La frecuencia cada vez mayor de los ataques de phishing es asombrosa. Parece que casi todos los días otra empresa es víctima de malos actores que roban credenciales. Las estadísticas más recientes destacan que más del 80 % de las empresas han sufrido ataques de phishing EXITOSOS durante el último año. ¡Santo guacamole, eso es una locura! Durante bastante tiempo, las pequeñas y medianas empresas no pensaron que necesitaban fortalecer sus respectivas posturas de seguridad porque pensaban que no estaban en riesgo. La lógica era: “Bueno, somos una pequeña empresa, ¿quién diablos querría nuestros datos?” …Resulta que hay muchos más tipos malos que antes y no discriminan según el tamaño de su negocio. Los datos son datos y quieren conservarlos todos a cambio de un rescate.
Empresas de todas las formas y tamaños han dependido en gran medida durante la última década de los filtros de correo electrónico y de educar a sus empleados sobre el phishing como su principal elemento disuasivo. Si bien tiene buenas intenciones, es casi completamente inútil. Piénselo de esta manera… ¿cuál fue la última sesión de capacitación para empleados a la que realmente prestó atención? En pocas palabras, la dependencia de los sistemas tradicionales de vigilancia de los empleados y de filtrado de correo electrónico está demostrando ser insuficiente contra los modernos y sofisticados esquemas de phishing.
Entonces, ¿dónde vamos desde aquí? ¡Me alegra que hayas preguntado! La respuesta está en la implementación de autenticación multifactor (MFA) resistente al phishing. Sumerjámonos…
Muy bien, entremos en ello. ¿Qué es la MFA resistente al phishing? En pocas palabras, se trata de mecanismos de autenticación que están diseñados para ser inmunes a los intentos de phishing. A diferencia de las credenciales tradicionales que pueden ser interceptadas o robadas (contraseñas), las credenciales resistentes al phishing garantizan que la clave privada necesaria para la autenticación nunca quede expuesta ni transmitida. La MFA resistente al phishing lo mantiene a salvo de los intentos de los delincuentes de comprometer o subvertir el proceso de autenticación, lo que comúnmente se logra mediante phishing, ataques de fuerza bruta, ataques de intermediario, ataques de repetición y relleno de credenciales. La resistencia al phishing dentro de un mecanismo de autenticación se logra no solo exigiendo que cada parte proporcione prueba de su identidad, sino también su intención mediante una acción deliberada. Las contraseñas, los SMS y otras contraseñas de un solo uso (OTP), las preguntas de seguridad e incluso las notificaciones automáticas, contrariamente a la creencia popular, no se consideran mecanismos resistentes al phishing, ya que todos son susceptibles a algunos o todos los ataques enumerados anteriormente.
Ahora que estamos en la misma página sobre la definición de MFA resistente al phishing, echemos un vistazo a las opciones disponibles para usted hoy. Dos ejemplos destacados de estos sistemas son las claves de hardware FIDO2 y la tarjeta inteligente, cada una de las cuales ofrece métodos de autenticación sólidos para protegerse contra el acceso ilícito.
Autenticación con tarjeta inteligente es la forma más temprana y más confiable de verificación no phishing. Se basa en el framework autenticación basada en certificados X.509. Piense en ello como un “pasaporte digital”. Al recibir una tarjeta inteligente, se le incorpora un certificado único que funciona de manera similar a una tarjeta de identidad física. Esta contraparte digital permite que los servicios verifiquen las credenciales de un individuo con confianza. Al igual que un pasaporte, este certificado digital viene con una fecha de vencimiento. Si el certificado caduca o se revoca, los privilegios de acceso del usuario al sistema se rescinden automáticamente, lo que garantiza seguridad e integridad continuas.
