Buenas prácticas en la autenticación robusta

Viendo el día a día de las actividades ciberterroristas, nos deberíamos plantear seriamente las siguientes cuestiones: con todo el dinero gastado en seguridad IT, ¿cómo es posible que tantas multinacionales de prestigio sean hackeadas? ¿Por qué están fallando los cortafuegos, antivirus, sistemas anti-intrusión y otros componentes comunes de las infraestructuras tecnológicas de hoy en día?

En la mayoría de los casos, la respuesta más recurrente es que los sistemas de información se vulneran porque se comprometen las credenciales de identidad y acceso de alguna persona. Y muy probablemente, no las de una sola persona.

Todo comienza con ingeniería social, suplantación de identidad, artimañas varias o el último ataque del día cero utilizando los troyanos ZeuS o SpyEye, pero siempre termina de la misma forma – los hackers se hacen con la “propiedad” de las infraestructuras configurándolas como súper-administradores, usuarios privilegidados con un control total de la administración de los sistemas.

¿Cómo pueden las empresas y los proveedores de servicios en la nube (CSPs) parar a estos crimininales que roban y se aprovechan de las credenciales de identificación?

Los responsables de la seguridad pueden evitar más riesgos con una metodología centrada en la identidad que integre la autenticación robusta dentro de los actuales sistemas de identificación y acceso utilizando dispositivos basados en credenciales PKI y procesos de autenticación con contraseñas de un sólo uso (OTP).

La autenticación robusta o la identificación de múltiples factores complementan la seguridad de los accesos básicos que se basan en algo que se conoce (el nombre de usuario y la contraseña) con algo que se posee (un certificado personal almacenado en un dispositivo portable de seguridad) y adicionalmente con algo que lo define (un rasgo biométrico).

Por poner un ejemplo, digamos que una compañía suministra a sus empleados credenciales de identificación basadas en tokens OTP o tarjetas criptográficas PKI y obliga a su uso en todos los accesos a los sistemas y actividades administrativas. La autenticación robusta en gran medida disuade a los hackers ya que el método de ataque típico de robar las credenciales de inicio de sesión de alguien ya no funciona. Sin un dispositivo de autenticación robusta, no pueden conseguir el acceso. Este simple paso elimina la mayoría de las amenazas pero no la totalidad de las mismas. A día de hoy, los dispositivos de autenticación robusta deberían ser la referencia en el control de accesos.

Para ejecutivos o transacciones de alto riesgo, se requiere una mayor seguridad. Así, por ejemplo, el uso de certificados PKI permite habilitar la validación basada en firma digital para acciones específicas de alto riesgo o personal de mayor jerarquía.

Aquí va una nueva muestra. Un táctica habitual entre los hackers es crear un nuevo usuario o varios con privilegios de administrador de sistemas. Para bloquear este tipo de ataques, se puede establecer una nueva política de seguridad para la creación de cuentas de usuarios de sistema con privilegios:

• Las sesiones del administrador de sistemas deben ser fuertemente autenticadas.
• La operaciones de alto riesgo, como la creación de cuentas con privilegios, requerirán una validación basada en firma digital que incluya un único intercambio desafío/respuesta utilizando certificados PKI no almacenados en la sesión del navegador y presentando una huella biométrica para validar la transacción.

De manera implícita esta política supone que cualquier operación es supervisada y aprobada por una persona con una tarjeta criptográfica u otra credencial externa basada en un certificado digital, y cuya identidad se vincula a la credencial a través de la biometría. Una firma digital empleando una credencial en tarjeta criptográfica proporciona una autenticación por un segundo canal independiente, ya que la firma es ejecutada en el procesador de la tarjeta criptográfica por un software dedicado independiente del navegador y del propio PC.

Esta política centrada en la identidad y la tecnología de firma digital colocan una barrera virtualmente infranqueable delante de cualquier aspirante a pirata informático, previniendo de manera efectiva hasta los exitosos ataques de suplantación de la identidad (man-in-the-middle). A través de este tipo de ataques, la conexión de red de un usuario al servidor se ve comprometida de tal manera que el sistema del hacker se coloca entre el usuario y el servidor, permitiendo al pirata informático realizar transacciones fraudulentas que permanecen ocultas al usuario. El requisito de la firma digital previene estos ataques, garantizando cada transacción de alto riesgo que será supervisada y aprobada por el usuario en otro canal independiente desde fuera del navegador.

La utilización de credenciales PKI sobre tarjetas criptográficas para protegerse de los ataques de suplantación de identidad man-in-the-middle es también una recomendación del Instituto Estadounidense de Estándares y Tecnología (NIST) en su guía de autenticación electrónica. El NIST clasifica los niveles de garantía en los procesos de autenticación contra amenazas específicas incluyendo ataques de repetición, escuchas secretas, suplantación de identidad o man-in-the-middle. Las credenciales PKI sobre tarjetas criptográficas están clasificados como de nivel 4 (fuerte, la posición más alta) para ataques man-in-the-middle y otras amenazas. Los tokens OTP de contraseñas de un único uso están clasificadas como una solución de garantía para el nivel 3, débil contra ataques man-in-the-middle pero dando una protección eficaz contra el resto.

