19 de mayo de 2023

A medida que las organizaciones se transforman digitalmente para ampliar el acceso a los servicios en línea, el reto pasa de permitir el acceso a proteger a las personas de los ciberdelincuentes. Los actores de las amenazas están en continuo desarrollo, utilizando herramientas y técnicas de nivel empresarial de formas cada vez más sofisticadas para burlar los sistemas de seguridad que los protegen.

Desgraciadamente, muchas organizaciones cometen un error crucial en materia de ciberseguridad: invierten recursos en métodos de seguridad comercializados, reaccionando constantemente ante las brechas y las credenciales comprometidas en lugar de prepararse para el futuro con medidas preventivas.

Hoy hablamos con Matt Welch, Jefe de Inteligencia de Amenazas de iProov. Matt tiene un amplio historial de liderazgo y consultoría en departamentos globales de Inteligencia de Amenazas, tras 16 años de servicio en las Fuerzas Armadas canadienses. Ahora, en iProov, Matt estudia la evolución del panorama de las amenazas biométricas y los actores de las mismas, al tiempo que desarrolla marcos para combatir los tipos de amenazas.

Nos sentamos con Matt para comprender mejor el macroestado de la ciberseguridad en el primer trimestre de 2023.

Entender la evolución de las amenazas en el primer trimestre de 2023

P: Matt, ¿qué tendencias y evoluciones ha observado en la ciberseguridad en lo que va de año?

R: Se ha observado un cambio en las tácticas de un prolífico actor de amenazas, el grupo que Crowdstrike ha denominado Scattered Spider. Curiosamente, se están centrando en el phishing, especialmente en los correos electrónicos y dominios de phishing. El phishing es una forma de amenaza común y establecida desde hace mucho tiempo, cuyo objetivo es inducir a los individuos a revelar su información personal, pero sigue siendo notablemente eficaz contra las organizaciones que dependen de las credenciales para la seguridad de la información. Puedes leer más sobre esta tendencia en el último informe de crowdstrike aquí.

El punto clave aquí es que los actores de amenazas se dan cuenta de que las credenciales siguen siendo la fruta más fácil de conseguir. A menudo, ni siquiera necesitan el phishing; las amenazas pueden conseguir fácilmente credenciales comprometidas, ya que muchas están dispersas por la darknet. A continuación, pueden utilizar ataques de relleno de credenciales para ver a qué otras cuentas pueden acceder con esta información.

La conclusión es que, dado que muchas organizaciones utilizan protocolos de autenticación multifactor, los otros tipos de autenticación - "algo que posees" y "algo que sabes"- serán naturalmente objeto de ataques tras el robo de credenciales. Si una organización emplea la autenticación multifactor (MFA ) y los actores de la amenaza están recopilando credenciales a través del phishing, lógicamente, los otros factores de autenticación serán atacados a continuación.

Esta es, en parte, la razón por la que la tecnología biométrica se ha vuelto esencial: aunque se pueden recopilar y compartir fácilmente credenciales comprometidas, no se puede capturar y utilizar la presencia genuina del rostro vivo de alguien. Así que la buena noticia es que "algo que eres" puede ser increíblemente difícil de descifrar, a diferencia de "algo que sabes" o "posees".

El problema de los métodos de autenticación basados en credenciales y el énfasis erróneo en "algo propio"

P: Matt, las credenciales están amenazadas por un renovado interés en el phishing. Qué se puede decir de los demás factores de autenticación?

R: Sí, las amenazas se centran actualmente en las credenciales. Pero a medida que más y más organizaciones implementen la autenticación multifactor, volverán su mirada hacia los otros factores utilizados para asegurar la MFA.

Pero un punto más importante aquí es que los protocolos MFA asegurados con factores de "algo que posees", como los códigos de acceso de un solo uso (OTP), no son una solución a largo plazo. Los ciberdelincuentes han derrotado a estas tecnologías de verificación tradicionales, lo que ha llevado a la mercantilización de lo que antes se consideraban opciones seguras (puedes leer más sobre los riesgos de las OTP aquí, por ejemplo).

Las OTP son un paso adelante con respecto a las contraseñas y a menudo ofrecen un mayor nivel de seguridad que la autenticación basada en credenciales. Sin embargo, los factores basados en la posesión son cada vez más susceptibles y aún pueden ser robados o interceptados. No es una bala de plata.

En términos más generales, yo diría que la dependencia excesiva tanto de la autenticación basada en credenciales como en la basada en la posesión ha conducido a un círculo vicioso en el que las organizaciones están atrapadas en un estado de reacción y detección ante las amenazas en lugar de prevención, creando una "industria" de la carga administrativa en la seguridad de la información.

