8 formas en que los gobiernos pueden mejorar su ciberseguridad

Es difícil encontrar un ciberataque importante en los últimos cinco años en el que la identidad (por lo general una contraseña comprometida) no haya sido el vector del ataque.

Objetivo, Sony Pictures, el Comité Nacional Demócrata (DNC) y la Oficina de Administración de Personal (OPM) de los Estados Unidos cada uno fue violado porque se basaban únicamente en las contraseñas para la autenticación. Estamos en una era en la que no existe la contraseña «segura»; incluso la contraseña más compleja sigue siendo un «secreto compartido» que la aplicación y el usuario deben conocer y almacenar en los servidores para poder autenticarse. Esto hace que las contraseñas sean intrínsecamente vulnerables a una miríada de métodos de ataque, entre ellos suplantación de identidad, ataques de fuerza bruta y malware.

Centro de información

• Hacer bien la ciberseguridad

  Patrocinado por Accenture

  Proteger su empresa en un mundo complejo.

El creciente uso de la suplantación de identidad por parte de los ciberdelincuentes para engañar a los usuarios para que divulguen sus contraseñas y credenciales es lo más alarmante: un informe reciente del Grupo de Trabajo contra la Suplantación de Identidad (APWG) descubrió que 2016 fue el peor año de la historia para las estafas de suplantación de identidad, y el número de ataques aumentó un 65% con respecto a 2015. El phishing estuvo detrás del hackeo del DNC, así como una violación de las cuentas de correo electrónico del gobierno en Noruega, y fue el método que hackers patrocinados por el estado utilizados recientemente en un intento de robar las contraseñas de destacados periodistas estadounidenses. La suplantación de identidad va en aumento por una sencilla razón: es una forma de ataque relativamente barata y eficaz, y que hace que la responsabilidad de la seguridad recaiga en el usuario final. Y dado que muchos usuarios tienden a reutilizar las contraseñas, una vez que estas se ven comprometidas, se pueden utilizar para entrar en otros sistemas y eludir las medidas de seguridad de la red tradicionales.

En respuesta al aumento de la frecuencia de estos ciberataques basados en la autenticación, los gobiernos de todo el mundo están aplicando políticas centradas en impulsar la adopción de autenticación multifactor (MFA) soluciones que pueden evitar los ataques basados en contraseñas y proteger mejor los datos y sistemas críticos. EE. UU., Reino Unido, UE, Hong Kong, Taiwán, Estonia y Australia están entre los países que se han centrado en este tema en los últimos cinco años.

Un desafío al que se enfrentan los países: hay cientos de tecnologías de MFA que compiten por llamar la atención, pero no todas se crean de la misma manera. Algunos tienen vulnerabilidades de seguridad que los hacen susceptibles a la suplantación de identidad, como contraseñas de un solo uso (OTP) — una contraseña que solo sea válida para una sesión o transacción de inicio de sesión, que, si bien es más segura que la autenticación de factor único, siguen siendo secretos compartidos que pueden ponerse en peligro. Algunas soluciones son innecesariamente difíciles de usar o se han diseñado de manera que crean nuevos problemas de privacidad.

Play

Play

00:00

Play

Seek 10 seconds backwards

Seek 10 seconds forward

00:00 / 00:00

Mute

Picture in picture

Fullscreen

.video-summary-list-container { height: 100%; } .video-summary-list-container .MuiScopedCssBaseline-root { height: 100%; }

Summary & chapters

Read as overview

.chapters-list-module_intro__74vPf { padding: 16px; border-bottom: 1px solid rgba(255, 255, 255, 0.2); } .chapters-list-module_chapter__uKhQh { padding: 0 16px 16px 8px; border-bottom: 1px solid rgba(255, 255, 255, 0.2); .MuiPaper-root .MuiButtonBase-root .MuiAccordionSummary-content { margin-top: 16px; margin-bottom: 0; } .MuiPaper-root .MuiCollapse-root .MuiCollapse-wrapper .MuiAccordionDetails-root { padding-bottom: 0; } } .chapters-list-module_chapter-header__Pu4Xi { width: 100%; margin-right: 8px; } .chapters-list-module_chapter-header-content__JIOjX { flex-grow: 1; padding: 8px; border-radius: 8px; cursor: pointer; } .chapters-list-module_chapter-header-content__JIOjX:hover { background-color: rgba(0, 0, 0, .2); } .chapters-list-module_chapter-header-expand-icon__tLLZ9 { margin-top: 16px; } .chapters-list-module_chapter-header-text__bPoKD { font-size: 11px; font-weight: 400; letter-spacing: 1px; text-transform: uppercase; } .chapters-list-module_chapter-bullet-icon__kCL9n { font-size: 11px; font-weight: 400; letter-spacing: 1px; text-transform: uppercase; } .chapters-list-module_chapter-intro__H-iVR { display: flex; align-items: center; gap: 8px; margin-bottom: 2px; } .chapters-list-module_chapter-description__ziIpd { margin: 0 -16px 0 -8px; } .chapters-list-module_intro-text__Sqgju { } .chapters-list-module_chapter-description__ziIpd, .chapters-list-module_intro-text__Sqgju { font-size: 16px !important; white-space: pre-wrap; }

A medida que los responsables políticos trabajen para abordar estos problemas de autenticación, tendrán que adoptar soluciones que se alejen del modelo de secreto compartido y, al mismo tiempo, que sean fáciles de usar para los consumidores y los empleados. Según una nueva libro blanco que publicó The Chertoff Group, la mejor manera de garantizar la protección de los activos críticos en el ciberespacio es siguiendo ocho principios clave de la política de autenticación:

1. Tener un plan que aborde explícitamente la autenticación. Si bien un enfoque sólido de la autenticación es solo un elemento de un enfoque adecuado de la gestión del ciberriesgo, cualquier iniciativa cibernética que no incluya un enfoque en la autenticación sólida está lamentablemente incompleta.

