La protección de la identidad digital ¿una utopía inalcanzable?

Phishing, suplantación de identidad, ransomware… Son múltiples los ataques cuyo objetivo es hacerse con los datos de empresas y usuarios. Las técnicas son cada vez más diversas y protegerse de ellas, cada vez más difícil. A día de hoy, es más fácil ser víctima de un robo de identidad o de un secuestro de datos que serlo de un robo a mano armada o allanamiento de morada. Y no lo digo yo, por supuesto, lo muestra el informe anual de Proofpoint, State of the Phish, el 83% de las organizaciones globales afirmó haber sufrido al menos un ataque exitoso de phishing vía email en 2021, lo que supuso un aumento del 46% respecto a 2020.

Se dice que la realidad a veces supera la ficción y, por mucho que nos pese, este dicho, en ciberseguridad, lleva años siendo cierto. La ciberseguridad es, desde hace años una carrera de fondo, en la que empresas y cibercriminales avanzan con el objetivo de estar siempre por delante de su adversario. En IT Digital Security hemos hablado con algunos expertos en la materia para conocer cómo va esa carrera que va camino de ser el maratón más largo de la historia. Descubrimos de su mano cuáles son los riesgos de no proteger adecuadamente los activos de una empresa y cuáles las estrategias a implementar para mejorar la seguridad de los datos. La seguridad cien por cien no existe pero proteger la identidad digital de forma adecuada puede ser clave a la hora de no caer en la red de los cibercriminales.

“Desde el punto de vista empresarial, no tener una gestión de las identidades digitales de sus colaboradores genera un riesgo crítico a la información. Debido a que es imposible implementar controles de acceso y autenticación, sin una identificación plena de los usuarios” apunta Diego Samuel Espitia, Chief Security Ambassador - CSA de Telefónica Tech en Colombia.

Albert Barnwell, Sales Manager, Spain & Portugal de CyberArk, por su parte, añade: “Cada iniciativa importante relacionada con TI, desde habilitar el trabajo híbrido hasta introducir nuevos servicios digitales para clientes o ciudadanos, da como resultado más interacciones digitales entre personas, aplicaciones y procesos. Cada punto de conexión requiere una identidad digital para autenticar al ser humano o a la máquina involucrada”.

 

¿Estamos preparados para esta explosión de los datos? 

Un bajo porcentaje de compañías en España tiene un plan de respuesta en materia de seguridad para hacer frente a filtraciones y brechas, lo que ha causado importantes costes a muchas organizaciones. Sin ir más lejos, la semana pasada el gigante Orange, denunció el robo de datos de sus clientes a la Brigada de Investigación Tecnológica de la Policía Nacional y la Agencia de Protección de Datos asegurando haber sido víctima de un ciberataque en uno de sus proveedores lo que habría llevado a la filtración de información "sensible" de sus clientes.

Este ataque se suma a otro sufrido por Hacienda con el que se han robado nada más y nada menos que datos de medio millón de contribuyentes. Según la nota de prensa del órgano afectado, el ataque se habría producido a través de los sistemas manejados por el Poder Judicial, por lo que se trataría de información relacionada con perfiles que podrían estar en litigio con las Administraciones Públicas.

En este sentido, el informe CyberArk Identity Security en 2022 realizado en 12 países, incluido España, descubrió que la mayoría de las identidades de las organizaciones (tanto humanas como de máquinas), tenían acceso a datos confidenciales. “Solo se necesita una identidad comprometida para que un ciberdelincuente externo o interno inicie una cadena de ataque” apuntan desde CyberArk.

Viendo como las filtraciones de datos se suceden, cabe preguntarse ¿es la protección de la identidad digital una utopía inalcanzable? ¿Qué pasos se pueden tomar para mejorar la protección? 

Las soluciones como la gestión de acceso privilegiado (PAM) pueden ayudar, proporcionando procedimientos repetibles para rastrear y administrar credenciales privilegiadas. Y cuando se trata de una estrategia de seguridad efectiva, hay tres pilares de defensa a considerar: herramientas de administración de contraseñas que protejan las credenciales privilegiadas; gestión de sesiones privilegiadas, que supervisen continuamente las cuentas privilegiadas en busca de actividad anormal y verificación continúa del usuario basada en el comportamiento, capaz de detectar si realmente el usuario es quien dice ser a través de sus acciones.

