¿Quién puede hacer qué?

‘The House of Wolf’, era un simple pub de Islington, en norte de Londres. Otro bar más, totalmente corriente y anónimo. Y así es como a sus propietarios les hubiera gustado que permaneciera; conocido sólo por aquellos que lo frecuentan. La cosa cambió cuando despidieron a uno de sus empleados. El trabajador, enfadado con el establecimiento, utilizó las contraseñas de acceso a las cuentas de redes sociales y la página web del House of Wolf, para vengarse de sus antiguos jefes.

Este contenido fue publicado en el número de julio de la revista IT Digital Security, disponible desde este enlace.

Bloqueó la página web y exigió un rescate para liberarla, y en las cuentas de Facebook y Twitter, pidió a los clientes que no acudieran al pub. “Aguamos la cerveza”, escribió en las redes sociales. “Nos encanta tratar bien al cliente. Ah, no, espera… No somos más que unos bastardos que timamos a la gente”.

Los daños para ‘The House of Wolf’ fueron irreparables. Pero estos incidentes no sólo ocurren en pequeños negocios. En 2013, los trabajadores de His Master’s Voice (HMV), la cadena de tiendas de música británica, se hicieron con el control de la cuenta de Twitter de la compañía para denunciar los despidos masivos que estaba llevando a cabo la empresa.

Son sólo dos ejemplos de algo que los responsables de seguridad ya saben: la mayor amenaza no procede de sofisticados ciberataques, sino de uso indebido de credenciales legítimas. Sin ir más lejos, un estudio de la consultora Switchfast revela que uno de cada cinco empleados comparte sus contraseñas de acceso al correo con otros compañeros de trabajo y el 66% de los directores de pymes americanas se conectan a redes públicas para trabajar.

Ya sea para contener los posibles daños de reputación, o impedir el robo de datos sensibles para la compañía, la gestión de identidades y el acceso delegado, se imponen como una exigencia en el nuevo panorama de seguridad. ¿Qué pasaría si esas credenciales caen en manos de criminales, o simplemente quedan a disposición de un empleado despechado?

“Mi presencia en LinkedIn está directamente relacionada con la actividad de nuestra compañía y la relación con nuestros prospectos, clientes y partners. En consecuencia, mi perfil social constituye un importante activo digital que debe ser salvaguardado y utilizado de forma inteligente. Esto es extrapolable a otras redes sociales, así como cualquier perfil profesional cuya actividad en las redes pueda ser percibida como un ejercicio de comunicación corporativa”, explica, Ignacio Gilart, CEO de la compañía de seguridad WhiteBearSolutions.

“Por esa razón, el acceso y la gestión de todas estas cuentas debería tener lugar de una forma ágil y, sobre todo, segura. Pero desgraciadamente, en la práctica, son muchas las empresas que exponen estas credenciales innecesariamente, o bien permiten que los accesos tengan lugar de una forma insegura y poco eficaz”.

La gestión de numerosas cuentas hace que los empleados deban recordar un gran número de contraseñas –incluyendo las de los perfiles sociales-, lo que puede dar lugar a errores y ralentización en la realización de las funciones propias de un puesto.

“En caso de que una cuenta se vea comprometida y los datos de acceso terminen en manos de una persona no autorizada, podría tener lugar un abuso en la utilización del perfil social afectado y el consiguiente daño a la reputación e imagen corporativa de la organización” advierte WhiteBearSolutions en su blog corporativo.

La gestión de acceso delegada permite que los empleados puedan acceder con un solo clic y de forma segura a todos y cada uno de sus perfiles sociales, sin necesidad de exponer sus credenciales, y compartir los accesos a los perfiles de las redes sociales con aquellos a los que se atribuya la función de gestionarlas, sin necesidad de que conozcan los detalles de las credenciales, como pudieran ser el nombre de usuario o la contraseña.

“Mediante la utilización de un sistema de gestión de acceso delegado como el de SmartLogin, el responsable de estas tareas, podrá acceder a un portal de control central, desde el que ingresar fácilmente a cada uno de los perfiles corporativos, sin necesidad de conocer las credenciales de acceso de éstos, ni disponer de autorización para modificarlos”, explica la compañía sobre su solución de gestión de identidades aplicada al manejo de redes sociales.

La gestión de identidades, más allá de la mera autenticación

La gestión de identidades va más allá de la mera autenticación de los usuarios, sino que permite conocer cuáles son los roles de esos usuarios, y por tanto establecer de forma automática las credenciales de acceso dependiendo de cuál sean sus funciones en cada momento.

Según un informe citado por CA Technologies, el 87 % de las organizaciones consideran que se les concede a las personas demasiadas posibilidades de acceder a recursos de información que no son pertinentes para las características de su puesto de trabajo. El 61 % de las organizaciones no comprobaban las solicitudes de acceso con las políticas de seguridad antes de autorizar y asignar los accesos.

Gestionar las identidades de usuario y su acceso a la información esencial durante el ciclo de vida de los servicios implica muchos procesos distintos, incluidos la incorporación o integración, la gestión de contraseñas, el autoservicio, las solicitudes de servicios y la certificación de accesos.

