Hay más de 300 millones de intentos de inicio de sesión fraudulentos en nuestros servicios en la nube todos los días. Los ciberataques no se están desacelerando y vale la pena señalar que muchos ataques han tenido éxito sin el uso de tecnología avanzada.
Todo lo que se necesita es una credencial comprometida o una aplicación heredada para causar una filtración de datos. Esto subraya lo importante que es garantizar la seguridad de las contraseñas y una autenticación sólida. Siga leyendo para conocer las vulnerabilidades comunes y la acción única que puede realizar para proteger sus cuentas de los ataques.
La autenticación de múltiples factores (MFA) es una medida de seguridad que requiere dos o más pruebas de identidad para permitir el acceso. En otras palabras, se necesita algo más que una contraseña para identificarse. Un código de acceso de un solo uso, el reconocimiento facial o una huella dactilar también pueden ser requeridos como una comprobación adicional de seguridad.
Todos los administradores conocen las ventajas de la MFA para acceder a las aplicaciones empresariales. Mantienen nuestros datos de Office365 y Salesforce seguros, incluso si un adversario obtiene, adivina, compra o consigue por fuerza bruta un nombre de usuario y una contraseña.
Sin embargo, cuando las aplicaciones se trasladan a la nube, las consolas de inicio de sesión de esas aplicaciones también quedan expuestas en Internet. La administración y la seguridad del sistema también pasan a estar gestionadas “desde la nube” y, por tanto, también necesitan MFA.
La técnica T1078 de MITRE ATT&CK (“Cuentas válidas”) describe cómo los ciberdelincuentes utilizan las cuentas válidas para obtener un acceso inicial a la red, evadir las defensas, obtener persistencia y escalar sus privilegios.
Estas tácticas, a su vez, permiten eludir diversas defensas, como antivirus, control de aplicaciones, firewall, sistemas de detección/prevención de intrusiones y controles de acceso al sistema. El uso no autorizado de cuentas válidas es muy difícil de detectar, ya que se parece mucho a lo habitual.
Las cuentas válidas son una de las 5 técnicas principales que Sophos ha observado para conseguir el acceso inicial. Algunas herramientas de administración (por ejemplo, Solarwinds, Webroot, Kaseya y Connectwise) se han utilizado incluso para enviar cargas útiles maliciosas.
¿Qué sucede cuando un actor de la amenaza obtiene acceso a una consola de seguridad? En el ejemplo siguiente, el ciberdelincuente simplemente escribió su propia política y desactivó todos los ajustes de seguridad.
Incluso los sistemas de administración de seguridad locales deberían utilizar MFA si es posible: la vida es más fácil para un adversario si puede desactivar las soluciones de seguridad antes de desplegar su malware. Si utilizas una VPN para acceder a la red, te recomendamos insistentemente que habilites la MFA también en ella.
Al habilitar la MFA para tus herramientas de administración y seguridad del sistema se consiguen tres objetivos:
Reduces el riesgo de acceso de personas no autorizadas
Generas alertas para los intentos de acceso, lo que permite a un administrador bloquear futuros intentos según sea necesario
Evitas que se compartan las cuentas, asegurando pistas de auditoría precisas que puedan vincular el comportamiento a un usuario específico
La activación de MFA a menudo no cuesta más que tu tiempo. Si has estado ignorando los avisos de “Activar MFA” en tus consolas, ya es hora de que adoptes esa medida. Si tu proveedor de seguridad no ofrece opciones de MFA, es hora de preguntar por qué no.
Si necesitas más información visita nuestra página https://www.inforc.lat nosootros con gusto te ayudamos y facilitamos una demostración.
En Inforc Ecuador, creemos en la ciberseguridad.