En el mundo de la ciberseguridad, estamos expuestos a una avalancha de recomendaciones y listas "n" para mejorar la seguridad de TI. El impulso para estas recomendaciones puede ser el surgimiento de nuevas amenazas, infracciones, o para transmitir un análisis detallado de varios vectores de ataque peligrosos. Si bien estos artículos y blogs desempeñan un papel crucial para ayudar a educar tanto a la comunidad de TI como los que no trabajan con TI, estas publicaciones suelen tener un enfoque limitado. Pueden tener algunas características universales, pero con frecuencia no son relevantes para que las adopten todos, en todas partes y en todo momento. Aquí es donde entra este blog.
¿Cuál es la recomendación de seguridad número uno, universal y la que todos adoptan? Te daré una pista: está relacionada con las contraseñas.
Para sentar las bases de esta recomendación, consideremos todas las recomendaciones infosec que experimentamos a diario. Estos incluyen todo, desde habilidades de seguridad y capacitación en concienciación cibernética hasta la administración de parches. Se dirigen a los problemas desde el phishing a la administración de vulnerabilidades, pero no son necesariamente relevantes para todos los empleados dentro de una organización, ni son necesariamente relevantes para cada persona en sus dispositivos personales en el hogar. Por ejemplo, un dispositivo predeterminado de Windows 10 o MacOS Mojave parcheará automáticamente las vulnerabilidades de seguridad y se reiniciará, si es necesario, manteniendo el problema fuera de la vista y fuera de la mente del usuario promedio. Además, las recomendaciones para la capacitación en seguridad cibernética generalmente se adaptan a un tipo específico de organización y no necesariamente se aplican en diferentes verticales debido a una serie de variables.
Si bien es de conocimiento general evitar el correo electrónico no deseado (spam), y los empleados a menudo reciben capacitación sobre cómo identificar correos electrónicos sospechosos y se les aconseja no hacer clic en enlaces sospechosos, es interesante que las generaciones más jóvenes tengan muchas menos probabilidades de adoptar el correo electrónico fuera de la empresa corporativa. La mensajería instantánea y otras formas de medios sociales son sus herramientas de elección, lo que sugiere que el correo electrónico tradicional puede desaparecer lentamente como la correspondencia postal o la máquina de fax. La desaparición del correo electrónico puede tardar algunas décadas más en suceder, pero este cambio está en marcha.
Todo esto ayuda a refinar aún más nuestra recomendación. Recuerde, debemos considerar una recomendación universal que se traduzca en todos.
Cómo solucionar un problema de seguridad de mil años
Independientemente de la persona en el hogar o en el trabajo, lo único que todos usan son las contraseñas. Usamos contraseñas para el trabajo, para recursos en Internet, para redes sociales, para nuestras aplicaciones. Los usamos en forma de códigos de acceso y PIN para banca, dispositivos móviles y sistemas de alarma para oficinas y hogares. Las contraseñas son omnipresentes, y las usamos constantemente, incluso en sistemas más nuevos que irónicamente afirman no tener "contraseñas". En estos casos, un mecanismo bajo el capó sigue identificando sus derechos de acceso y almacenando "de alguna manera".
Las contraseñas se remontan al menos a la era de los militares romanos. Las contraseñas una vez fueron talladas en madera y pasadas por soldados a través de la guardia activa en servicio. En esencia, las contraseñas eran un recurso compartido, que (deberíamos) reconocer es una responsabilidad, ya que varias personas tendrían conocimiento de las contraseñas en un momento dado.
Hoy en día, el almacenamiento más común de cualquier contraseña se encuentra dentro de un solo cerebro humano. Asignamos una contraseña a un sistema o aplicación, la recordamos cuando necesita ser utilizada y, con suerte, la recordamos cada vez que la cambiamos. Nuestros cerebros están llenos de contraseñas y, a menudo, las olvidamos, las reutilizamos, necesitamos compartirlas y nos vemos obligados a documentarlas en post-it, hojas de cálculo e incluso a comunicarlas por correo electrónico o mensajes de texto SMS (una muy mala práctica de seguridad).
