¿Qué tienen en común M&S y Co-op Group? Además de estar entre los minoristas más reconocidos del Reino Unido, ambos fueron víctimas recientes de un importante ataque de ransomware. También sufrieron ataques de vishing que lograron obtener contraseñas corporativas, que dieron a los extorsionadores un punto de apoyo crítico dentro de la red.

Estas violaciones relacionadas con la identidad costaron ambos minoristas más de 500 millones de libras (667 millones de dólares), sin contar el daño a la reputación y el impacto en los clientes. La mala noticia para las organizaciones que operan en distintos sectores, incluidos los proveedores de infraestructuras críticas, es que esto es solo la punta del iceberg.

Por qué importa la identidad

¿Por qué la identidad se ha convertido en un vector de ataque tan popular? En parte, por la forma en que trabajan las empresas hoy. Antes, todos los recursos corporativos estaban protegidos detrás de un perímetro de red, y los equipos de seguridad lo defendían con una estrategia de “castillo y muralla”. Pero el entorno actual es mucho más distribuido. La proliferación de servidores en la nube, computadoras locales, portátiles para trabajo remoto y dispositivos móviles ha hecho que esas certezas desaparezcan.

Hoy, la identidad es el nuevo perímetro de la red, lo que convierte a las credenciales en un activo muy codiciado. Según Verizon, el uso indebido de credenciales estuvo presente en casi una cuarta parte (22%) de las filtraciones de datos del año pasado. Por desgracia, están en riesgo de varias maneras:

El malware tipo infostealer está alcanzando proporciones epidémicas. Puede instalarse en los dispositivos de las víctimas mediante phishing, aplicaciones maliciosas, descargas no autorizadas, estafas en redes sociales y otros métodos. Se estima que el 75% (2.100 millones) de las 3.200 millones de credenciales robadas el año pasado fueron obtenidas a través de infostealers.

El phishing, el smishing y el vishing siguen siendo métodos populares para obtener credenciales, especialmente en ataques más dirigidos. Con frecuencia, los atacantes investigan a la persona objetivo para aumentar sus probabilidades de éxito. Se cree que M&S y Co-op sufrieron ataques de vishing contra su servicio de asistencia informática subcontratado.

Las filtraciones de datos que afectan a las bases de datos de contraseñas de las organizaciones o de sus proveedores también son una fuente valiosa de credenciales para los ciberdelincuentes. Al igual que ocurre con los infostealers, estas credenciales terminan en foros de ciberdelincuencia para su venta y posterior uso.

Los ataques de fuerza bruta emplean herramientas automatizadas para probar grandes volúmenes de credenciales hasta encontrar una que funcione. El relleno de credenciales utiliza listas de combinaciones de inicio de sesión (usuario/contraseña) previamente comprometidas contra múltiples cuentas. La pulverización de contraseñas aplica el mismo principio, pero con una lista pequeña de contraseñas comunes. Por último, los ataques de diccionario prueban contraseñas habituales, frases y credenciales filtradas contra una sola cuenta.

No es difícil encontrar ejemplos de incidentes de seguridad catastróficos derivados de ataques basados en la identidad. Aparte de los casos de M&S y Co-op Group, está el de Colonial Pipeline, donde un probable ataque de fuerza bruta permitió a los autores del ransomware comprometer una única contraseña en una VPN heredada, provocando una importante escasez de combustible en la costa este de Estados Unidos. Asimismo, KNP, la empresa británica de logística se vio obligada a declararse en quiebra después de que los hackers simplemente adivinaran la contraseña de un empleado y cifraran los sistemas críticos.

Las amenazas a la identidad de un vistazo

Los riesgos que plantea la vulneración de la identidad se ven amplificados por otros factores. El principio de mínimo privilegio es una práctica fundamental que consiste en conceder a las personas solo los privilegios de acceso necesarios para desempeñar su función, y nada más, generalmente por un tiempo limitado. Por desgracia, a menudo no se aplica correctamente, lo que da lugar a cuentas con privilegios excesivos.

