riesgos teóricos, sino que se han registrado en incidentes del mundo real, incluso contra organizaciones con equipos de seguridad sólidos. ¿No nos crees? Eche un vistazo a algunos de los hackeos del 2023.
Aquí es donde las tecnologías MFA “resistentes al phishing”, como las tarjetas inteligentes y Claves de seguridad FIDO2, entran en juego. A diferencia de la MFA normal, estos métodos proporcionan una barrera física a los ataques de phishing. Funcionan creando un protocolo de enlace criptográfico único entre la clave y el servicio, lo que inutiliza las credenciales robadas sin la clave física. La adopción de estas tecnologías es más que una medida de seguridad; es una necesidad en una era donde las amenazas cibernéticas son cada vez más sofisticadas.
Para los directores ejecutivos y ejecutivos de TI, el mensaje es claro: equipe a cada empleado con llaves de seguridad. Si aún no ha oído hablar de ellas, o quizás no ha tenido tiempo de investigar esta tecnología, las llaves de seguridad son pequeños dispositivos externos que se conectan a su computadora o teléfono a través de un puerto, un biométrico o Bluetooth para permitir inicios de sesión seguros. Dado que sólo el propietario de la clave tiene acceso físico a su dispositivo, las estafas de phishing no funcionan e incluso las contraseñas débiles tienen una capa adicional de protección. El análisis posterior a una infracción suele mostrar un aumento en la adopción de estas claves. Surge la pregunta: ¿por qué esperar a que se produzca una infracción? Las medidas proactivas no sólo ahorran costes sino que también refuerzan el compromiso de su empresa con la seguridad. Más vale prevenir que curar, ¿verdad?
Consejo profesional para proveedores de SaaS: muchos de sus clientes estaban convencidos de trasladar sus datos a la nube porque pensaban que sería más seguro. Ahora esperan que usted tome todas las precauciones necesarias para mantener sus datos seguros. En otras palabras, su seguridad se ha convertido ahora en su negocio y en su reputación. Los proveedores de la nube deberían ir más allá de poner las claves de seguridad a disposición del personal y convertirlo en un mandato político para toda la empresa. Esas pequeñas claves podrían marcar la diferencia entre un ataque fallido y uno que exponga los datos de sus clientes.
Sin embargo, la implementación de MFA resistente al phishing en toda la organización no está exenta de desafíos. Los obstáculos comunes incluyen la resistencia al cambio y la falta de comprensión de la tecnología. En Keytos, ofrecemos guías de implementación, videos, seminarios web como el siguiente y documentación diseñados para abordar estos problemas. Nuestro objetivo es proporcionar un plan para una integración fluida en su marco de seguridad existente.
En una era en la que incluso los empleados bien capacitados pueden ser víctimas de ciberataques sofisticados, la capacitación y las medidas de seguridad tradicionales son insuficientes. Las claves de seguridad ofrecen una solución tangible y eficaz, que convierte una posible infracción en un intento fallido. Su adopción no se trata sólo de actualizar la tecnología; se trata de evolucionar su mentalidad y prácticas de seguridad. Para obtener más información y datos, recomiendo explorar los recursos de FIDO Alliance y CISA, incluido el programa informativo “Más que una contraseña” y las ideas de la directora Jen Easterly sobre la autenticación FIDO. Estos recursos ofrecen información valiosa sobre las últimas tendencias en ciberseguridad y estrategias de prevención.
La autenticación basada en certificados es la mejor manera de cumplir con la orden ejecutiva 14028 y proteja su organización mediante el uso de credenciales antiphishing sin contraseña. CBA se basa en certificados X.509. Estos certificados deben ser proporcionados por una Autoridad certificadora (CA) reconocida dato curioso: ¡EZCA de Keytos está en la lista! Quizás estés pensando: “¡Oye! ¿Por qué necesito herramientas PKI de terceros para esto?” Bueno, desafortunadamente (y al estilo típico de Microsoft), Microsoft no ofrece una CA nativa integrada. Mire nuestra guía definitiva sobre cómo dejar de usar contraseñas para obtener más información ¡Sobre cómo puedes convertir esto en un proyecto de bricolaje utilizando nuestra tecnología patentada!
¿Aún no estás seguro de estar preparado para afrontar este proyecto? ¡No hay problema! Utilice este enlace para programar algo de tiempo para hablar con nuestros expertos en identidad cuando le convenga. ¡El equipo de Keytos se enorgullece de hacer que la autenticación sin contraseña sea posible para cualquiera! ¡Estamos seguros de que una conversación rápida con el equipo le ayudará a sentirse cómodo a la hora de dar el siguiente paso en el camino de su organización hacia la confianza cero! Mientras tanto, eche un vistazo a algunas de nuestras lecturas recomendadas para obtener más información sobre cómo crear credenciales antiphishing para su organización.