Si un hacker obtiene acceso a la raíz del sistema, puede hacer lo que quiera. A menudo este proceso lleva meses, con los intrusos plantando una pequeña semilla que se va expandiendo por la red de los sistemas interconectados y lentamente comienzan los primeros cambios que pasan inadvertidos hasta que penetran por algún punto y son capaces de crear sus propias cuentas de usuario y configurar privilegios. En ese momento ya están preparadas para recolectar todos los datos que deseen robar. Para evitar que esto suceda, cualquier persona autorizada para hacer cambios en el sistema debe emplear siempre la autenticación robusta y la firma digital a la hora de crear nuevos usuarios, configurar privilegios y gestionar el directorio activo de Microsoft u otros servicios equivalentes de administración de identidades.

La amenaza de los cibercriminales nunca fue tan palpable. Los titulares casi diarios de grandes multinacionales y organizaciones gubernamentales siendo atacadas por piratas informáticos es una buena prueba de que la amenaza es real y no tiene pinta de irse en breve. La protección de las organizaciones de estos graves problemas que dañan la reputación empresarial es una razón suficiente para actuar ya.

Pero una estrategia de seguridad centrada en la identidad es también un instrumento dinamizador del negocio. Aplicaciones en la nube, movilidad, dispositivos personales (BYOD) y la virtualización están transformando el paisaje IT en las empresas. Los proveedores de servicios en la nube (CSPs) están convirtiendo la informática bajo demanda en una realidad ofreciendo infraestructuras como servicio (IaaS), plataformas como servicio (PaaS) y software como servicio (SaaS) como una alternativa eficiente y económica al hecho de tenerlo todo de manera interna. Sin embargo, tanto para las compañías que ofrecen servicios en la nube como para las que los explotan, estas innovaciones introducen nuevas vulnerabilidades expuestas a las amenazas de los cibercriminales, un asunto preocupante para los ejecutivos, administradores y responsables de la seguridad IT.

La utilización de soluciones de autenticación robusta permite a las empresas maximizar estos eficientes modelos informáticos a la vez que se reducen los riesgos y amenazas. De todas formas, es cierto que se ven grandes oportunidades para la redución de costes operativos en el hecho de emplear aplicaciones en la nube, pero al igual que la mayoría de los directores IT, nos preocupamos por la seguridad de estas plataformas. Implementar una política de seguridad que requiera un dispositivo basado en certificado digital como una credencial en tarjeta criptográfica incrementa significativamente la situación de seguridad, porque una credencial de inicio de sesión robada no se puede utilizar ya como método para acceder de manera ilegal a la red.

Si ya estuviera preparado para mover sus infraestructuras a la nube pero a la vez preocupado por la delegación a otro proveedor diferente de la seguridad en los accesos, no dude en exigirle el uso de la firma digital y la validación por biometría en los accesos al sistema.

Este requisito debe ser también demandado al propio proveedor de servicios en la nube, si quiere proteger a sus clientes, su prestigio y a su propia compañía de los riesgos externos. Construir soluciones de seguridad digital y autenticación robusta proporcionará a sus clientes la tranquilidad de saber que está centrado en la defensa de las identidades y el control de accesos.

Enumeramos siete buenas práticas, claves del éxito para ser eficientes, aprovechar las nuevas infraestructuras tecnológicas y maximizar la seguridad con una estrategia centrada en la identidad y basada en credenciales PKI.

Siguiendo estas buenas prácticas disminuirán significamente los riesgos de un ataque exitoso en los sistemas propios o de los clientes. Tomando un enfoque para la seguridad IT centrado en la identidad, se pueden bloquear los procesos y sistemas críticos y garantizar que se tiene un control total sobre quién accede a cada infraestructura tecnológica.

