No hace falta ser astrofísico para darse cuenta de que el robo de credenciales es la forma más frecuente con la que los usuarios externos obtienen acceso a su información confidencial. De hecho, con solo buscar las palabras “robo de credenciales” en Google, aparece una interesante y terrorífica lista de vulneraciones de seguridad. Además de algunas de las que más estragos han causado.

Anthem perdió información confidencial de 80 millones de clientes. A esos registros se ac-cedió a través del robo de credenciales de un usuario privilegiado que tenía acceso a dicha información.

Las vulneraciones de los puntos de venta de Target y Home Depot también se debieron al robo de credenciales. Cabe señalar que, en estos casos, la vulneración no se realizaba a través de la cuenta de un usuario interno, sino a través de las cuentas de usuarios privilegia-dos ubicadas en proveedores de servicios de terceros cuyas credenciales fueron robadas.

Aunque los usuarios externos obtuvieron ac-ceso a las credenciales internas a través de diversos medios, el phishing es el método más popular. Requiere relativamente poca inversión y es muy eficaz. Otras vulnerabilidades rela-cionadas con credenciales incluyen contrase-ñas poco seguras y credenciales compartidas entre varios sistemas. Las contraseñas poco seguras son un reto. Gestionarlas requiere un equilibrio entre establecer la contraseña definitiva y permitir al usuario elegir algo que realmente pueda recordar, especialmente en entornos donde no se utiliza entrada única.

Una visión más amplia del uso de credenciales revela que es habitual que las personas utilicen un conjunto común de credenciales en todos los servicios que utilizan, tanto internos como los basados en la nube. Por lo tanto, si cual-quiera de los sistemas en los que se utilizan es-tas credenciales compartidas está en peligro, los demás sistemas también son vulnerables. La triste verdad es que suelen pasar meses antes de que los usuarios se den cuenta de que sus credenciales han sido robadas.

El nivel adecuado de autenticación:El robo de credenciales es el arma utilizada con mayor frecuencia en la vulneración de seguridad

Por qué la autenticación basada en riesgos puede ser adecuada para usted:

Las credenciales robadas o comprometidas son una de las principales herramientas utilizadas por los ladrones de información.

La protección mediante contraseñas no es siempre segura para lo que está en juego.

Mantenga la comodidad mediante la autenticación complementaria solo cuando el nivel de riesgo lo justifique.

Informe sobre aspectos clave

Informe sobre aspectos claveEl nivel adecuado de autenticación: el robo de credenciales es el arma utilizada con mayor frecuencia en la vulneración de seguridad

2

Tanto si se trata de una pequeña o gran empresa, el riesgo es grande¿Por qué las pymes (pequeñas y medianas empresas) deben preocuparse por los riesgos que les genera la vulneración de la seguridad informática? Después de todo, muchos pro-pietarios piensan que los piratas informáticos y ladrones de identidad solo tienen a gran-des corporaciones en el punto de mira. Sin embargo, según una encuesta realizada por el Instituto Ponemon, más de la mitad de los usuarios ya han sido objeto de ataques. La rea-lidad es que los ladrones saben que, al igual que las grandes empresas, las pymes tienen información valiosa. Si bien es cierto que, en términos relativos, la información especializada de las pymes (a menudo, listas de clientes y empleados) es un pequeño trofeo, una se-guridad débil y que pueda verse fácilmente comprometida genera un buen retorno de la inversión para los piratas informáticos. No es raro que una pyme de comercio electrónico pierda entre 5000 y 20 000 de los registros de las tarjetas de crédito robadas. No está mal para un día de trabajo.

Para las empresas, los riesgos son aún más notables, incluso enormes. No pasa una se-mana sin que una organización conocida o de perfil alto sea objeto de una advertencia de pérdida masiva de información confidencial. Y con la creciente lista de organizaciones mino-ristas, públicas, sanitarias y del sector finan-ciero que han sufrido graves vulneraciones, no es de extrañar que rueden cabezas.

Así que si usted es director general, director de sistemas de información, director de un ente público o responsable de mantener su em-presa segura, el riesgo creado por el robo de credenciales es real. El peligro no está solo en que alguien consiga la credencial de un usua-rio privilegiado; sino también en la posibilidad de usarla sin ser detectado.