Estos métodos inseguros para crear, compartir y reutilizar contraseñas son responsables de los tipos de brechas de datos que de forma rutinaria son las noticias de los periódicos, y sirven como cuentos preventivos de lo que está en alto riesgo de suceder cuando no se cumplen las buenas estrategias de gestión de contraseñas. Las ramificaciones entrecruzan nuestra vida profesional y personal.
Por lo tanto, la recomendación de seguridad más importante para todos es:
Asegúrese de que cada contraseña que use sea única y no se comparta con ningún otro recurso (incluidas las personas) en ningún otro momento.
Si bien reconocemos que recordar una lista de contraseñas ya considerable y en constante expansión (un promedio de 120 para el usuario corporativo de hoy en día) es improbable para la mayoría de los usuarios, existen herramientas, soluciones y técnicas de administración de contraseñas para hacer que esto sea una realidad. Por lo tanto, va un largo camino hacia la reducción de amenazas relacionadas con contraseñas.
Los sistemas operativos, navegadores y aplicaciones modernos pueden ayudar a crear contraseñas únicas para cada recurso, y almacenarlas de forma segura para recuperarlas en lugar de que un humano tenga que recordar cada uno de ellas. Básicamente, las contraseñas se almacenan detrás de una única contraseña "maestra" (también denominada "clave" o "secreto") que solo la persona conoce. Si bien esta es una buena solución para usuarios domésticos y de pequeñas empresas (hasta cierto punto), no se adapta a la mayoría de las empresas que necesitan compartir cuentas (debido a limitaciones de tecnología) y genera automáticamente contraseñas únicas, como para mantenerse al día con los cambios de los empleados o para cumplir con las normas de cumplimiento normativo.
Otra buena práctica de seguridad a tener en cuenta: una contraseña por sí sola nunca debe ser el único mecanismo de autenticación para datos críticos, sistemas confidenciales y potencialmente operaciones diarias en esos recursos. La autenticación multifactor (MFA) o la autenticación de dos factores (2FA) debe garantizar que la identidad correcta esté utilizando una contraseña única por cuenta cuando se requiere autenticación.
Un mérito clave de esta recomendación de seguridad universal es que garantiza que si su contraseña se roba o se use de manera inadecuada, solo se puede aprovechar contra el recurso correspondiente asignado (si no está presente MFA o 2FA). Si las contraseñas son únicas, un actor de amenazas no puede usar una cuenta y contraseña comprometidas para atacar otros recursos. Las opciones y el movimiento de los atacantes son significativamente limitados, aunque podrían tratar de aprovechar técnicas avanzadas para robar otras credenciales del sistema que han comprometido, por ejemplo, eliminando las contraseñas de la memoria. En ese caso, no solo generar contraseñas únicas, sino también rotar las contraseñas con frecuencia ayudará a mitigar el ataque. Aquí es donde BeyondTrust puede proporcionarle una solución integral.
Password Safe de BeyondTrust es una solución para la gestión privilegiada de contraseñas en toda la infraestructura de información y seguridad de una organización. Password Safe ofrece administración automatizada para cuentas y contraseñas confidenciales (incluida la administración de claves SSH), como cuentas administrativas compartidas, cuentas de aplicaciones, cuentas administrativas locales y cuentas de servicio, en casi todos los dispositivos habilitados para IP. Esto ayuda a garantizar que esta recomendación de seguridad superior se pueda implementar en cualquier organización para imponer una seguridad de contraseña empresarial sólida.
Además, se incluye la funcionalidad de solicitud, aprobación, monitoreo y administración de sesiones y flujo de trabajo de recuperación para el acceso del usuario final a las cuentas con privilegios administrados. Esto ayuda a controlar cuándo se usan las contraseñas y, lo que es más importante, cómo se usan.
Para obtener más información sobre esta recomendación y acerca de Password Safe, contáctenos. Estamos listos y capaces de mejorar la postura de ciberseguridad de su organización.
Privileged Password Management Explained (White Paper)
Password Safe (Datasheet)
The Little Password That Could: How a Reused Password Could Vaporize Your Enterprise (Webcast)
Modernizing Your Privileged Password Security (Blog)
Secrets Management Overview & 7 Best Practices (Blog)
What is Privilege Management and Where Do You Start? (White Paper)
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
