Por Douglas Wagner,
Responsable técnico de Ciberseguridad
Larga vida de la contraseña
En la Biblia, y más concretamente en el capítulo 12 del Libro de los Jueces del antiguo testamento, se describe el uso de la contraseña “shibboleth” por los galaaditas para distinguirse de sus enemigos efraimitas. Más recientemente, en la época romana, el tesserarius era el oficial de cada unidad militar que fijaba diariamente una nueva contraseña que utilizaban los soldados romanos para facilitar sus movimientos en la zona.
Así que, en la antigüedad, si uno sabía la contraseña, se identificaba la persona como un camarada legítimo y, a la vez, autentificaba esta identificación, al saber la contraseña actual del día (en el caso de los romanos) o al pronunciarla correctamente (en el caso de los galaaditas).
Hay muchos más ejemplos a lo largo de la historia de cómo se han identificado y autentificado a las personas en situaciones de acceso o paso restringido. Una vez establecido el mecanismo, en general no era necesario modificarlo, y en muchos casos podrían pasar años antes de tener que cambiar este mecanismo al encontrarlo débil o comprometido. Esto se debe a que en una situación donde esta comprobación se realiza entre dos personas cara-a-cara, es complicado repetir y repetir el proceso hasta acertar la contraseña, sin levantar las sospechas y el rechazo de quién hace la comprobación.
No obstante, en tiempos modernos digitales, la utilización de contraseñas no es entre dos personas, si no entre una persona y un entorno informático, o incluso entre dos entornos informáticos. Además, el “mecanismo” de autenticación de la contraseña de un usuario se ha convertido en muchos casos en un algoritmo matemático, donde un ordenador con suficiente capacidad y tiempo podría quebrantar una contraseña en cada vez menos tiempo, gracias a la “Ley de Moore” que observa que los procesadores informáticos duplican su capacidad cada dos años.
Cómo actuar ante los riesgos asociados al acceso con contraseña
Ya no es suficiente sólo tener una Política de Seguridad que exija reglas complejas de composición de contraseñas (p.ej. un número cada vez mayor de caracteres; una mezcla de caracteres alfanuméricos y de caracteres especiales; letras mayúsculas y minúsculas; contraseñas no fácilmente adivinables ni repetidos; etc.); ni que se cambien cada vez más frecuentemente.
¿Ha muerto la contraseña? No, sigue siendo muy útil para autenticar al usuario de un sistema informático; no obstante, mediante un Análisis de riesgos para la información, deberíamos evaluar si puede haber un motivo para que un actor malévolo intente acceder a un entorno informático y además disponga de los medios para forzar este acceso, sobre todo mediante “ataques de fuerza bruta”.
De allí, la organización puede identificar las medidas preventivas que reducen estos riesgos. A menudo, estas medidas son de naturaleza tecnológica, como, por ejemplo, algo sencillo como limitar el número de intentos de conexión, o, algo más complejo como utilizar un servicio Ciber SOC para identificar eventos de seguridad críticos incluyendo ataques masivos, y las medidas reactivas a tomar.
Autenticación más allá de las contraseñas
Si bien el grado de seguridad que brinda el uso de contraseñas ha sido afectado negativamente por la evolución de las amenazas a nuestros sistemas y la creciente capacidad de actores malévolos de atacarnos, el concepto básico detrás del uso de contraseñas sigue vigente: para permitir el acceso a información o un entorno restringido, es necesario identificar quién quiere entrar, y autenticar que sea quien dice ser. En aquellos casos donde una simple contraseña no nos da suficiente confianza en este proceso, tenemos que buscar otros mecanismos alternativos o complementarios para alcanzar esta confianza.
Por ejemplo, si buscamos un objetivo físico (como un teléfono móvil) o digital (como un token) que sólo puede tener la persona que quiere acceder a nuestro sistema informático, podemos tener confianza que no se trata de un hacker al otro lado del mundo que está intentando acceder a nuestra información.
Además, si la contraseña o una parte de la misma se genera sobre la marcha, se puede entregar de manera segura al usuario, y ésta dura sólo segundos o pocos minutos, podemos también reforzar y dar confianza al proceso de identificación y autenticación del usuario.
Estos mecanismos se conocen como Autenticación Multifactorial (MFA por sus siglas en inglés) o de autenticación fuerte/robusta (strong authentication) y nos proporcionan un nivel de mayor seguridad en entornos donde existe un riesgo elevado de intentos de acceso no autorizados.
La Historia se repite, pero se mejora
Para concluir, el Día Internacional de la Contraseña nos puede suscitar diferentes reflexiones sobre su uso:
- ¿Sirven para algo las contraseñas?: sí, sirven y mucho, el propósito de validar los usuarios que se conectan a un sistema. Como usuarios tenemos que realizar una buena gestión de nuestras contraseñas, cumpliendo con nuestras políticas de seguridad y, protegiendo las contraseñas para que no se desvelen.
- ¿Se están desfasando debido a las capacidades tecnológicas de los atacantes?: en parte es verdad, y según el grado de riesgo que sufren nuestros sistemas, nos podemos encontrar con la necesidad de introducir otros mecanismos complementarios en la validación de usuarios. No obstante, con mecanismos más o menos completos, siempre se trata de identificar y autenticar al usuario.
Desde ABAST somos conscientes que la gestión de accesos e identidades es una de las áreas de mayor preocupación para las empresas debido a los crecientes riesgos de seguridad. Para abordar estos desafíos, ofrecemos desde nuestra área de Ciberseguridad diversas soluciones y servicios para asegurar los accesos y evitar brechas de seguridad debido a suplantación de identidades, desde la revisión o definición de políticas a la implantación de soluciones específicas.
Por ejemplo, podemos ayudar en el despliegue de soluciones que permitan implementar una política de Zero Trust, basada en la premisa de que no se debe confiar en ningún usuario o dispositivo por defecto. Para este objetivo podemos usar tecnologías como la mencionada de autentificación multifactorial (MFA), la segmentación de red y soluciones específicas de gestión de identidades y accesos (IAM). Por otro lado, combinar la gestión de acceso a aplicaciones con Azure AD facilita la gestión centralizada de las identidades de los usuarios y los permisos de acceso a los recursos de la empresa. También, proporcionar a los usuarios un inicio de sesión único (SSO) reduce el riesgo de que se utilicen contraseñas débiles o que se compartan credenciales. Por último, como también hemos comentado, existen soluciones y servicios que pueden detectar comportamientos anómalos y alertar al equipo de seguridad para que pueda investigar y mitigar el incidente, y que son soluciones y servicios que también podemos ofrecer desde ABAST.
La implementación de soluciones de seguridad adecuadas puede marcar una gran diferencia en la eficacia y eficiencia de las operaciones de seguridad de la empresa.