El resultado es que los actores de amenazas que utilizan credenciales comprometidas pueden avanzar más dentro de la organización afectada, moverse lateralmente y alcanzar sistemas sensibles. Esto amplía el “radio de explosión” tras una brecha y aumenta el daño potencial. El mismo problema puede agravar el riesgo que plantean las personas con información privilegiada, malintencionada o incluso negligente.

La proliferación de identidades es otro reto importante. Si el departamento de TI no gestiona adecuadamente las cuentas, credenciales y privilegios de usuarios y máquinas, inevitablemente surgen puntos ciegos de seguridad. Esto incrementa la superficie de ataque para los ciberdelincuentes, facilita los ataques de fuerza bruta y aumenta la probabilidad de cuentas con privilegios excesivos. La llegada de agentes de IA y el crecimiento continuo del IoT incrementarán enormemente el número de identidades de máquinas que deben gestionarse de forma centralizada.

Por último, hay que considerar la amenaza que representan socios y proveedores. Esto puede incluir un MSP o subcontratistas con acceso a sistemas corporativos, o incluso un proveedor de software. Cuanto más grandes y complejas sean las cadenas de suministro físicas y digitales, mayor será el riesgo de que la identidad se vea comprometida.

Cómo mejorar la seguridad de la identidad

Un enfoque planificado y multinivel para la seguridad de la identidad puede ayudar a mitigar el riesgo de un compromiso grave. Considere lo siguiente:

  • Adopte el principio de mínimo privilegio y revise o ajuste regularmente estos permisos. Esto minimizará el radio de explosión de los ataques.
  • Aplique políticas de contraseñas fuertes y únicas para todos los empleados, almacenadas en un gestor de contraseñas.
  • Refuerce la seguridad de las contraseñas con autenticación multifactor (MFA) para que, incluso si un atacante obtiene una credencial corporativa, no pueda acceder a la cuenta. Prefiera aplicaciones de autenticación o métodos basados en claves de acceso en lugar de códigos SMS, que pueden ser interceptados fácilmente.
  • Refuerce la seguridad de las contraseñas con autenticación multifactor (MFA) para que, incluso si un atacante obtiene una credencial corporativa, no pueda acceder a la cuenta. Prefiera aplicaciones de autenticación o métodos basados en claves de acceso en lugar de códigos SMS, que pueden ser interceptados fácilmente.
  • Practique una gestión sólida del ciclo de vida de las identidades, aprovisionando y desaprovisionando automáticamente las cuentas durante la incorporación y salida de empleados. Realice análisis periódicos para identificar y eliminar cuentas inactivas, que suelen ser secuestradas por actores maliciosos.
  • Proteja las cuentas privilegiadas mediante un enfoque de gestión de cuentas privilegiadas (PAM) que incluya rotación automática de credenciales y acceso justo a tiempo.
  • Refuerce la formación en seguridad para todos los empleados, desde la dirección hasta el personal operativo, asegurándose de que comprendan la importancia de la seguridad de la identidad y sepan identificar las últimas tácticas de phishing. Los ejercicios de simulación pueden ayudar en este aspecto.

La mayoría de estas recomendaciones conforman un enfoque de ciberseguridad basado en confianza cero: “nunca confíes, siempre verifica”. Esto implica autenticar, autorizar y validar cada intento de acceso, humano o de máquina, tanto dentro como fuera de la red, y supervisar continuamente los sistemas para detectar actividades sospechosas.

Aquí es donde una solución de detección y respuesta gestionadas (MDR) puede aportar un gran valor. Un equipo de expertos disponible 24/7 vigila la red y alerta rápidamente sobre cualquier posible intrusión para contenerla y gestionarla. Las mejores prácticas en seguridad de identidad comienzan con una mentalidad de prevención ante todo.