En un mercado en el que el acceso al protocolo de escritorio remoto (RDP) se puede comprar por menos de 10 dólares, incluso los ciberdelincuentes más inexpertos están robando contraseñas y nombres de usuario de una manera alarmante. No importa lo sólidas que sean las políticas de contraseñas de una empresa o sus esfuerzos de concienciación. Ambos factores no serán suficientes, por sí solos, para defenderse contra los ataques basados en la identidad, lo que ha llevado a CyberArk a enumerar algunos de los motivos por los que las contraseñas seguras no son suficientes para evitar los ataques:
En primer lugar asegura la compañía que los usuarios continúan cambiando un solo dígito en su contraseña anterior cuando es necesario, guardan las contraseñas en sus navegadores o las almacenan en administradores de contraseñas proporcionados por la empresa. Cada empleado accede a más de 30 aplicaciones y cuentas desde el trabajo y, aproximadamente, a alrededor de 55 desde casa. Pretender que los usuarios se autentiquen repetidamente en sistemas y aplicaciones, y que mantengan múltiples contraseñas complejas es complicado. Por ello, Por otro lado, el 52% de los empleados tiene acceso directo a datos corporativos confidenciales, por lo que la denominación “usuarios privilegiados”, que antes estaba reservada a los administradores de TI, puede aludir ahora a un profesional de recursos humanos, un financiero, un desarrollador, un proveedor externo, etc.
Cuando hablamos de contraseñas e identidades, no solo tenemos que tener en cuenta a los humanos. Las identidades de las máquinas se han multiplicado por 45 y ahora superan a las identidades humanas. Además, el 68% de esas identidades no humanas tiene acceso a datos y activos corporativos confidenciales. Por otro lado, a medida que las organizaciones aceleran hacia entornos híbridos o de múltiples nubes, existen aún más brechas (ya sea identidades humanas o de máquinas) que los atacantes pueden usar como puntos de entrada.
La incrustación de credenciales o el aprovisionamiento excesivo de permisos en la nube están aumentando. Ya sea porque disponen de poco tiempo, carecen de habilidades técnicas específicas o sienten la presión de los desarrolladores y equipos de ingeniería cloud, los equipos de TI, a menudo, suministran excesivos permisos de administración de acceso e identidad (IAM) de la nube, otorgando a las identidades más privilegios de los que necesitan. A medida que se acumulan demasiados permisos con cada nueva iniciativa de TI o transformación, el riesgo crece y la deuda de ciberseguridad aumenta.
Aseguran también desde cyberArk que la presión por una implementación rápida ha generado más credenciales integradas (o codificadas) y claves de acceso en el código. Estas credenciales rara vez se cambian y, a menudo, se dejan expuestas. Y cuando se incorporan fuertes credenciales para los sistemas de seguridad empresarial en los scripts, el resultado puede ser desastroso, como se vio en el ataque sufrido por Uber.
También hay que tener en cuenta que los departamentos de seguridad no tienen suficientes recursos. Una empresa de 1.000 empleados gasta cerca de 500.000 dólares al año en resolver problemas de contraseñas. Unos restablecimientos de contraseña que son solo la punta del iceberg, pues los departamentos de seguridad de TI tienen que defenderse contra el ransomware, los ataques a la cadena de suministro de software y otros ciberataques, así como a la falta de trabajadores cualificados.
Deshacerse de las contraseñas por completo puede parecer la solución, pero el mundo aún no está preparado para ello. Y tanto los tradicionales administradores de contraseñas como las soluciones de IAM no se han creado para proteger y administrar continuamente las decenas de miles de identidades de la empresa, ni estaban destinadas a llegar a la multitud de entornos actuales (de centro de datos, híbrido, multinube, SaaS, …). Por ello, a medida que las amenazas basadas en la identidad continúan creciendo y las contraseñas siguen fallando, se requiere un enfoque más amplio. Porque ya no se trata de evitar que los atacantes entren, sino de hacer que les resulte muy complicado moverse por la red sin levantar sospechas y, por lo tanto, que sean más fáciles de detectar y bloquear.
