*Por Sam Manjarres
Los ciberataques en el campo de la geopolítica están jugando un papel cada vez más importante. El 2020 fue un año intenso durante el cual la pandemia fue utilizada para campañas de desinformación y se produjeron graves incidentes provocados por grupos vinculados a potencias extranjeras.
Uno de los casos más llamativos de 2021 ocurrió el mes pasado: el gobierno alemán ha revelado que tiene “información fidedigna” de que los recientes ciberataques contra estados miembros de la Unión Europea son obra de “actores” rusos vinculados al GRU y la agencia de inteligencia rusa.
Esta campaña cibernética ha sido denominada “Ghostwriter” y está dirigida a “numerosos miembros del parlamento, funcionarios gubernamentales, políticos, miembros de la prensa y la sociedad civil de la UE”, según un comunicado de prensa emitido por el Consejo Europeo. Los piratas informáticos utilizaron correos electrónicos de phishing para obtener credenciales, acceder a sus sistemas y robar información.
Grupos de amenazas persistentes avanzadas (APT)
En este escenario, la protección de las credenciales de los usuarios es cada vez más importante. Hace unas semanas, señalamos que las contraseñas de empresas que se han filtrado a la dark web se habían disparado un 429% desde marzo pasado.
Pero más allá de estas filtraciones masivas en las que los ciberatacantes malintencionados ponen a la venta grandes cantidades de datos, casos como Ghostwriter muestran que los grupos de APT vinculados al estado y altamente específicos también representan un riesgo grave para la seguridad de las credenciales de una organización.
Estos piratas informáticos tienen los recursos para investigar a sus víctimas potenciales y sus entornos de trabajo de forma individual. Tras realizar esta investigación preliminar, utilizan métodos de ingeniería social como el spear phishing, donde consiguen confundir a sus objetivos simulando la identidad de otros compañeros, del equipo de TI o incluso de sus superiores (en el denominado “fraude de CEO”). Al usar este método, pueden engañarlos para obtener sus credenciales, incluso si los usuarios están instruidos en prácticas de ciberseguridad.
Dado que estas amenazas sofisticadas provienen del exterior, esto plantea la pregunta de cómo las organizaciones y los estados pueden protegerse para frustrar las infracciones y los ciberataques desde geografías específicas. Una de las respuestas a esta pregunta es la autenticación multifactor con geolocalización.
MFA con políticas de riesgo de geomalla
Los políticos, funcionarios y otras personas relevantes afectadas en la campaña de Ghostwriter podrían haber evitado el incidente si sus organizaciones hubieran implementado herramientas de ciberseguridad que proporcionan medidas específicas de geomallas contra los intentos de acceso de Rusia, dado su historial.
Pero estas medidas de geomallas deben combinarse con soluciones avanzadas de autenticación multifactor (MFA) que ofrecen capacidades de autenticación basadas en riesgos para garantizar que quien ingrese las credenciales para iniciar sesión en el sistema sea un usuario o empleado legítimo.
(N. del E.: La autenticación de múltiples factores es un método de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser. Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, entre otros).
En este sentido, WatchGuard AuthPoint proporciona una capa de seguridad avanzada que utiliza autenticación basada en riesgos para determinar factores al tomar una decisión de autenticación. Por ejemplo, los administradores pueden habilitar políticas de riesgo de geomallas (muy fácilmente a través de WatchGuard Cloud) para garantizar que el acceso solo ocurra en geografías autorizadas, incluso si proviene de dispositivos aparentemente legítimos.
Lo bueno de la autenticación basada en riesgos es que tiene en cuenta los factores de riesgo al tomar una decisión de autenticación. Va más allá de una autenticación estática, lo que permite a los administradores crear reglas que pueden modificar el comportamiento de la autenticación, lo que a veces lo hace más fácil si el riesgo es bajo; o solicitar pasos adicionales para garantizar que este es el usuario correcto y bloquear el acceso si el riesgo es demasiado alto, incluso si el usuario proporcionó una contraseña de un solo uso (OTP) correcta.
Valor añadido si es un proveedor de servicios gestionados (MSP)
Los socios de WatchGuard pueden ofrecer a sus clientes una mayor seguridad en sus procesos de autenticación a través de notificaciones push que incluyen geolocalización. Esto permite que tanto los administradores como los usuarios conozcan en detalle de dónde provino la solicitud, reduciendo, en gran medida, la probabilidad de que grupos de APT extranjeros obtengan acceso a sus sistemas, incluso si ya han logrado obtener credenciales.
*Gerente de Marketing de Productos en WatchGuard Technologies