La dicotomía del tipo de control: Prevención frente a detección

P: Matt, ¿qué se puede hacer para combatir las amenazas a los sistemas de autenticación?

R: Por lo general, las organizaciones están demasiado centradas en lo que les perjudica en estos momentos: están constantemente apagando incendios provocados por contraseñas débiles y autenticación basada en la posesión, por lo que los profesionales de la seguridad de la información están demasiado ocupados (o no tienen toda la información que necesitan) para darse cuenta de que hay una forma mucho mejor.

La tecnología biométrica ofrece un mejor enfoque de la seguridad. Adoptar un producto maduro y fiable que garantice la identidad genuina de un usuario remoto tiene una eficacia única.

La ciberseguridad puede dividirse en controles preventivos y detectivos. Tradicionalmente, la ciberseguridad se ha centrado en los controles de detección, que son increíblemente caros.

Piénselo así: es la diferencia entre pagar a alguien para que recorra su edificio y compruebe si alguien ha entrado, o simplemente cerrar la puerta con llave. En esta analogía, la biometría es la cerradura: detiene la gran mayoría de sus problemas en la fase más temprana. En este sentido, la tecnología iProov es la medida preventiva definitiva.

Además, el coste de un sistema maduro de capacidad de ciberseguridad en una organización dada es astronómico; elementos como un Centro de Operaciones de Seguridad (SOC), personal, respuesta a incidentes, subcontratación, API, integraciones y plataformas de inteligencia de amenazas, todos suman. Sin embargo, el coste de una solución biométrica resiliente es mucho menor.

iProov ofrece el Centro de Operaciones de Seguridad iProov (iSOC) como parte de su solución biométrica. A través de iSOC, iProov supervisa el tráfico en tiempo real para detectar patrones de ataque en múltiples geografías, dispositivos y plataformas. iSOC proporciona la profundidad de visibilidad y la amplitud de control como si estuviera desarrollando su propia tecnología interna, con la ventaja de no tener gastos generales adicionales. Todas las soluciones reciben soporte, mejoras y actualizaciones sin tiempo, costes ni recursos adicionales.

Además, estos actores de amenazas son conscientes de que los empleados salen del trabajo para el fin de semana a una hora determinada del viernes, por lo que coordinan sus ataques en torno a esa fecha. Por eso son fundamentales los procesos automatizados.

En última instancia, un proceso de AMF que incorpore la tecnología biométrica adecuada para garantizar una presencia auténtica elimina cantidades colosales de ese dolor y estrés al centrarse en la prevención.

Reflexiones finales sobre las tendencias de la inteligencia sobre amenazas

P: ¡Gracias, Matt! ¿Algún comentario final?

R: La gente debe entender que es increíblemente difícil identificar los ataques generativos de IA, como los deepfakes o, más recientemente, los intercambios de caras, sobre todo a simple vista. El resultado fraudulento puede parecer totalmente realista y muy diferente de la entrada real. No podemos confiar en las personas para detectar los ataques de IA.

Nota: En una encuesta de iProov, el 57 % de los encuestados globales afirmaron que podían diferenciar entre un vídeo real y un deepfake, lo que supone un aumento con respecto al 37 % de 2019. Sin embargo, IDIAP reveló que, en realidad, solo el 24 % de los participantes en su estudio podía detectar un deepfake. Un deepfake de alta gama puede ser genuinamente indistinguible de la realidad para el ojo humano.

Si nos fijamos en las distintas soluciones biométricas, pueden ofrecer niveles muy diferentes de garantía de que una autenticación determinada es una persona viva y no una falsificación. Por tanto, es necesario educar sobre los distintos tipos de vida y tecnologías disponibles -las diferencias entre un solo fotograma, varios fotogramas, pasivo, activo, etc.- y por qué es tan necesaria una solución de misión crítica.

La pregunta "¿cómo podemos estar seguros de la identidad de alguien en Internet?" es un tema muy importante y serio, y no va a desaparecer. Una autenticación y verificación débiles significan fronteras más débiles en el punto de viaje, cuentas en línea comprometidas, seguridad de la información más débil y mucho más. Me preocupa que algunas personas sigan considerando la biometría como ciencia ficción, porque es real, es necesaria y se necesita ahora más que nunca.

Recordatorio: nuestro último informe, "iProov Biometric Threat Intelligence", es el primero de su clase. En su interior, iluminamos los patrones de ataque clave presenciados a lo largo de 2023. Destaca patrones de ataques biométricos en producción desconocidos hasta ahora, para que las organizaciones puedan tomar decisiones informadas sobre qué tecnología y qué nivel de seguridad desplegar. Lea el informe completo aquí.

Inteligencia sobre amenazas y verificación de identidad Observaciones con Matt Welch Entrevista