Así lo asegura también el CSA de Telefónica Tech: “En este momento donde todos trabajamos desde cualquier lugar del mundo, donde las empresas están en la nube, donde la industria se maneja desde el celular, es vital que la "frontera" de ciberseguridad inicie en la identidad de los usuarios y de las máquinas, y que cada movimiento o acceso a la información sea monitoreado, controlado y analizado, para poder mitigar los riesgos e identificar los comportamientos anómalos en las infraestructuras”.

Otra posibilidad sería un enfoque de la seguridad por capas pues, según apunta Marie Le Pargneux, directora de desarrollo en TEHTRIS: “consigue una visibilidad más profunda para ayudar a los CISOs a neutralizar las amenazas y tomar decisiones de seguridad rápidamente”.

La seguridad por capas es una filosofía que apuesta por la utilización de multitud de soluciones de seguridad, capaces de hablar entre sí, con el objetivo de detener el máximo número de ataques aprovechando las especialización de la solución implementada en cada capa.

Lo que está claro es que la seguridad empresarial empieza en el usuario. Sin un empleado concienciado y formado en seguridad, proteger los activos de la empresa es mucho más complejo. Por eso, hemos querido hablar con varios expertos para conocer los riesgos de no proteger la identidad digital de forma eficiente, también a nivel usuarios, que es el punto de partida de muchos ataques a día de hoy.

Somos la primera generación capaz de documentar su vida por completo. Fotografías, vídeos, localización, reservas… Cada vez son más los datos que compartimos de forma casi sistemática en redes sociales o con nuestras aplicaciones.¿Sabemos hasta qué punto nuestros datos, esos que compartimos continuamente, son una fuente de información y poder para millones de empresas? ¿Sabemos cuáles son los riesgos?

Ofelia Tejerina, presidenta de la Asociación de Internautas 

Si hablamos de identidad digital hemos de distinguir, según Ofelia Tejerina, presidenta de la Asociación de Internautas, dos tipos de identidad: “lo que me identifica como ciudadano ante el gobierno y lo que me identifica ante la sociedad, ya sea a través de un nick, una fotografía etc..”. 

A priori, según nos cuenta Ofelia Tejerina, debería ser sencillo proteger la primera identidad, ya que “contamos con mecanismos que nos permiten que la utilización de nuestra identidad digital de ciudadanos esté asegurada en todo momento en transacciones o gestiones públicas del Estado”. Sin embargo, existen algunos problemas que hacen más difícil la protección de la segunda y que pueden afectar, en ocasiones, a la primera: “falta de garantías, falta de conciencia, de educación y de herramientas. Estas trabas pueden exponernos y provocar que nuestra identidad sea suplantada y utilizada para engañar a terceros o provocarnos daños frente a la administración pública, incluso incurriendo en delitos en nuestro nombre”, apunta la especialista en derecho informático.

Diego Samuel Espitia, Chief Security Ambassador - CSA de Telefónica Tech en Colombia

Y si hablamos de riesgos, no podíamos olvidarnos obviar la facilidad con la que los cibercriminales ganan dinero gracias a nuestros datos: Diego Samuel Espitia, Chief Security Ambassador - CSA de Telefónica Tech en Colombia, nos explica que “cuando hacemos un pedido a domicilio en una app, cuando le damos seguir a un perfil, cuando nos unimos a una lista de reproducción de música o cuando le damos que una película o serie nos gusta o nos disgusta, estamos dando información a los cibercriminales, información con la que crean los engaños, bien sea para multitudes como el spam o sean muy dirigidos como el spear phishing”.

Y es que, aunque pensemos que no somos el target de los cibercriminales porque nuestros datos “no interesan” lo cierto es que los datos se venden en la dark web por mucho dinero. Así lo demuestra el informe publicado por Privacy Affairs. Llamado Dark Web Index, este análisis expone el precios de servicios/productos ilegales disponibles en los mercados negros entre febrero de 2021 y junio de 2022. Incluye datos bancarios, correo electrónico, imágenes… todo es válido en un mundo en el que lo único que importa es el volumen. A más datos, mayor beneficio. Tal y como decía Mario García, director general para España y Portugal de Check Point, “la seguridad nace del usuario” y si “la gente tiene que tomar consciencia de la necesidad de protegerse”.