Añadir más seguridad que la que sus usuarios conocen (contraseñas) Un reciente estudio del Instituto Ponemon afirma que casi la mitad de todas las empresas han sufrido vulneraciones en los últimos 12 meses. Por supuesto, la causa y la gravedad

de estas vulneraciones varían; pero, si se tiene en cuenta que el número de credenciales comprometidas representa más de la mitad de estos fallos, debemos plantearnos en qué grado debemos depender exclusivamente de las credenciales. Según ciertas conclusiones principales del informe sobre vulneraciones de Verizon, estas son algunas de las tendencias dominantes que vale la pena destacar:

Aproximadamente 8 de cada 10 vulneraciones están relacionadas con las contraseñas. Este volumen es enorme. De hecho, la mayoría de las vulneraciones más costosas y notorias implican credenciales robadas o compartidas. Mientras la puerta siga abierta, no podrá proteger su negocio.

Aproximadamente, 2 de cada 3 empresas tienen al menos 6 directivas de contraseñas diferentes. Tener un entorno de contraseña complejo obliga a los usuarios a anotarlas para tenerlas a mano, por no mencionar la necesidad de compartir credenciales cuando sus cuentas se bloquean.

Aproximadamente, 2 de cada 3 empresas que permiten el acceso de los partners a los recursos y a la información interna confían exclusivamente en las contraseñas de los usuarios para verificar su identidad. Esto es como si se compartiera la cuenta con todo el mundo. Como la actualización de cuentas genera molestias y a menudo tiene una prioridad baja, los partners a menudo permiten que varios usuarios utilicen una cuenta compartida.

El resultado es que es casi imposible man-tener las contraseñas lejos de delincuentes y otros usuarios externos. Entre los métodos más temibles que los atacantes utilizan se encuentran el phishing, el acto de engañar a una persona a la hora de entregar información. Estos tipos de ataques han estado aumen-tando rápidamente en los últimos años, ob-viamente porque son muy eficaces. De hecho, hace unos años, Trend Micro informó de que más de 9 de cada 10 ataques dirigidos fue-ron en forma de phishing. Trend Micro señala que “puede que estos objetivos conozcan lo suficientemente las prácticas más adecuadas en materia de seguridad para evitar correos electrónicos habituales de phishing o que no tengan tiempo para leer mensajes genéricos. El spear-phishing aumenta significativamente las posibilidades de que los objetivos lean un mensaje que permita a los atacantes compro-meter sus redes”.

La autenticación precisa más inteligenciaLa autenticación de varios factores propor-ciona una forma contundente de verificar la identidad de un usuario, porque requiere algo más que lo que el usuario conoce, como una contraseña o pregunta de seguridad. Se puede

3www.netiq.com

configurar para requerir otro método que impli-que algo de lo que el usuario disponga, como un teléfono móvil u otro dispositivo de auten-ticación. O bien, puede depender de algo que el usuario sea, como en caso de los lectores biométricos. El problema es que, en muchos entornos, sus usuarios se volverán locos si les obligan a realizar ese paso adicional cada vez que necesite realizar su trabajo. Para estas si-tuaciones, debe haber una manera de limitar esa capa adicional de verificación de identidad solo cuando el riesgo empresarial lo justifique.

Se puede pensar en la autenticación basada en riesgos como la autenticación inteligente. Es inteligente, porque aprovecha el compor-tamiento y las actividades del usuario para decidir si es necesario otro método de auten-ticación para verificar la identidad del usuario. Estas características incluyen atributos como la ubicación o la hora de acceso del usuario, si el dispositivo es o no conocido, así como el tipo de activo al que se accede, etc.; y todo

ello proporciona el contexto pertinente para determinar el riesgo de la petición de acceso. Dicho contexto se procesa a través de un mo-tor de riesgo para determinar si es necesario otro nivel de validación del usuario.

Aunque pueda lanzarse a utilizar sofisticados motores de inferencia, la realidad es que in-cluso las métricas básicas proporcionan una manera eficaz de determinar cuándo se debe llevar a cabo otro paso en el proceso de au-tenticación. Estas son algunas de las métricas que deben tenerse en cuenta:

El usuario accede a cierta información confidencial por primera vez: este es el momento perfecto para requerir una autenticación complementaria.

El usuario accede a información confidencial desde una única ubicación, mediante un dispositivo que no se ha visto antes: la mejor directiva podría ser denegar el acceso por completo.

