Llegamos a ustedes gracias a:



Noticias

ESET Security Day 2014 presentó Secure Authentication

[15/04/2014] En días pasados, durante la cuarta edición del ESET Security Day, la firma de seguridad presentó localmente el ESET Secure Authentication, un nuevo producto que ofrece el doble factor de autenticación como un elemento clave para brindar un mayor grado de seguridad a las empresas.
El Secure Authentication ya había sido lanzado en febrero pero ahora se presentó en el marco del evento y como parte de una tendencia que busca cambiar el enfoque de seguridad de las firmas, pasando de una posición en la que las soluciones de seguridad se superponen unas sobre otras -en capas- a un enfoque en el que se señala que todas ellas deben trabajar en conjunto.
Seguridad apilada
Camilo Gutiérrez, especialista de Awareness & Research de ESET Latinoamérica, fue el encargado de explicar la visión de seguridad que ha sustentado el lanzamiento de Secure Authentication.
Gutiérrez explicó que el enfoque que actualmente domina a las empresas, es el que se concentra en la seguridad de los endpoints. De hecho, el ejecutivo señaló que en las encuestas que se han realizado durante los eventos de ESET, el 82% de los encuestados señaló que utilizaba algún tipo de seguridad en estos puntos.
Sin embargo, en tiempos recientes se ha podido apreciar que los ataques y amenazas han ido más allá de los endpoints. Estos eventos ahora se producen bajo la forma de ataques a los servidores. Por ejemplo, en un reciente ataque a la red social Twitter se vieron comprometidas las cuentas de aproximadamente 250 mil usuarios de la red social, en un ataque que no estuvo dirigido a los endpoints de la empresa, sino a sus servidores.
De igual manera, se pueden contar otros ataques similares en los que los objetivos no han sido los muy protegidos endpoints sino, más bien, los servidores de las firmas.
Gutiérrez también explicó que éstos no son los únicos puntos que se deben tener en cuenta al pensar en la seguridad. Otro punto débil es la recurrente costumbre de los empleados -de muchos usuarios, en general- de utilizar una misma contraseña para varios servicios. Y si a eso se suman otros ataques que aparentemente no tienen que ver mucho con esta práctica -como el robo de computadoras-, se pueden generar las condiciones necesarias para que los cibercriminales puedan ingresar a los sistemas.
¿Cómo protegerse entonces de estos tipos de amenazas que van más allá de los endpoints?
Medidas adicionales
Gutiérrez sostuvo que básicamente existen dos tipos de medidas adicionales que se pueden tomar para ofrecer mayor seguridad a la información de la empresa: La doble autenticación y el cifrado de los datos.
De acuerdo a las mismas encuestas que se mencionaron anteriormente, las empresas utilizan la doble autenticación para el acceso a sus servicios en el 22% de los casos, mientras que el cifrado es una práctica de solo el 10% de las organizaciones encuestadas. Esas cifras ofrecen una idea de lo poco difundidas que se encuentran las medidas adicionales de seguridad.
Con la doble autenticación garantizamos que las personas que quieren acceder a los sistemas son quienes dicen ser, indicó el ejecutivo.
Gutiérrez explicó que existen tres tipos de factores de autenticación. El primero es el factor de conocimiento, éste es el más difundido pues se basa en algo que el usuario sabe, es decir, una contraseña.
El segundo tipo es el del factor de inherencia, es decir, algo que el usuario es, como la información que proporcionan sus huellas digitales o las facciones de su rostro.
Finalmente, el tercer tipo de factor de autenticación es el de posesión; es decir, algo que el usuario tenga. Y aquí el ejemplo clásico es el de un tóken.
Secure Authentication
Precisamente, la solución que presentó ESET se basa en el último tipo de factor de autenticación. Al factor de conocimiento que proporciona la contraseña se suma con este producto un segundo factor de autenticación que es una clave generada por el sistema que es enviada al teléfono del usuario.
Secure Authentication genera una OTP (one-time password) que es enviada al usuario que desee acceder a un servicio, por ejemplo, un usuario que desee acceder a su cuenta bancaria; pero no es el único caso de uso.
Ahora la solución también protege SharePoint, Dynamics, Exchange y Microsoft Remote Desktop Web Access, si usan Active Directory. Si no lo usan, ESET puede proporcionar un SDK para solucionar el problema.
Secure Authentication ahora también protege las VPN de Cisco, Juniper, CheckPoint, Citrix, Fortinet y Barracuda.
Todo lo que se tiene que hacer es contar con un teléfono inteligente que trabaje en Android, iOS, BlackBerry, Windows Phone o un teléfono que al menos trabaje con Java. De ser necesario, también se puede habilitar la solución para que funcione en base a SMS, con lo cual se abarca también los teléfonos que no son inteligentes.
ESET también presentó DESlock, una solución de cifrado que, aunque no es propia, comercializa para cubrir los dos tipos de acciones adicionales de seguridad que mencionó inicialmente.
Jose Antonio Trujillo, CIO Perú