La confirmación del jaqueo de los teléfonos del presidente Pedro Sánchez y la ministra de Defensa Margarita Robles, así como los innumerables sucesos similares que se producen en todo el mundo, ponen de manifiesto la creciente amenaza de los ciberataques por parte de los estados nacionales y de otros agentes maliciosos. Es el momento de que los ciudadanos y las empresas españolas se planteen seriamente proteger sus identidades digitales.
Al otro lado del Atlántico, el gobierno de EE. UU., con el presidente Biden al frente, ha publicado recientemente una hoja informativa en la que se insta a las empresas a “la obligatoriedad de utilizar una autenticación multifactor (MFA) en sus sistemas a fin de dificultar a los atacantes el acceso a los mismos”. Además, recomiendan que todas las MFA sean resistentes al phishing. Como demuestran las últimas noticias acontecidas , las empresas españolas también deberían seguir estas pautas.
Protección contra los ataques de ciberseguridad con MFA resistente al phishing
¿Qué es lo que realmente hace diferente a una MFA resistente al phishing? Puesto que se trata de un término reciente en el ámbito de la autenticación, existe una cierta confusión en torno a este concepto. Si bien la resistencia al phishing da lugar a numerosas interpretaciones, no todos los sistemas de autenticación multifactor son iguales.
La MFA resistente al phishing hace referencia a un proceso de autenticación que es inmune ante atacantes que interceptan o que incluso utilizan determinadas argucias con objeto de que los usuarios revelen su información personal de acceso. Por lo general, las implementaciones de las MFA más utilizadas, como contraseñas, SMS o contraseñas de un solo uso (OTP), o las preguntas de seguridad o incluso el uso de notificaciones “push” que se envían al móvil, no son inmunes ante el phishing, ya que todas son vulnerables ante uno o el par de los ataques que ya hemos mencionado. Asimismo, el proceso siempre requiere que cada parte presente pruebas de su validez e intención de iniciarlo
Un plan para protegerse frente a los ataques de ciberseguridad
Para comenzar, es importante reunir un equipo de planificación que lleve a cabo una auditoría exhaustiva centrada en el acceso a datos sensibles. Es fundamental realizar un inventario completo de sus datos, software y controles, así como de cualquier contratista o tercero que tengan acceso a su red, lo que podría resultar algo desalentador. Por ello, deberíamos centrarnos en los sistemas clave y en los puntos de acceso. Cuando se involucra en la tarea a los miembros más adecuados del equipo, tanto los sistemas prioritarios como los riesgos pueden llegar a identificarse con rapidez para abordarlos de forma oportuna. Una vez que se han identificado estos sistemas prioritarios, es importante no desistir del proceso; a menudo, los atacantes utilizan sistemas de baja prioridad y que pasan desapercibidos para llegar a introducirse en una organización. Una auditoría y la búsqueda de sistemas que carezcan de conformidad deberían constituir un esfuerzo constante.
El segundo paso es elaborar un plan de seguridad sostenible que excluya las soluciones temporales y que esté integrado en el propio ADN de la empresa. Para evitar tener que solucionar una interminable sucesión de problemas, las organizaciones deben convertir la seguridad en su prioridad y a todos los niveles. En algunos casos se puede implementar una solución MFA moderna y resistente al phishing con rapidez, mientras que en otros se requerirá más esfuerzo. Cuando se disponga de un plan aprobado que proporcione un enfoque coherente de la autenticación multifactor, las organizaciones podrán mejorar y agilizar los procesos de implantación. Al adaptar su estrategia de autenticación a los estándares de resistencia al phishing, como los PIV y FIDO, que poseen compatibilidad con diversos proveedores de gestión de accesos de identidades (IAM), sistemas operativos y navegadores, se podrán controlar mejor los riesgos de seguridad y garantizar una implantación rápida.
Asimismo, las solicitudes de financiación se deben integrar en los futuros ciclos presupuestarios. Sin embargo, la cruda realidad nos dice que una mejora de la seguridad hace necesario contar con recursos y las directivas deben estar de acuerdo en la asignación de los fondos correspondientes. La seguridad no es una inversión puntual, sino que debe considerarse como una parte esencial del presupuesto destinado a proteger el negocio. Disponer de un plan sostenible ayudará a generar el interés necesario por parte de la directiva y a que entienda que dicho plan protegerá su negocio. Un plan de seguridad bien diseñado puede proporcionar beneficios tangibles que no deben desdeñarse. Además de disminuir el riesgo, reduce tanto los costes de auditoría como la deuda técnica que pudieran obstaculizar la operación. Si la directiva es consciente de la importancia del programa para toda la empresa, será más fácil de obtener una aprobación para el presupuesto. Los atacantes no tienen en cuenta los ciclos presupuestarios anuales para actuar, por lo que es posible que esta situación requiera una financiación adicional. El apoyo de los miembros clave de la directiva, como el director de Riesgos, puede ayudar a garantizar una financiación no prevista.
La urgencia de protegerse contra los ataques de ciberseguridad
Cuando el presidente de EE. UU. habla, las organizaciones escuchan, y no solo en tal país. Lo importante ya no es saber si la autenticación multifactor resistente al phishing se impondrá en todas las empresas, sino más bien saber cuánto tiempo necesitaremos para lograr su adopción total y cuáles serán los sectores que lo consigan con mayor rapidez.
Es esencial tomar conciencia sobre la importancia de prepararse para un entorno con un aumento creciente en las amenazas de ciberseguridad. El objetivo es transmitir que la organización forma parte de una tendencia mundial para mejorar la seguridad. Además, es importante poseer una visión a largo plazo y tener claro lo que la propia organización hará en el próximo año, incluida la composición de su equipo de planificación y sus objetivos. Al ser transparentes, las personas que se resisten al cambio aceptarán que sus hábitos cambien en cierto modo.
Por último, es importante utilizar un lenguaje integrador cuando se habla de esta iniciativa. El equipo de TI no es el único que debe preocuparse por esta cuestión, sino que es necesario que toda la organización se movilice para actuar; es decir nos incluye a todos “nosotros”. Las empresas pueden aprovechar esta oportunidad como un medio de aprendizaje, lo que requiere que los empleados reciban formación sobre la prevención de ataques de phishing y las mejores prácticas de seguridad en el puesto de trabajo.
Los recientes acontecimientos ilustran la sensación que todos sentimos en este momento: vivimos en una época que cambia vertiginosamente y que es potencialmente impredecible. Al priorizar la protección contra los ataques de ciberseguridad, incluida la autenticación multifactor resistente al phishing, las empresas estarán mejor preparadas para hacer frente a las amenazas de ciberseguridad tanto ahora como en el futuro.
