Llegamos a ustedes gracias a:



Reportajes y análisis

Sustentando el uso de hardware 2FA en la industria

[09/04/2020] Los ataques de phishing y credential stuffing son dos de las mayores amenazas para cualquier organización grande, pero la autenticación de dos factores (2FA), especialmente el hardware 2FA, es notablemente eficaz para mitigar tales ataques en un orden de magnitud o más.

Un atacante de recursos bajos a moderados, que roba con éxito a un empleado y roba sus credenciales de cuenta, no irá a ninguna parte rápidamente si ese empleado tiene un hardware 2FA inscrito. La autenticación aún requerirá la posesión física del token de hardware 2FA. Del mismo modo, en casos de reutilización de contraseña, donde un atacante intenta un ataque de credential stuffing, ese token de hardware 2FA será muy útil para defenderse de una gran parte del ruido de fondo del ataque de Internet.

El hardware 2FA también se considera significativamente más seguro que el software 2FA (como una aplicación de autenticación en el teléfono de un empleado) sin mencionar que es más barato reemplazarlo, en caso de pérdida o robo del teléfono.

¿Las aplicaciones de autenticación ya no son lo suficientemente buenas?

Los atacantes ya están encontrando formas de burlar al software basado en 2FA. Como el veterano investigador de malware, Claudio Guarnieri observó recientemente, "Mirando las campañas de phishing a las que @ AmnestyTech Security Lab respondió e investigó en el último año, no ha habido ninguna que no haya sido provista de al menos alguna capacidad para evitar la autenticación de factor múltiple que no es U2F. U2F, abreviatura de Universal 2nd Factor, es un estándar abierto para tokens de hardware 2FA.

A medida que los atacantes han evolucionado, el cambio de la aplicación 2FA basada en SMS a la aplicación de autenticación basada en software se volvió algo obvio. (No sigue utilizando 2FA basado en SMS todavía, ¿verdad?) Para muchos casos de uso, una evolución a los dongles de hardware basados en U2F es un movimiento inteligente.

Trampas del hardware 2FA

Si bien el uso de un token 2FA basado en hardware es más seguro que una aplicación de autenticación basada en software, no es perfecto. Dada la complejidad del stack de autenticación, desde el firmware USB hasta un navegador web en la capa 7, sería sorprendente si no se encontraran fallas de seguridad. En el 2018, una falla en Google Chrome permitió terminar de ejecutar tokens de seguridad U2F. En el otro extremo del stack de software, el líder del mercado en el espacio, Yubico, ha emitido varios avisos de seguridad a lo largo de los años.

Dicho esto, la verdadera pregunta que deberían hacer los CISO no es "¿Deberíamos implementar hardware 2FA?. Es probable que la respuesta sea sí. La verdadera pregunta es: "¿Qué hacemos si un empleado pierde su token de hardware 2FA?.

Si el respaldo del hardware más contraseña 2FA es responder preguntas de seguridad, entonces usted todavía está atrapado en la tierra de autenticación de un factor. Un atacante inteligente puede descubrir dónde al menos algunos de sus empleados "vacacionaron en su luna de miel o la "primera escuela a la que asistieron o "su comida favorita (la pizza es una buena suposición).

Los tokens U2F se pierden, dañan o son robados. Son pequeños y frágiles. Eso hace que, a escala, administrar la inscripción de empleados de manera tolerante a fallas sea una tarea nada trivial. Puede culpar a sus empleados por perder un token de hardware barato, o puede adaptarse a las circunstancias y no desperdiciar energía innecesaria estresándose por un error de redondeo en su presupuesto total.

Una solución simple y barata que resuelve este problema la mayoría de las veces: "Recomendamos que tenga dos Yubikeys, afirma Jerrod Chong, director de soluciones de Yubico. "En el caso de Google, tienen una pecera en su sala de descanso o almuerzo llena de Yubikeys, y alientan a los usuarios finales a inscribir a más de un autenticador. Google ha utilizado Yubikeys con "todo el personal y contratistas para un inicio de sesión seguro en la computadora y el servidor, involucrando a 50 mil empleados hasta la fecha, según el estudio de caso de Yubikey. (Google no respondió a nuestra solicitud de comentarios sobre su implementación de U2F).

Cuando el software 2FA no es una opción

Además de ofrecer una mayor seguridad que las aplicaciones de autenticación basadas en software en un smartphone, existen casos de uso en los que no desea que sus empleados usen teléfonos celulares en el trabajo. Los centros de llamadas restringen el uso del teléfono celular en el trabajo, pero los empleados aún necesitan iniciar sesión de forma segura en sus estaciones de trabajo.

En el otro extremo del espectro, los ingenieros que trabajan en propiedad intelectual confidencial probablemente no quieran tener un vector de amenaza siempre activo junto a su estación de trabajo principal. Un atacante inteligente irá tras el dispositivo personal del usuario y usará esa proximidad para saltar a la red corporativa. Si bien existen buenas razones para permitir el "traiga su propio dispositivo (BYOD, por sus siglas en inglés), también hay buenas razones por las cuales algunos empleados no deberían tener permiso para el BYOD. (Aunque si opta por esta ruta, los casilleros seguros para que los empleados almacenen sus teléfonos parecen una buena idea).

¿"Autenticación sin contraseña?

El futuro de la autenticación de factor múltiple no está claro. Muchos claman por la biometría ("algo que usted es, como una huella digital) además de "algo que usted sabe (por ejemplo, una contraseña) -y "algo que usted tiene (por ejemplo, un token U2F), pero la naturaleza invasiva de los datos biométricos plantea serias preocupaciones de privacidad. La imposibilidad de "restablecer su iris cuando esa información se ve comprometida es un problema de seguridad grave. Por ejemplo, desde su lanzamiento en la India hace unos años, la base nacional Aadhar de datos biométricos -que contiene más de mil millones de juegos de huellas dactilares y escaneos de iris- ha lidiado con un flujo constante de violaciones de seguridad.

Una cosa está clara: las contraseñas son pésimas. Son una forma terrible para que los humanos se autentiquen. Si bien el marketing muchas veces promociona un "futuro sin contraseñas, parece ser que lo más probable sea que las contraseñas se combinen con otros factores de autenticación para mitigar el grave riesgo que representan tanto para los usuarios como para las empresas.