Ciberseguridad
Contraseñas

Herramientas PAM: así se cierran las puertas a los ciberdelincuentes ávidos de contraseñas

Las contraseñas de acceso son uno de los blancos más habituales de los ciberdelincuentes y uno de los métodos más comunes de robo consiste en identificar un 'endpoint' con vulnerabilidades para explotarlo fácilmente

contraseñas

 

Seguro que les suena la historia de Terry Childs, un antiguo administrador de red de Pittsburg (California). Este ingeniero gestó FiberWan, un sistema fundamental para muchos de los servicios que la ciudad de San Francisco ofrece en línea, del que se hizo con el control de todas las contraseñas de administrador. Cuando en 2008 las autoridades le requirieron dichas credenciales, este, en un alarde proteccionista, se negó a facilitar la información creyendo fehacientemente que actuaba de la manera más ética. Llegó incluso a privar a la ciudad de toda la infraestructura TI. ¿El resultado? Childs fue detenido y declarado culpable dos años más tarde de un delito de falsificación de red.

Pero este no es el ejemplo más icónico de la importancia y el daño que pueden causar las cuentas de acceso privilegiadas. Pocos años más tarde, un antiguo contratista de administración de sistemas de la CIA norteamericana (Agencia Central de Inteligencia), Edward Snowden, pudo explotar sus propios privilegios de administración y los de su entorno para acceder, descargar y filtrar millones de registros clasificados como alto secreto de la NSA (Agencia de Seguridad Nacional). El resto de la crónica ya es mundialmente famosa; Snowden está fugado y la justicia estadounidense quiere sentarle en el banquillo por lo que ellos han denominado “asuntos criminales”.

Tales narraciones se han convertido en paradigmas de la importancia que ha cobrado este campo en la industria de la ciberseguridad. Y no solo para empresas privadas, sino también para administraciones públicas y ciudadanos de a pie. De hecho, la consultora Gartner ya ha publicado recientemente su primer Cuadrante Mágico para el mercado de la gestión de acceso privilegiado1 (PAM, por sus siglas en inglés). Lo hace después de afirmar que éste ya se ha convertido en el proyecto de seguridad líder en el que los “Ciso deberían concentrarse para reducir el riesgo y conseguir resultados a gran escala2".

Las estadísticas ponen de relieve la tendencia y es que según el propio analista, para 2021, el 40% de las organizaciones (frente a menos del 10% en 2018) que utilizan prácticas formales de gestión de cambios integrarán herramientas PAM, “reduciendo significativamente la superficie de riesgo general”. Y, en esa misma fecha, se estima que más del 50% de las empresas que utilizan DevOps adoptará productos de gestión de secretos basados en PAM. En la actualidad, menos del 10% de las firmas se han interesado por ello.

Querer proteger este área no es algo extraño a día de hoy. Más allá de los dos célebres casos anteriores, lo que es cierto es que las contraseñas de acceso son uno de los blancos más habituales de los ciberdelincuentes y que uno de los métodos más comunes de robo consiste en identificar un endpoint con vulnerabilidades para explotarlo fácilmente.  En cualquier caso, los ‘malos’ buscarán cualquier fórmula de ataque para hacerse con cualquier credencial que pueda permitir una escalada de privilegios. Y, la industria se siente vulnerable.

 

Una necesidad que urge

Visto el panorama, los proveedores se han puesto en marcha para cerrar este agujero de seguridad. “La administración de accesos privilegiados se ha convertido en uno de los controles de seguridad más críticos, más en los entornos de TI que son más complejos cada día”, aseguran desde Gartner. “Los líderes de seguridad y gestión de riesgos deben utilizar las herramientas PAM en una estrategia a largo plazo para la mitigación integral de esos riesgos”.

El software de gestión de acceso privilegiado permite a las organizaciones proteger el acceso privilegiado a los activos críticos, es decir, solo las personas con las credenciales correctas pueden hacer gala de esto. Una de las empresas pioneras en tecnologías PAM y responsable de crear el mercado de administración de acceso privilegiado es CyberArk. Su solución está diseñada para proteger las redes, cumplir los requisitos y reducir los riesgos de ciberseguridad sin aumentar la complejidad de las operaciones. Pero, también, los profesionales TIC han de ser los artífices de los controles para evitar ciberamenazas y resistir ataques persistentes avanzados porque las herramientas PAM no se limitan solo a un programa o a una parte de la infraestructura, sino que puede extenderse a sistemas operativos, dispositivos de red, hipervisores, bases de datos, middleware, aplicaciones y servicios en la nube como infraestructura, plataforma y software como servicios.

Una seguridad sólida empieza por garantizar una buena ciberhigiene y proteger las credenciales y las cuentas a por las que sabe que van los atacantes para lograr sus objetivos.  En CyberArk creen firmemente en la necesidad continua de educación sobre un riesgo comercial considerable directamente relacionado con el acceso privilegiado no protegido. Con la adopción de la infraestructura moderna y la transformación digital, el privilegio está en todas partes, desde aplicaciones críticas y dispositivos de Internet de las cosas hasta automatización de procesos robóticos y herramientas DevOps.

 

[1] Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Dale Gardner, Justin Taylor, Abhyuday Data, Michael Kelley, 3 de diciembre de 2018

 

[2] Gartner, Smarter with Gartner, Gartner Top 10 Security Projects for 2018, 6 de junio de 2018 

 

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus investigaciones, y no recomienda a los usuarios que seleccionen solo a aquellos proveedores con las calificaciones más altas u otras designaciones. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización y no deben interpretarse como declaraciones de hecho. Gartner se exime de todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías comerciables o de idoneidad para un propósto en particular. 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper