“Hagamos las cosas diferente, pensemos diferente, actuemos diferente, porque lo que la industria de la seguridad ha venido haciendo no ha funcionado”. Estas fueron las palabras de Amit Yoran, presidente de RSA durante la presentación inaugural de la RSA conference 2015, llevada a cabo entre el 20 y 24 de abril en San Francisco, Estados Unidos.
El directivo discutió el panorama actual de la industria de la seguridad y afirmó que si el año 2014 fue el año de las Mega brechas, el 2015 sin duda será el año de las Súper Mega brechas.
En la misma línea de una de nuestras entradas recientes (La seguridad tradicional no es suficiente) Yoran indicó que la industria de la seguridad de la información ha adoptado un pensamiento defensivo, pues para mantener a los delincuentes alejados se siguen construyendo paredes cada vez más altas alrededor del castillo, ahora paredes de nueva generación, pero esto no soluciona los problemas más importantes.
Aunque todos ya sabemos que los perímetros no son suficientes, ese pensamiento sigue con nosotros y todavía recurrimos a esto esperando que funcione. Tener perímetros no es malo simplemente, es un recurso limitado, incapaz de detectar las amenazas que más nos preocupan. Adicionalmente, la realidad del perímetro es otra con la introducción de la computación en la nube, la movilidad, etc.; pero se debe tener en cuenta que esto no significa que las personas hayan dejado de usar servidores locales, redes privadas y que ya no tengan activos detrás de un perímetro.
Algo similar sucede con las soluciones de malware, son buenas, funcionan, pero no deben ser tomados como una estrategia contra amenazas avanzadas. De acuerdo con el reporte anual de Verizon en 2014, el malware fue el método usado, en un poco menos de la mitad de todas las brechas e intrusiones, y en los casos que se divulgó información personal, el método más popular fue atacar aplicaciones web, donde en el 95% de los casos los criminales usaron credenciales robadas y accedieron fácilmente. Vemos entonces que en un mundo donde la realidad del perímetro ha cambiado y donde existen menos puntos a los cuales aplicar seguridad, la identidad y la autenticación importan mucho más.
Debemos admitir que las personas son el eslabón más débil de la cadena, o como dijo Yoran: “Quién necesita ataques de día-cero cuando tienes la estupidez humana”. Aunque suene un poco cruel, es cierto. Incluso las compañías que incorporan altos niveles de gestión en seguridad de contraseñas pueden ser víctimas cuando un empleado comete un error al iniciar o cerrar sesión, si no son conscientes sobre phishing o malware por ejemplo. Los criminales siguen explotando esta vulnerabilidad, lo hacen todos los días.
Afortunadamente, para superar esta falencia existe la autenticación de segundo factor (2FA) o autenticación fuerte, que consiste en un proceso de identificación para acceder a un sistema, donde se requiere que proporcione `algo que usted sabe’, como una contraseña o un numero PIN, ‘algo que usted tiene’, como una tarjeta de crédito, un teléfono móvil o un token de seguridad o `algo que usted es’ como una huella digital, reconocimiento facial, de voz, retina, etc.
Cuando la autenticación fuerte es aplicada se crea al instante una capa extra de protección, de este modo incluso si una contraseña no es lo suficientemente fuerte, habrá otra línea de defensa.
Aunque las soluciones de autenticación fuerte han existido desde hace muchos años, es hasta ahora que se está presentando un aumento de la utilización de las mismas. Una de las principales razones para que esto esté sucediendo es que tradicionalmente el costo de adquisición de soluciones de este tipo era grande, y solo asequible para empresas con chequeras abultadas. Hoy la nube ha permitido que surjan diferentes soluciones de autenticación como servicio, que traen grandes ventajas, como la rapidez de su puesta en marcha y escalabilidad, sin necesidad de requerir inversiones de capital iniciales en infraestructura y mantenimiento, además de minimizar los costos asociados a la curva de aprendizaje interna.
Fuentes: RSA, Verizon