“En muchas organizaciones, estos procesos se realizan manualmente o solo están parcialmente automatizados. Gracias a la automatización, la organización puede reducir los costes administrativos y disminuir los riesgos para la seguridad provocados por procesos manuales o incoherentes. Las soluciones de control y gestión de identidades también ofrecen controles de seguridad adicionales, como autorizaciones de flujos de trabajo, políticas de segregación preventiva de funciones o control y auditorías de accesos basados en roles, todos destinados incrementar la seguridad y simplificar los procesos de la organización”, explica la compañía americana CA Technologies, que ofrece soluciones de gestión a través de su consola CA Identity Suite.

“La mayoría de las organizaciones abordan los requisitos de seguridad internos y normativos externos mediante una combinación de procedimientos y políticas de seguridad que estipulan cuál es el comportamiento adecuado y validan que los usuarios cuentan regularmente con un acceso apropiado. Estos procesos requieren una monitorización proactiva para detectar accesos o actividades indebidas en los sistemas empresariales”.

No se trata sólo de contar con un sistema robusto de autenticación de usuarios, sino de garantice de manera continua su autenticidad, incluso después de haber hecho log-in. La consigna es clara: no fiarse de nadie.

Cada vez, más compañías aplican los conceptos CARTA -Evaluación Continua de Confianza y Riesgos, por sus siglas en inglés- y Zero Trust –confianza cero- para garantizar la veracidad de las identidades y el acceso a los datos. Según Gartner, el 25% de las nuevas iniciativas digitales en 2020 incorporarán una estrategia CARTA, en comparación con el 5% de 2017.

Este tipo de aproximaciones a la seguridad, como Zero Trust, parten de una clara premisa: eliminar la idea de que existe una red fiable dentro de un perímetro corporativo definido, incluso dentro de las propias instalaciones ‘on-premises’, explica la empresa ForgeRock, especializada en gestión de identidades.

“Normalmente, a medida que los usuarios se autentican, se les otorga un token o cookie que permite el acceso hasta que caduque o sea revocado. Los enfoques modernos para la autenticación incluyen la captura de contexto en el momento del inicio de sesión: ubicación, tipo de navegador, dirección IP y muchos otros factores”, explica Simon Moffatt, director de gestión de productos de ForgeRock.

El enfoque de ForgeRock es validar continuamente no solo que el token es válido y activo, sino también que el contexto que daba cuando se emitió el token todavía permanece. "Si se encuentran discrepancias, la tradicional respuesta de denegar el servicio se puede sustituir por otra de acceso limitado a una serie de funciones”.

El reto de la movilidad y los servicios en la nube

Las empresas están cada vez más inmersas en procesos de movilidad para ejercicio de las tareas profesionales, también lleva implícito una eficaz gestión de la seguridad y del riesgo por parte de las mismas. Para ello, existen sistemas integrados de procesos, políticas y tecnologías que facilitan y controlan el acceso de los usuarios a sus recursos y aplicaciones, además de proteger su información confidencial, tanto personal como profesional, de usuarios no autorizados.

“En este contexto de optimización del flujo de trabajo en diferentes entornos, donde se permite a los empleados trabajar desde cualquier sitio y en cualquier momento con un dispositivo, conceptos como autenticación, cifrado, gestión eficaz de claves o gestión de eventos de seguridad se hacen tan imprescindibles como necesarios para acceder a herramientas y servicios de la empresa”, escribe Ignacio Gilart, CEO de WhiteBearSolutions.

La mayoría de los empleados no son conscientes de que sus acciones, aparentemente inocentes, ponen a su organización en un riesgo significativo de una posible violación de datos. Por ejemplo, los empleados que trabajan los fines de semana en una cafetería, son susceptibles de ser víctimas de piratas informáticos que buscan lanzar ataques “man in the middle” o distribuir malware gracias a que acceden a servidores privados a través de redes inalámbricas abiertas. Y las políticas de ‘Bring Your Own Device” no hacen más que ampliar las vulnerabilidades.

“La utilización del phishing, el baiting u otras técnicas similares permiten a los delincuentes hacerse con las credenciales de acceso de los usuarios de tu organización y llevar a cabo una violación de seguridad de una forma mucho más inadvertida. Es entonces cuando lo idóneo es disponer de un sistema de autenticación adaptativa, el cual aplique nuevas capas de seguridad y control de accesos, especialmente, cuando la infraestructura IT se encuentra en la nube”, añade Gilart.

“En el momento en que trasladas tus aplicaciones, sistemas de control de accesos y el resto de la infraestructura IT de tu negocio a la nube, tu perímetro de seguridad se abre de forma exponencial. Hasta ese momento, dicho perímetro podía mantenerse relativamente cerrado y bajo control mediante, por ejemplo, el firewall del sistema. Con el traslado a la nube, el panorama cambia por completo” explica el CEO de WhiteBoardSolutions.

Mediante la autenticación adaptativa que propone WhiteBearSolutions, es posible permitir que, en un momento dado, un empleado acceda a unas determinadas aplicaciones o servicios en la nube y lo haga desde un conjunto de IPs seguras, como puedan ser las correspondientes a la oficina.

“En el caso de que ese usuario utilice los mismos mecanismos de acceso pero, en lugar de la oficina, lo haga desde su casa, el sistema de control de accesos es capaz de detectar que aquel no está operando en una red segura y  restringir el acceso o bien aplicar mecanismos de seguridad complementarios como, por ejemplo, un doble factor de autenticación con un código de único uso, etc. Esa es una de las principales fortalezas de SmartLogin, nuestra plataforma de gestión y control de accesos”.

Jaime Velázquez