• Incorporar los tokens OTP y las credenciales basadas en certificados dentro de los sistemas de control de identidades y accesos y ordenar su uso a partir de las más altas instancias de la organización. Un segundo factor de autenticación sólo es efectivo si se usa, y sólo será utilizado si es un requisito. Para alcanzar el éxito será necesario que los cargos ejecutivos ejerzan un liderazgo firme y se vigile estrictamente el cumplimiento de las políticas corporativas de seguridad.
• Priorizar la implantación basada en los posibles riesgos comenzando por administradores de sistemas y ejecutivos. Bloquear los puntos débiles y críticos como la posibilidad de crear nuevas cuentas de usuario con privilegios de administrador de sistemas y otras amenazas típicas para evitar que los atacantes se introduzcan en las infraestructuras.
• Para ponerse en marcha rápidamente, hay que comenzar con contraseñas de un único uso (OTP) y evolucionar con celeridad a certificados PKI en tarjetas criptográficas. Con el tiempo, se deben completar nuevas utilidades, tales como la firma digital y el cifrado del correo.
• Evitar que la credencial de autenticación resida en el PC mediante el uso de dispositivos portátiles de seguridad personal tales como las tarjetas criptográficas de identificación corporativa o las contraseñas de un único uso en tokens portátiles o en el móvil. La creación de esta segunda línea defensiva debe ser con total independencia del ordenador, con lo que se exigiría al atacante entrar en dos sistemas completamente separados, ya que sin acceder al dispositivo secundario cualquier ataque sería inútil.
• Exigir el empleo de autenticación por dos factores en todas las aplicaciones nuevas sean remotas o en la nube. Habilitar las soluciones de autenticación robusta que sean la interfaz de los sistemas de inicio de sesión única (single-sign-on), mejorando así la eficiencia y la seguridad del usuario. Como ejemplo, se puede aplicar al campo de las aplicaciones sanitarias de receta electrónica, a la hora de tener controladas los medicamentos dispensados, donde se puede utilizar un certificado electrónico para la firma digital de la prescripción online, garantizando así su validez.
• Establecer un proceso de provisión de identidades que asegure fuertemente el vínculo entre un usuario individual y su acreditación personal.
• Para algunas situaciones comunes como olvidos, pérdidas y robos de credenciales hay que desarrollar procesos seguros y completos que se ejecuten de manera excepcional a la vez que se cumplan todas las políticas de acceso a las copias de seguridad. Se deben automatizar algunas tareas de soporte muy básicas como es el reinicio del PIN.

Una buena noticia es que la provisión, suministro y utilización de tokens OTP y credenciales en tarjetas criptográficas con certificados de identidad es muy sencillo hoy en día. Los principales fabricantes de infraestructuras IT, incluyendo a Microsoft, IBM, HP, CA, Citrix, Adobe y muchos más, están ya soportando el uso de dos factores de autenticación sobre tarjetas criptográficas. De hecho, la mayoría de las empresas líderes en tecnología emplean credenciales de identidad sobre tarjetas criptográficas para su uso interno.

Si su organización o sus clientes operan principalmente con entornos Microsoft, se puede asegurar que la infraestructura central está lista para evolucionar a una seguridad centrada en la identidad. No es necesario instalar middleware adicional; para empezar es tan simple como configurar algunos parámetros y habilitar varios componentes software. Los módulos clave de Microsoft que soportan las credenciales en tarjetas criptográficas son los siguientes:

• Forefront Identity Manager (FIM): un framework simplificado para la gestión y suministro de las identificaciones, cuentas y accesos del usuario, contraseñas y credenciales basadas en certificados digitales como las tarjetas criptográficas y políticas de identificación en entornos Windows puros y mixtos.
• Autoridad de Certificación, Directorio Activo y Servicios de Federación del Directorio Activo (ADFS): utilidades para la emisión de certificados, autenticación y control de accesos de credenciales e identidades.
• Sistemas operativos de escritorio y servidores Windows: soporte completo para inicios de sesión de escritorio, servicios de terminal y aplicación de políticas de seguridad, así como la automatización de las tareas diarias del usuario con Forefront Identity Manager, como por ejemplo, el reinicio del PIN.
• Aplicaciones como Outlook, SharePoint y Office: funcionalidad de inicio de sesión, firma digital y encriptación.
• Office 365: las aplicaciones de Microsoft en la nube soportan también el uso de credenciales en tarjetas criptográficas.

Para los entornos Linux y Apple, la implementación a nivel de escritorio también se logra fácilmente utilizando recursos existentes. La generación de certificados se puede conseguir por ejemplo empleando Microsoft Forefront Identity Manager o la aplicación de suministro en la nube de Gemalto y soluciones de gestión que sigan el ciclo de vida de los mismos, así como servicios de otros proveedores.

Cada día salen a la luz nuevas historias de compañías perjudicadas por un robo de su información privada, un problema que sólo puede ser prevenido implantando buenas prácticas centradas en la autenticación robusta como las que hemos reseñado. Además, al igual que anteriormente en los primeros momentos de Internet o de los ordenadores, las nuevas tecnologías de movilidad y los servicios en la nube están introduciendo nuevos riesgos de seguridad. La prevención de la pérdida de datos y la protección de la información confidencial en los accesos no autorizados debería ser un asunto de vital importancia en toda compañía.

Si bien es cierto que en general se precisa fortalecer la seguridad en toda el entorno empresarial, es básico que los ejecutivos y directivos reciban una atención personalizada con una protección más elevada de toda su información y de los accesos remotos que realicen. Es evidente que autenticar a un usuario por su nombre y contraseña no es la manera más segura de proteger los datos más relevantes de una empresa, que es básicamente la información manejada habitualmente por los ejecutivos. La utilización de zonas protegidas (sandbox), contraseñas de un único uso (OTPs), tarjetas criptográficas con autenticación multi-factor y biometría como parte del inicio de sesión y procedimiento de verificación de la identidad pueden prevenir la pérdida de datos y proteger la información más importante.