La identidad es el nuevo perímetro de seguridad dentro del panorama de amenazas. Aunque esto no sorprende si se siguen las tendencias de ciberseguridad en las que una abrumadora mayoría de brechas tiene su origen en ataques basados en la identidad. La empresa líder en ciberseguridad y cumplimiento normativo Proofpoint ha observado, de hecho, que en más del 90 por ciento de vulneraciones aparece algún componente de identidad a lo largo de la cadena de ataque.
Desde hace tiempo, los profesionales de la ciberseguridad saben que el comportamiento humano es uno de los principales puntos débiles de la seguridad. El informe más reciente de Verizon muestra que en el 74 por ciento de las filtraciones de datos confirmadas interviene el elemento humano, unos datos que se han mantenido constantes en estos últimos años.
¿Y esto qué ha provocado? Pues que los ciberdelincuentes han ido aprovechándose más del comportamiento de las personas como eslabón más débil de la cadena de ataque. En sus amenazas, los atacantes amplían el uso de tácticas probadas como phishing y robo de credenciales, apuntando a la cadena de suministro, ya que ponerla en riesgo puede ser una inversión muy rentable. Volcarse en estos ataques a la identidad, en definitiva, ayuda a los ciberdelincuentes a maximizar beneficios.
Según un informe sobre phishing de Proofpoint publicado en 2023, entre las organizaciones españolas donde se intentó este ataque por email en 2022, el 90 por ciento sufrió al menos un phishing exitoso. Muchos de estos incidentes tienen como resultado el robo de credenciales o el compromiso de cuentas, lo que proporciona los atacantes acceso a una organización. Una vez que los atacantes logran comprometer una sola identidad, pueden desplazarse lateralmente por toda la organización con facilidad.
Llegados a este punto, los ciberdelincuentes casi han ganado la batalla, puesto que a partir de ahí resulta sencillo escalar privilegios, recopilar inteligencia, distribuir payloads y otros objetivos. Pueden hacer todo esto sin tocar las defensas perimetrales tradicionales y sin grandes conocimientos o esfuerzo.
Otra investigación de la organización independiente sin ánimo de lucro Identity Defined Security Alliance señala que nueve de cada diez organizaciones han sufrido una brecha relacionada con la identidad en los últimos 12 meses. Ante esta nueva realidad, los expertos de seguridad insisten en que es imperativo adaptarse y evolucionar las ciberdefensas.
Los tres grandes riesgos de identidad
Muchas organizaciones han invertido sustancialmente en fortalecer su infraestructura de identidad, pero les faltan los elementos más vulnerables, como las credenciales almacenadas y en caché, las cookies de sesión, las claves de acceso, las cuentas privilegiadas en la sombra y diversas configuraciones erróneas asociadas a cuentas e identidades.
Entender cómo los ciberdelincuentes atacan la identidad dentro de la organización es el primer paso para proteger la nueva superficie de ataque y romper la cadena de ataque. Así, debe verse qué puntos de entrada humanos son los más vulnerables y los más atacados, a sabiendas de que no se puede mitigar todos los riesgos y hay que establecer prioridades.
Concretamente, los ciberdelincuentes se dirigen a tres áreas principales de la identidad. La primera son las identidades no gestionadas, incluyendo identidades usadas por aplicaciones y administradores locales. Según Proofpoint, el 87 por ciento de los administradores locales no está inscrito en una solución de gestión de cuentas privilegiadas. No obstante, estas identidades a menudo no se descubren durante la implementación o se olvidan después de cumplir su propósito. Además, muchas cuentas utilizan contraseñas predeterminadas u obsoletas, lo que aumenta el riesgo.
En segundo lugar están las identidades mal configuradas: los administradores en la sombra, las identidades configuradas con un cifrado débil o sin cifrado y las cuentas con credenciales frágiles son ejemplos de identidades mal configuradas. El informe El factor humano 2023 de Proofpoint muestra que hasta el 40 por ciento de las identidades de administrador mal configuradas o en la sombra puede ser explotada en un solo paso; por ejemplo, restableciendo una contraseña de dominio para escalar privilegios. Este estudio también apunta que el 13 por ciento de los administradores en la sombra ya tiene privilegios de administrador de dominio, lo que permite a los ciberdelincuentes recopilar credenciales e infiltrarse en una organización.
