“Nunca utilices contraseñas que sean conocidas o que hayan sido divulgadas en un ataque”, “utiliza contraseñas con gran longitud” y “respeta la política de contraseña segura y estarás a salvo”, son sólo algunas de las frases que día a día escuchamos y que buscan contribuir en la protección ante ataques de acceso a los sistemas y aplicaciones, principalmente en una organización. ¿Pero en realidad es suficiente contar con una contraseña robusta para evitar ataques de acceso a las aplicaciones?

Prácticamente todos los mecanismos de autenticación que utilizamos hoy en día son vulnerables a ataques que demandan un bajo costo para los ciberdelincuentes. Entre las vulnerabilidades más comunes se encuentran:

• Protocolos “legacy”. Muchos sistemas siguen utilizando protocolos de autenticación simples y básicos, por ejemplo, SMTP. Los atacantes aprovechan las limitaciones de estos protocolos para obtener acceso a los sistemas.
• Comprometer cuentas comerciales. Los atacantes obtienen acceso a cuentas de correo corporativas, por ejemplo, a través de Phishing o Spoofing y utilizan estos accesos para comprometer otros sistemas internos o realizar fraudes. Las cuentas que están protegidas sólo con una contraseña son los objetivos más fáciles para un atacante.
• Reutilización de contraseñas. Esta práctica genera grandes riesgos ya que, si se utiliza la misma contraseña en distintos sistemas, el comprometer cualquiera de los sistemas involucrados tendría implicaciones directas en el resto.

¿Qué opciones tenemos para protegernos?

Es posible prevenir algunos de estos ataques restringiendo el uso de contraseñas débiles, bloqueando los mecanismos de autenticación “legacy” o básicos, y dando capacitación a los empleados ante ataques de tipo Phishing. Sin embargo, habilitar la autenticación de factores múltiples (MFA) ayuda a prevenir la mayoría de los ataques de acceso a las aplicaciones.

MFA es un método de autenticación que otorga acceso al sistema o aplicación después de que el usuario confirma su identidad al presentar de manera satisfactoria dos o más factores de autenticación:

• Conocimiento. Algo que solamente el usuario sabe, por ejemplo, una contraseña o un PIN (personal identification number).
• Posesión. Algo que solamente el usuario tiene, por ejemplo, un Token de seguridad físico o lógico, tarjeta de proximidad, llave inteligente, entre otros.
• Inherencia. Factores asociados con el usuario, por ejemplo, biométricos: huella dactilar, iris, voz.

Cada factor de autenticación adicional implementado es una capa de seguridad en el proceso de autenticación que un atacante tendría que comprometer para obtener acceso al sistema o aplicación.

Más allá de implementar una política de contraseña segura que, por supuesto debería existir, habilitar MFA ayudará a disminuir en mayor medida las oportunidades que tienen los atacantes para obtener acceso a los sistemas y aplicaciones.

Referencias:
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3y9UJ
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984
https://pages.nist.gov/800-63-3/sp800-63b.html