El usuario se encuentra en un dispositivo conocido desde una ubicación prevista y desea acceder a información que ya ha visitado previamente: una credencial tradicional es probable que sea lo suficientemente segura, incluso para entornos de entrada única.

Así, mientras los ladrones han perfeccionado sus habilidades a la hora de robar credenciales, la comprensión y la suplantación del contexto de un usuario son mucho más complicadas. Si piensa que este método de autenticación es complementario, flexible o basado en ries-gos, es básicamente lo mismo. Lo que es más importante, es una de las actualizaciones de seguridad más eficaces que puede aplicar.

Uso de la comodidad para aumentar la seguridad Cuando es capaz de limitar el uso de la au-tenticación de varios factores a situaciones donde la medida del riesgo lo justifica, tiene

AUTENTICACIÓN BASADA EN RIESGOSInformación contextual Parámetros externos

• Regulado (finanzas, sanidad, minoristas)

• Datos del cliente

• Finanzas (internas, cliente, partner)

• Propiedad intelectual

• Correos electrónicos internos

• Colaboración de partners, sistema de suministro

• Datos clasificados

Motor deriesgo

EncabezadosHTTP

Cookies de usuario

ID de dispositivo

Historial del usuario

Perfil del usuario

Geolocalización

Dirección IP

Niveles deverificación

Riesgo bajo

Riesgo medio

Riesgo alto

Accesogestionado

Permitir acceso

Autenticacióncomplementaria

la flexibilidad necesaria para aplicarla a un es-pectro más amplio de información interna. Esto significa que los usuarios normalmente disfru-tarán de un acceso seguro aunque ilimitado como parte de su entorno de entrada única, mientras que, al mismo tiempo, será necesa-rio proporcionar autenticación complementaria cuando el riesgo potencial así lo merezca.

La seguridad precisa más inteligenciaLa mejor estrategia contra las amenazas in-ternas de usuarios privilegiados, internos o suplantados, es un método por capas. NetIQ® ofrece soluciones que le permiten gestionar aquello a lo que sus usuarios privilegiados tie-nen acceso, así como realizar un seguimiento de lo que han hecho.

Una autenticación basada en riesgos adecuadaCuando analice los riesgos que supone el acceso remoto en su organización, tómese su tiempo para definir el nivel adecuado de verificación de identidad para cada clase de información o datos. NetIQ recomienda que lleve a cabo este ejercicio con empleados, contratistas, partners, etc. Para cada clase de

información, debe evaluar el nivel de exposi-ción a posibles pérdidas financieras y, cuando corresponda, permitir infracciones. Tenga en cuenta también los posibles daños a la re-putación corporativa, así como la pérdida de confianza de los consumidores.

1. Enumere los diferentes niveles de verificación de identidad (poca,

confianza, confianza alta, confianza muy alta) apropiados para cada tipo de información que protege.

2. Asigne el tipo de método ade-cuado de mitigación de amenazas

(verificación del usuario) según la cali-ficación de riesgo.

3. En el caso de la información o los recursos que precisen una califi-

cación de riesgo mayor, evite factores estáticos en la medida de lo posible. Los factores dinámicos resisten bastante más a los piratas informáticos.

Además de ofrecer integraciones para casi cualquier método de verificación del usuario deseado, NetIQ está listo para ayudar a deter-minar qué es lo mejor para usted.

La autenticación dinámica puede incrementar tanto la seguridad como la comodidad.

584-ES0017-002 | Q | 08/17 | © 2017 NetIQ Corporation y sus filiales. Reservados todos los derechos. NetIQ y el logotipo NetIQ son marcas comerciales o marcas comerciales registradas de NetIQ Corporation en EE. UU. Los demás nombres de compañías y productos pueden ser marcas comerciales de sus respectivos propietarios.

NetIQArgentina+54 11 5258 8899

Chile+56 2 2864 5629 Colombia+57 1 622 2766

México+52 55 5284 2700

Panamá+507 2 039291

España+34 91 781 5004

Venezuela+58 212 267 6568

contact-es@netiq.comwww.netiq.com/communitieswww.netiq.com

Para obtener una lista completa de nuestras oficinas en América del Norte, Europa, Oriente Medio, África, Asia-Pacífico y América Latina, visite www.netiq.com/contacts.

www.netiq.com

www.netiq.com