Los sistemas basados en contraseñas suponen una importante brecha corporativa
El 60% de los encuestados afectados por un ciberataque relacionado con la autenticación cree que podía haberse evitado.
Los ciberataques relacionados con la autenticación crecieron en 2022, aprovechando los sistemas obsoletos basados en contraseñas, según un estudio de HYPR. Así, tres de cada cinco encuestados dijeron que sus organizaciones habían sido objeto de incidentes relacionados con este ámbito. Además, del 88% de los atacados en los últimos 12 meses, el 43% reportaron casos de phishing o smishing.
Los ataques de notificación automática (bombardeo MFA) representaron el 28% de los totales. Estos, en los que un usuario es bombardeado con múltiples alertas automáticas para acceder al dispositivo, contribuyeron solo al 12% y al 9%, respectivamente, en 2021 y 2020. “Las organizaciones han estado utilizando la autenticación de dos factores: un factor principal basado en contraseña y un segundo factor basado en OTP o notificaciones automáticas para asegurar el acceso”, dice Steve Brasen, director de investigación de la consultora Enterprise Management Associates. “La autenticación de segundo factor es un poco más difícil de vencer. Para sortear esto, los malhechores envían repetidamente solicitudes de autenticación de segundo factor al teléfono del usuario, molestándolos hasta que aceptan la solicitud y permiten el acceso al ciberdelincuente”.
El enfoque básico de la autenticación de dos factores apenas ha frenado los ataques debido a la continua dependencia de las contraseñas y a los usuarios falibles que son engañados con demasiada facilidad para proporcionar credenciales a los malos actores, señala. La mayoría de las organizaciones aún utilizan varios métodos de autenticación heredados, como nombre de usuario y contraseña (57%), TFA/MFA (54%), administrador de contraseñas (49%) e inicio de sesión único (43 ). Solo el 28% dijeron que usaron alguna forma de autenticación sin contraseña. Una quinta parte de los encuestados dijo que había experimentado dos o más infracciones relacionadas con la autenticación en el último año.
La autenticación heredada falla por múltiples motivos
La mayoría de los encuestados (87%) creía que el enfoque de autenticación de su organización era completo y, en su mayoría, seguro. Esto, señalan los expertos, tiene sus raíces en su ignorancia para adoptar los estándares de la industria. “La mayoría de las organizaciones abordaron el problema de la seguridad de la autenticación colocando una OTP o una solución de notificación automática sobre sus herramientas de autenticación basadas en contraseña existentes porque era la forma más barata y fácil de resolver el problema”, expresa Brasen. “Luego marcaron la casilla que indica que cumplieron con los requisitos del acuerdo de servicio y cumplimiento y reorientaron sus presupuestos y esfuerzos para abordar otros problemas de seguridad de TI”.
Los métodos de autenticación heredados también presentan varios puntos débiles en términos de gestión y control. Los problemas destacados por los encuestados incluyeron la dificultad para autenticar de forma segura a los trabajadores remotos (36 %), dispositivos de terceros no administrados (35 %), complejidad tecnológica para la implementación (34 %), resistencia de los empleados a la adopción (31 %) y restablecimiento de contraseñas/credenciales. (29%). Además, el 81% de los encuestados admitió tener problemas para acceder a información crítica para el trabajo en ocasiones en las que olvidó una contraseña. El informe indicó un gasto promedio de 375 dólares por empleado por año en problemas de contraseña.
“En lugar de reducir los impactos de seguridad en el rendimiento del usuario, los enfoques tradicionales de dos factores en realidad aumentan la fricción del usuario, lo que les exige realizar tareas adicionales para acceder a los recursos que necesitan para completar las tareas del trabajo”. El estudio observó una preparación del mercado para la autenticación sin contraseña, ya que casi todos los encuestados (98%) acordaron que sus organizaciones se beneficiarán de la implementación de métodos sin contraseña.
Los principales incentivos para cambiar a métodos sin contraseña incluyeron mejorar la experiencia del usuario y la productividad (45%), fortalecer la ciberseguridad (43%), impulsar la adopción de MFA por parte de los empleados (42%) y eliminar los sistemas heredados inseguros (36 %). Este estudio enfatiza la necesidad de educar sobre los métodos sin contraseña, ya que el 65% de los encuestados no pudo distinguir un MFA tradicional de uno resistente al phishing, y el 82% todavía creía que los MFA tradicionales brindaban seguridad completa o alta.