Y es que los riesgos, a nivel personal, van mucho más allá de que me roben los datos. “Si no tenemos garantías, legales y tecnológicas, qué protejan nuestra identidad digital, difícilmente podemos llevar a cabo acciones sin incurrir en riesgos. Como que nos suplanten la identidad por ejemplo”, nos cuenta Ofelia, sin olvidarse de que también puede suponer un problema legal: “si no me preocupo de que la información que comparto en internet quede en un entorno íntimo o controlado alguien puede aprovecharse y sacar partido de lo que comparto en ese entorno virtual”. Los datos que compartimos en Internet son muchos más útiles de lo que imaginamos. Pueden llegar incluso a afectar a nuestro entorno empresarial. 

Y es que, muchas veces, no solo son los usuarios quienes menosprecian el valor de sus activos digitales y minimizan la importancia del acceso adecuado y la gestión de la identidad. Las empresas también cometen este error y muchas de ellas acaban pagándolo muy caro.

Gestión de identidades y accesos:  la nueva piedra angular en ciberseguridad

La proliferación de ciberataques de robo de identidad están impulsando la adopción de soluciones de protección que protejan los activos de la empresa, y los avances tecnológicos, como la informática en la nube y la biometría, están cambiando la forma en que los ciudadanos se identifican online. En este sentido, el último estudio de Juniper Research estipula que el gasto global en soluciones de gestión de identidades y accesos aumentará de 16.000 millones en 2022 a 26.000 millones en 2027, registrando un crecimiento absoluto del 62% en los próximos 5 años.

Entre las tecnologías que más adeptos están ganando se encuentra la filosofía Zero Trust que, tal y como explica Albert Barnwell, “pone este pensamiento defensivo en práctica, trabajando para minimizar los movimientos de los atacantes, su acceso a aplicaciones y sistemas y, en última instancia, sus posibilidades de éxito”. “Una práctica completa de Zero Trust significa extender la filosofía “nunca confiar, verificar siempre” a las protecciones en todo el entorno de TI, incluidas las identidades y, por ejemplo, las aplicaciones y el entorno DevOps” añade.

La inversión en soluciones de ciberseguridad que aborden las amenazas actuales y se adapten a las necesidades de cada tipo de empresa debería ser automática, pero no vale con “adquirir” la tecnología, también hay que configurarla y adaptarla a la empresa en cuestión para realmente dar respuesta a las necesidades de detección y protección de toda la infraestructura y datos.

“Esto puede parecer desalentador, especialmente para aquellas organizaciones que ya están atrasadas en seguridad. Pero la creación de un “plan de riesgos” puede ayudar a identificar áreas de alto riesgo para abordarlas primero y, posteriormente, seguir un cronograma factible para incorporar los principios de Zero Trust para eliminar la deuda restante” apunta el Sales Manager para nuestro país de CyberArk. A lo que añade: “Con un plan sólido de riesgos centrado en las identidades, las organizaciones pueden fortalecer, de manera efectiva, las defensas contra las amenazas emergentes mientras avanzan en iniciativas clave para impulsar su negocio”.

Mario García, director de Check Point para España y Portugal

Por su parte, Mario García, de Check Point, asegura que “falta mucho por hacer en este campo y hay que tener presente que para ir por delante de las amenazas hay que adoptar un enfoque proactivo en ciberseguridad. Tener las medidas básicas contra el ransomware entre sus filas, formar a los empleados para identificar un email de phishing o proteger todos los dispositivos empresariales y enpoints es la base para evitar ser víctima de un ciberataque”.

El próximo paso a tener en cuenta, pues, es la necesidad de formar a empleados, adaptar la infraestructura e implementar un sistema de verificación de la identidad en aplicaciones prácticas que asegure una gestión eficaz. Por ello, se espera que en los próximos meses se produzca un aumento de las asociaciones de datos entre los proveedores para proporcionar sistemas de identidad completos y diversos. ¿Conseguiremos hacer de la identidad digital la piedra angular de la ciberseguridad en 2023?