• Home
  • |
  • Amigo o enemigo

agosto 29, 2022

Amigo o enemigo

El último par de años han sido interesante del punto de vista seguridad.

Pasamos de un modelo principalmente centralista donde el area de sistemas mantenía un férreo control de la red y los dispositivos conectados a ésta, a un sistema federalista donde los usuarios están dispersos y muchos de ellos usan sus propios dispositivos (BYOD).

El borde de la red se ha dispersado, nuestras aplicaciones ya no se ejecutan en nuestras instalaciones y muchas veces ni siquiera ya son «nuestras», sino están empaquetadas como SaaS.

Todos estos cambios han sido tierra fértil a grupos criminales que ven oportunidad para obtener beneficio económico.

Hoy, la imagen romántica del hacker adolescente que casi desata una guerra mundial ya desapareció (recordemos a WarGames, 1983) si no estamos tratando en el mejor de los casos ex-empleados vengativos o peor aún, crimen organizado que buscan beneficio por espionaje industrial o extorsión.

Desde el «¡ábrete sésamo!» de Alí Babá a las téseras usadas por las Legiones Romanas por ahí del 500 a.C. para distinguir al amigo del enemigo, hasta el s. XXI hemos usado el usuario y contraseña, un par de miles de años después y hemos mejorado.

Tenemos decenas de cuentas en igual número de sistemas con sus contraseñas y cuál legionario romano nos identificamos como amigo para tener acceso  con la esperanza de dejar fuera a los enemigos, creando una cantidad de complicaciones con las que vivimos todos los días.

No hay balas mágicas

En un punto a alguien se le ocurre el uso de un OTP, una contraseña que solamente sirve temporalmente, matemáticamente el concepto funciona muy bien pero sigue habiendo una enorme vulnerabilidad: el propio usuario.

Todos sabemos de casos de gente que ha sido defraudada en el sistema bancario, al día de hoy todos los bancos usan alguna forma de MFA mediante un token o mensaje. Aún así aplicando técnicas de ingeniería social nos convencen de ingresar las credenciales en el lugar equivocado, con las consecuencias harto conocidas.

Los MFA de tipo OTP usados en sistemas empresariales no son diferentes, los controles se pueden evitar aplicando técnicas de ingeniería social además de ser muy disruptivos para el usuario ya que obligan al ingreso del OTP además de la contraseña habitual.

Para muestra, están los previamente citados sistemas bancarios donde cada quién es responsable de lo que supuestamente más cuida: su propio patrimonio.

Las cosas han cambiado

Medidas que damos por sentado nos dan más seguridad de hecho pueden ser hasta contraproducentes.

Microsoft 365 en sus recomendaciones de políticas de passwords publicadas el 29 de octubre hace las siguientes recomendaciones casi controversiales:

– No requiera de caracteres especiales como *,(^%.

– No requiera la rotación periódica de contraseñas.

¿Por qué?

Por qué el tiempo ha demostrado que operativamente tienen un gran costo a la organización y realmente no resuelven ni el riesgo ni la causa raíz del problema.

Para los sistemas de consumo ya están listos para eliminar el uso de contraseñas mediante  los passkeys (así en minúsculas), en coordinación de los otros gigantes: Apple y Google.

Más adelante plantemos una solución empresarial.

Una prueba de vida

Una mejora importante son los sistemas que requieren de una «prueba de presencia», dónde el usuario debe de ejecutar una acción para demostrar que está presente, lamentablemente las vulneraciones en la primera mitad del 2022 a Azure y Cisco demostraron lo contrario. Eventualmente pueden convencer a un usuario a autorizar una operación.

Mejorando los procedimientos

Un sistema push con la capacidad de distinguir entre un usuario válido y un atacante se hace necesario para evitar una autorización errónea donde dinámicamente se aplica un factor adicional en caso que el acceso sea desde un dispositivo no conocido.

Limitando el área de daño

Aún así debemos de limitar el acceso de cada uno de los usuarios a sólo los sistemas y permisos que requiere para limitar el movimiento lateral. Esta es la idea central de «zero trust».

Una solución integral

Iniciando con el autenticador Secret Double Octopus, un high assurance MFA con la capacidad actuar como segundo factor y eliminar el uso de contraseñas para el acceso de sus aplicaciones web (SAML 2) y legacy (LDAP y RADIUS), también protege el acceso a estaciones de trabajo Windows (7, 8, 10 y 11) y Mac.

Para el control de acceso contamos con Teleport, un identity aware proxy que soporta un completo sistema basado en roles para el control de acceso a sus servidores Linux y Windows, bases de datos relacionales y no-SQL, y aplicaciones web, cada actividad queda registrada y grabada.

Para la visibilidad de cada parte del proceso de acceso se necesita un SIEM como Graylog que permite el almacenar, indexar y correlacionar cada evento generado en su red.

Iniciemos o continuemos nuestra cultura de seguridad

Asegurando la autenticación, estableciendo políticas de autorización y manteniendo un seguimiento de actividades son las piezas fundamentales para mantener nuestros sistemas seguros y libres de bárbaros que nos intentarán atacar cual Hunos liderados por el implacable Atila.

Related Posts

Día de Internet y la importancia de navegar seguros.

Día de Internet y la importancia de navegar seguros.

Noticias de Secret Double Octopus – Febrero 2021

Noticias de Secret Double Octopus – Febrero 2021

Passwordless softlaunch

Passwordless softlaunch

Samuel Castro


ACI, ACEX #4, especialista en autenticación, seguridad, ClearPass y diseño Wi-Fi

Your Signature

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>