2. Reconocer las limitaciones de seguridad de los secretos compartidos. Los responsables políticos deben entender las limitaciones de las tecnologías de MFA de primera generación, como las OTP que se basan en secretos compartidos, y tratar de fomentar la adopción de alternativas más seguras, como las que utilizan criptografía de clave pública, en la que las claves siempre se almacenan en el dispositivo del usuario (y nunca salen), como Normas de autenticación FIDO.

3. Asegúrese de que las soluciones de autenticación sean compatibles con dispositivos móviles. A medida que aumente el uso de las transacciones móviles, cualquier política que no esté orientada a optimizar el uso de la MFA en el entorno móvil no protegerá adecuadamente las transacciones realizadas en ese entorno.

4. No recete ninguna tecnología o solución única, céntrese en los estándares y los resultados. La autenticación está en medio de una ola de innovación y seguirán surgiendo nuevas y mejores tecnologías. Por esta razón, los gobiernos deberían centrarse en un enfoque de la política de autenticación basado en principios que no impida el uso de las nuevas tecnologías.

5. Fomentar la adopción generalizada eligiendo soluciones de autenticación que sean fáciles de usar. Una mala usabilidad frustra a los usuarios e impide su adopción generalizada. Las soluciones de MFA de próxima generación reducen drásticamente esta «fricción entre los usuarios» y, al mismo tiempo, ofrecen beneficios de seguridad aún mayores. Los responsables políticos deberían buscar incentivos para fomentar el uso de la MFA de próxima generación que aborde tanto la seguridad como la experiencia del usuario.

6. Comprenda que las antiguas barreras a la autenticación reforzada ya no se aplican. Uno de los mayores obstáculos para la adopción de la MFA han sido los costes. Antes, pocas organizaciones podían darse el lujo de implementar tecnologías de MFA de primera generación. Hoy en día, hay docenas de empresas que ofrecen soluciones de autenticación de próxima generación que son más seguras que las contraseñas, más fáciles de usar y más baratas de implementar y gestionar.

7. Sepa que la privacidad importa. Las soluciones de MFA pueden variar mucho en su enfoque de la privacidad: algunas rastrean cada movimiento de los usuarios o crean nuevas bases de datos con información de los consumidores. Estas soluciones plantean problemas de privacidad y crean nuevos y valiosos cachés de información que son objeto de ataques. Afortunadamente, hoy varias empresas de autenticación han adoptado un enfoque de «privacidad desde el diseño» que mantiene los valiosos datos biométricos en el dispositivo del usuario y minimiza la cantidad de datos personales almacenados en los servidores.

8. Utilice la biometría de forma adecuada. La casi omnipresencia de los sensores biométricos en los dispositivos móviles está creando nuevas opciones de autenticación segura, lo que facilita el uso de tecnologías como el reconocimiento facial y de huellas dactilares. Sin embargo, es mejor utilizar la biometría como una capa de una solución de autenticación multifactor: hacer coincidir un dato biométrico en un dispositivo para, a continuación, desbloquear un segundo factor. Lo ideal es que los datos biométricos se almacenen y comprueben únicamente en un dispositivo, evitando la necesidad de abordar los riesgos de privacidad y seguridad asociados a los sistemas que almacenan los datos biométricos de forma centralizada. Cualquier dato biométrico almacenado en un servidor es vulnerable a caer en malas manos si ese servidor se ve comprometido. Este fue el caso en Junio de 2015 con la violación de la Oficina de Administración de Personal (OPM) de los Estados Unidos que provocó 1,1 millones de huellas dactilares comprometidas.

Los responsables políticos tienen recursos y estándares industriales que los guían a la hora de abordar estos principios. La alianza Fast Identity Online (FIDO) ha desarrollado estándares diseñados para aprovechar el hardware de seguridad avanzado integrado en los dispositivos informáticos modernos, incluidos los teléfonos móviles. Los estándares de FIDO han sido adoptados por una amplia muestra representativa de la comunidad tecnológica y ya están incorporados a las soluciones de empresas como Microsoft, Google, PayPal, Banco de Estados Unidos, Facebook, Dropbox, y Samsung.

Ninguna tecnología o estándar puede eliminar el riesgo de un ciberataque, pero la adopción de estándares modernos que incorporen la MFA puede ser un paso importante que reduzca significativamente el ciberriesgo. Siguiendo estos ocho principios, los gobiernos pueden crear una base política para la MFA que no solo mejore nuestra ciberseguridad colectiva, sino que también ayude a garantizar una mayor privacidad y una mayor confianza en Internet.