Por Juan Carlos Vázquez, Director para Latinoamérica en Attivo Networks
En la protección de la infraestructura tecnológica de una empresa, aún hay quien cree que la regla de oro es: impedir, a toda costa, el ingreso de un agente nocivo a la plataforma. La realidad, lamentablemente, nos está confirmando que no todo lo que brilla es oro.
En una red, las tecnologías enfocadas en controlar los accesos sin duda cumplen una función relevante. Sin embargo, los cibercriminales han encontrado la forma de superar dichas barreras (en despliegues on-premise y de nube), y su método preferido para hacerlo es robar la identidad de un usuario legítimo.
Una táctica que anula la capacidad de las herramientas mencionadas, dado que nunca observan a un agente nocivo oculto en una identidad hurtada, sino a un usuario típico de la compañía -que sólo está actuando de una forma “poco habitual”.
Para robar una identidad, los cibercriminales no tienen que realizar un esfuerzo extraordinario: comprometen un endpoint de la red y toman las credenciales de usuario (la relación username-password que la persona utiliza para validar su acceso y aprovechamiento de diversos recursos de la red) que encuentran en el equipo. Y con las credenciales ya en su poder, las aprovechan –bajo el disfraz de la identidad legítima– para entrar a la infraestructura, mantenerse escondidos y llegar hasta el muy valioso Directorio Activo (Active Directory; AD).
Con acceso al AD, el componente que enlista y gestiona todos los recursos disponibles en la infraestructura, los agentes maliciosos podrán escalar privilegios, realizar movimiento lateral en la red y organizar un ciberataque de alto impacto. Y todo esto, sin que los sistemas defensivos de la organización logren descubrir que detrás de un usuario aparentemente legítimo -que se está moviendo por toda la infraestructura- se encuentra un cibercriminal que está aprovechando una identidad robada.
Datos duros
- El 61% de todas las fugas de información involucra datos de credenciales (como credenciales robadas o filtradas), según la edición 2021 del Informe de Investigaciones de Brechas de Datos de Verizon.
- Para 2023, el 75% de las fallas de seguridad en la nube estará vinculada a una gestión deficiente de identidades, accesos y privilegios, según información de la consultora global Gartner.
- Todos los días, 95 millones de cuentas de AD (recurso al que se puede acceder con una identidad hurtada) se colocan en la mira de los cibercriminales, de acuerdo con datos de Microsoft.
- En opinión de Gartner, el factor de la identidad es una de las ocho prioridades de ciberseguridad para 2021.
Asumir una visión de la ciberseguridad que coloque a la identidad como un factor crítico, podría resultar difícil para algunas empresas. Implica reconocer un paradigma totalmente distinto (y un poco amargo): no todos los ataques se podrán evitar y, en ese sentido, habría que aceptar que un actor malicioso –usando tácticas como el robo de identidad– siempre logrará colarse a la red de la compañía.
Así, el nombre del juego ya no es la búsqueda de la invulnerabilidad, sino la agilidad y la eficiencia a la hora de detectar, enfrentar y contener a las amenazas digitales. Hasta cierto punto, exige asumir el peor escenario (no considerarlo imposible) y actuar en función de él.
Las organizaciones que se resistan a esta nueva perspectiva, en sus despliegues tradicionales o Cloud, se colocarán en una seria posición de desventaja, ya el hurto de identidades –y las acciones que derivan del pillaje– ya está afectando a las empresas del mundo.