Por último, los ciberdelincuentes se dirigen a las identidades expuestas: esta categoría incluye credenciales almacenadas en caché en varios sistemas, tokens de acceso a cloud almacenados en endpoint y sesiones de acceso remoto abiertas. Uno de cada seis endpoint contiene contraseñas de cuentas privilegiadas expuestas, como credenciales almacenadas en caché. Esta práctica es tan arriesgada como dejar que los empleados dejen notas adhesivas a la vista con nombres de usuario y contraseñas en sus dispositivos; y, sin embargo, es un hábito que suele pasarse frecuentemente por alto.
«Sea cual sea el tipo de identidad comprometida por los ciberdelincuentes, solo hace falta una cuenta vulnerable para proporcionar acceso sin restricciones a una organización; y cuanto más tiempo pase sin detectarse, más devastadoras serán las potenciales consecuencias», recuerdan desde el equipo de investigación de Proofpoint.
Detección y respuesta ante ataques
Combatir cualquier incidente de seguridad requiere varias acciones fundamentales: detectar e identificar las amenazas en tiempo real, priorizarlas y poner remedio rápidamente a la situación, automatizando las respuestas en la medida de lo posible.
«Aquí es donde entrarían en juego las mejores prácticas en detección y respuesta. Pese a ello, las organizaciones normalmente solo las implementan para su tecnología, y eso no es suficiente en el actual entorno de amenazas centrado en las personas. Dado que el perímetro humano se ha convertido en el componente más vulnerable, la detección y respuesta a amenazas de identidad (ITDR, por sus siglas en inglés) representa una parte crítica para identificar y mitigar las brechas relacionadas con identidades», dicen los expertos de Proofpoint.
La ITDR requiere una combinación de procesos, herramientas y buenas prácticas de seguridad integrales. Hay que tratar las identidades de la misma manera que se trata cualquier otro tipo de activo, incluidos la red y los endpoint. Comenzando con controles proactivos y preventivos para poder descubrir y mitigar vulnerabilidades antes de que los ciberdelincuentes puedan explotarlas. Una detección continua y corrección automatizada son la mejor forma de mantener alejados a los atacantes.
A continuación, se necesita neutralizar rápido las amenazas en caso de colarse a través de las defensas. Como ningún control es infalible, debe tenerse en cuenta toda la cadena de ataque. Detener pronto la escalada de privilegios es primordial, porque los ciberdelincuentes intentarán dar ese paso nada más hayan conseguido el acceso inicial. Si no, los atacantes tendrán que rendirse y seguir adelante.
Herramientas avanzadas
Contar con herramientas avanzadas con capacidades como aprendizaje automático o analítica para detectar eventos y comportamientos inusuales o sospechosos, junto con la respuesta automatizada, tendrá mayores probabilidades de éxito por parte de las organizaciones. Una solución robusta de ITDR proporcionará, en este caso, un enfoque en profundidad para mitigar la exposición a amenazas, basándose en las mejores prácticas y garantizando una buena ciberhigiene.
Los ciberdelincuentes se mueven demasiado rápido para que los equipos de seguridad puedan seguir el ritmo de las amenazas de identidad sin las herramientas adecuadas. No hay que olvidar que, al fin y al cabo, las personas son el mayor agujero de seguridad y, para ello, la defensa debe incluir la capacitación de los usuarios para romper la cadena de ataque cambiando comportamientos y hábitos.
Desde Proofpoint prevemos que, en 2024, los ataques basados en la identidad dominarán las brechas de seguridad. «Los ciberdelincuentes se concentrarán en estos lucrativos ataques. No hay que limitarse a prepararse, sino convertir los riesgos centrados en la identidad en prioridad y adaptar las estrategias a medida que estos riesgos evolucionen», concluyen los investigadores de la compañía.