Para abordar el complejo proceso de establecer una autoridad de certificación, la Alianza FIDO introdujo el marco FIDO2. Este enfoque innovador agiliza la autenticación al registrar directamente una clave criptográfica con el proveedor de identidad. Esto elimina el mantenimiento complejo comúnmente vinculado a la Infraestructura de Clave Pública (PKI) convencional, pero mantiene estrictos protocolos de seguridad. Con FIDO2, los usuarios disfrutan de una experiencia de verificación más fluida sin comprometer la sólida defensa contra el acceso no autorizado.
Muchas empresas se muestran escépticas acerca de la adopción de MFA resistente al phishing debido a conceptos erróneos e información desactualizada. Por ejemplo, un vistazo rápido a este hilo de reddit es un gran ejemplo de cuántos de los llamados “expertos en ciberseguridad” no saben nada sobre el tema, pero seguro les encanta compartir sus opiniones.
Desmentimos algunos de estos mitos:
Contrariamente a esta creencia, una vez que los usuarios se familiarizan con el proceso, se descubre que las credenciales resistentes al phishing son hasta cuatro veces más rápidas para iniciar sesión en comparación con los métodos tradicionales. Este proceso sencillo evita la necesidad de múltiples contraseñas y, en cambio, requiere una simple conexión del token y un PIN. Hablando por experiencia personal con las llaves de hardware, una vez que lo domines, te encantará.
¿Qué es más costoso? ¿Una llave de hardware ~$50 para los empleados, o que le roben los datos de su organización? La inversión inicial en claves de hardware y su gestión mensual puede parecer un factor disuasivo, pero los ahorros a largo plazo en procedimientos de restablecimiento de contraseñas y la reducción de las interacciones con el servicio de asistencia técnica serán significativos. Una vez que comprenda el retorno de la inversión sin contraseña; verás a través de este mito.
Este es un malentendido crítico. Si bien todos los métodos MFA mejoran la seguridad, no todos son antiphishing. Las credenciales resistentes al phishing son únicas por su capacidad de proporcionar una defensa superior contra una amplia gama de ataques que otros métodos no pueden frustrar.
Si ha llegado hasta aquí, probablemente se estará preguntando: “¿Cómo empiezo? ¿Cómo es la implementación?”. ¡Me alegra que hayas preguntado! Primero, querrás considerar todo el proceso para eliminar la contraseña, no solo el método emplearé. Incluso la seguridad de primer nivel es ineficaz si los usuarios finales la encuentran engorrosa y TI tiene dificultades para implementarla.
Querrá investigar para asegurarse de tener una comprensión profunda de la tarea en cuestión. Con el ánimo de ser útil, aquí hay algunos enlaces a recursos acreditados que pueden resultarle útiles…
1) MFA 101 resistente al phishing de AT&T. Similar a un curso de nivel inicial, esto le brindará una comprensión de alto nivel de lo que necesita saber. Muy útil para comprender las definiciones de términos clave asociados al tema.
2) La guía de CISA para la implementación de MFA resistente al phishing es increíblemente es revelador y tiene un par de secciones excelentes sobre consideraciones clave antes de la implementación y problemas comunes que puede encontrar durante el camino a seguir. Debe leer. ¡Gracias tío Sam!
3) Artículo de Yubico sobre Phishing-Resistant MFA. Excelente información de los líderes indiscutibles de la industria en Unphishable MFA. …muchas imágenes geniales para personas con inclinaciones visuales que le ayudarán a comprender mejor el proceso. …¡también nuestros buenos amigos y socios!
Los estudios indican que adoptar un sistema sin contraseña puede disminuir la apropiación de cuentas en un 99 %. Con las últimas herramientas tecnológicas, las empresas pueden realizar una transición rápida a MFA resistente al phishing; en algunos casos, en tan solo tres días después de la evaluación inicial. ¿No me crees? Mire el vídeo a continuación para ver lo fácil que es realmente comenzar. No tarde en fortalecer su negocio contra las amenazas de phishing. Solicite hoy mismo una evaluación de identidad gratuita por parte de nuestro equipo de expertos.
