Los siete mitos de la ciberseguridad que dañan los negocios

0
28

Dan Woods, vicepresidente del Shape Intelligence Center, ha identificado siete mitos de seguridad cibernética que pueden dañar el negocio y la estabilidad de las empresas. Aquí están en detalle.

La autenticación multifactorial evita el relleno de credenciales
La autenticación multifactorial (MFA) es una gran herramienta para la seguridad informática, pero no impide el credential stuffing. Cuando un hacker intenta iniciar la sesión con credenciales incorrectas, el servidor responderá con un mensaje de error. Sin embargo, si las credenciales son correctas, el servidor requerirá un segundo factor de autenticación. Sin embargo, el atacante habrá obtenido información y ésta podrá ser utilizada para apoyar un nuevo ataque.

Una vez que los atacantes saben cuáles son las credenciales correctas, pueden centrarse en los esquemas para obtener acceso al segundo factor de autenticación, utilizando técnicas de ingeniería social, port-out o intercambio de SIM. En resumen, el MFA es fundamental, pero no asuma que es una garantía para evitar el relleno de credenciales.

Sólo una pequeña parte del tráfico de acceso está automatizado
Las empresas tienden a subestimar el número de ataques que se producen mediante métodos automatizados. Botnets, proxies abiertos, dispositivos de IO comprometidos, VPNs alimentados por la comunidad, servidores virtuales, etc., todo lo cual permite a los atacantes lanzar ataques altamente distribuidos utilizando millones de direcciones IP en todo el mundo. Las contra medidas existentes, como los cortafuegos de aplicaciones web, suelen detectar sólo una pequeña parte del tráfico de ataque, generalmente de las 10 IP más «ruidosas». Esto significa que la mayoría de las IP de bajo volumen carecen de las contramedidas necesarias y son estas IP las que generalmente son responsables de la mayor parte del tráfico de ataque.

Los CAPTCHAs detienen a los bots
CAPTCHA llama la atención inmediatamente, pero son sólo una pequeña molestia para los atacantes. Hay empresas especializadas en el reconocimiento de CAPTCHAs, como la empresa rusa 2CAPTCHA, que ofrece a los hackers acceso automatizado a la API de un equipo de trabajadores en línea que se pasan el día resolviendo CAPTCHAs para permitir ataques automatizados. Los CAPTCHAs son poco más que una farsa de ciberseguridad, y ciertamente no detendrán a los hackers más motivados.

Las aplicaciones de «integración» financiera se toman la seguridad muy en serio
Tal vez use aplicaciones como Mint o Plaid para acceder a cuentas bancarias y controlar sus finanzas personales y familiares. También existen aplicaciones similares para los puntos de fidelidad, que acceden a diferentes cuentas con tiendas, hoteles y aerolíneas para agregar compras, reservas y saldos de puntos de fidelidad. Estos servicios ofrecen una visión simplificada de su situación financiera, lo que resulta útil cuando se tienen muchas cuentas y cuentas bancarias diferentes y no se desea tener que acceder a cada una de ellas una por una.

Estos programas «integradores» son, sin duda, grandes herramientas para mostrar toda la información junta en una sola pantalla, pero para ello requerirán el nombre de usuario y la contraseña de cada cuenta para poder vincular la cuenta al agregador y seguir accediendo y recopilando información de todas las cuentas.

El problema es que los hackers aman los agregadores! Usarán pares de nombres de usuario y contraseñas robados, comprados en la web oscura, y los probarán a nivel de código en el formulario de inicio de sesión de cientos de otros sitios web, a través de los agregadores. La gente suele reutilizar los nombres de usuario y las contraseñas y, de este modo, el relleno de credenciales puede permitirles acceder a miles de cuentas.

La complejidad es necesaria para proteger a los clientes y a la marca
Siempre ha existido la creencia generalizada de que la seguridad de la información debe ser de alguna manera frustrante para ser eficaz. En realidad, la ciberseguridad no es como hacerse un tatuaje, ¡ no debería doler!

La verdadera ciberseguridad para ser excelente debe realizarse sin el conocimiento del usuario. La biometría del comportamiento, por ejemplo, se realiza en segundo plano y analiza silenciosamente las teclas, el tacto, la dinámica del ratón y la orientación de los dispositivos para establecer el perfil del usuario y protegerlos. Todos estos datos se analizan y evalúan para calcular la relación entre el comportamiento actual del usuario y su comportamiento esperado, derivado de los datos históricos, para evitar que los falsos usuarios tomen el control de las cuentas.

Este tipo de seguridad informática es considerablemente más válido que los accesos tradicionales, también porque, si los sistemas de fondo no pueden verificar la fiabilidad de un usuario determinado con un nivel aceptable de confianza, se requerirá la MFA (autenticación multifactorial) para confirmar aún más la identidad: ésta debería ser la única complejidad adicional que un usuario debería experimentar.

Si no hemos sufrido ninguna pérdida, no ha habido ningún fraude
El fraude es un fraude, incluso sin pérdida de datos. De lo contrario, sería como decir que no puedes tener una enfermedad si no muestras ningún síntoma, y ese es un concepto completamente equivocado. El fraude se produce cuando los piratas informáticos cometen la infracción, y se considera una actividad ilegal independientemente de que se produzca un robo. Para dar un ejemplo concreto, si un hacker accede a una cuenta de correo electrónico, está cometiendo un fraude aunque no haya «robado» nada.

En algunos casos el atacante simplemente consigue acceso a algunas cuentas y se queda allí, en silencio. Esto ya es un fraude y, de hecho, no es raro que alguien entre en la empresa mucho antes de que se detecte un ataque.

Los criterios para definir las contraseñas deben incluir caracteres especiales
Los caracteres especiales no necesariamente refuerzan las contraseñas. Claro, «Watch4T! M3» es más fuerte que «qwerty», pero «Caterpillar Motorboat Tree January» es tres veces más fuerte que «Watch4T! M3» y no contiene caracteres especiales. Por lo tanto, es mejor centrarse en la longitud al definir una contraseña que en introducir arbitrariamente caracteres especiales, porque sólo sirven para causar una frustración adicional al usuario.

CWI.it – Redacción CambioDigital On Line