Añada estos propósitos de seguridad TI en sus planes de año nuevo

Categorías relacionadas:
Administración, Administración del riesgo, Cómo hacerlo, Cloud / Nube, Continuidad, Continuidad de negocios, CSO, Destacado, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Políticas y normas, Protección, Protección de datos, Recuperación, Seguridad, Seguridad, Seguridad, Seguridad, Tecnologías, Tips

reporte-especial-seguridad-mexico

Aprovechando la temporada en que varios de nosotros nos estamos proyectando nuevas metas, expertos de Kaspersky Lab han enumerado las siguientes resoluciones para llevar una mejor vida digital este 2019: 

Leer más...



Un 30% de los usuarios usa dos o tres contraseñas para todas sus cuentas

Categorías relacionadas:
CSO, Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Tendencias, Tendencias

contraseñas-seguridad

El 40% de los usuarios utiliza contraseñas distintas para cada servicio, mientras que un 30% usa dos o tres contraseñas para todos los servicios. A su vez, el 62% consideró que su contraseña de correo electrónico podría ser más fuerte, así lo reveló una encuesta realizada por ESET a usuarios de Latinoamérica para conocer cuáles son los hábitos más comunes en relación al uso de contraseñas.

Leer más...



Olvídelo: las contraseñas no desaparecerán en el futuro

Categorías relacionadas:
Amenazas, CSO, Destacado, Identidad y Accesos, Lo más reciente, Lo más reciente, Políticas y normas, Protección, Protección de datos, Reportes e investigaciones, Seguridad, Seguridad, Tendencias

olvidelo-contrasenas

El número de contraseñas o passwords en uso aumentará de 75,000 millones que hay en la actualidad a casi 100,000 millones para el año 2020, según un nuevo informe realizado por Cibersecurity Ventures.

Asimismo, el número de contraseñas utilizadas por las máquinas, como los dispositivos de Internet de las Cosas (IoT), crecerá aún más rápido: pasará de las 15,000 millones reportadas en 2015 a alrededor de 200,000 millones en 2020, de acuerdo con el estudio. Estas cifras no incluyen las contraseñas de un solo uso (OTP), cifrado SSL y otras credenciales de uso a corto plazo, explicó Joseph Carson, director de alianzas estratégicas globales de Thycotic Software, la compañía patrocinadora de este informe.

“Las contraseñas han estado a nuestro alrededor, literalmente, durante siglos”, afirmó Carson, aunque en los últimos años se haya pronosticado su desaparición.

Algunos de estos augurios

Bill Gates predijo la muerte de la contraseña durante una conferencia realizada por RSA Security en 2004. 

En 2011, IBM sostuvo que las contraseñas serían reemplazadas por sistemas de seguridad biométricos y similares en cinco años. “Ahora han pasado años desde que se hicieron esas declaraciones y las contraseñas aún tienen un uso intensivo”, apuntó Carson.

Dijo que la autenticación biométrica ha sido hasta ahora un complemento de las contraseñas, no un reemplazo. “La biometría se utiliza para facilitar el acceso a los sistemas, pero las contraseñas se utilizan para establecer la relación de confianza inicial. La biometría nunca reemplazará a las contraseñas”, sostuvo el directivo de Thycotic Software.

Estas cifras proceden de estadísticas globales sobre el número total de computadoras, sistemas operativos, servidores, ruteadores y otras tecnologías y aplicaciones que vienen con contraseñas o requieren que los usuarios las creen para poder utilizarlas.

Una proliferación peligrosa

De acuerdo con Carson, el usuario promedio tiene 25 o más contraseñas, y el crecimiento de éstas se acelera a un ritmo masivo.

Como consecuencia, la utilización y reutilización de contraseñas está creando una superficie de ataque cada vez mayor.

El año pasado se produjo un récord en el robo de credenciales: 3,000 millones de brechas. Tres de cada siete personas han sufrido al menos un robo de contraseña.

Según Joseph Carson, los daños financieros causados por las infracciones también seguirán aumentando. Thycotic y Cybersecurity Ventures estiman que los daños potenciales generados por el cibercrimen alcanzarán los 6,000 millones de dólares en 2021. 

Leer más...



Las contraseñas podrían desaparecer en los próximos cinco años

Categorías relacionadas:
Continuidad, Del día, Lo más reciente, Lo más reciente, Protección, Seguridad, Seguridad, Tendencias

contraseñas-seguridad

logo-cio-15-anos-215x173De acuerdo con un estudio realizado por Wakefield Research y encargado por SecureAuth,  la mayoría de las organizaciones se están inclinando hacia la eliminación de la autentificación de contraseña. La encuesta consistió en entrevista a 200 responsables de TI estadounidenses el mes pasado, en la cual se supo que el 69% de los encuestados dijo que era probable que se acabasen las contraseñas en los próximos cinco años.

Recientes pérdidas de datos destacan la gravedad del problema. Es el caso de Yahoo, que informó que debido a un hack, 500 millones de cuentas de usuarios han sido robadas, incluyendo direcciones de correo electrónico y contraseñas.

Según SecureAuth, los sistemas de inicio de sesión con contraseña son muy vulnerables de ser pirateadas. “Es indiscutible que las contraseñas no son un método de autenticación segura”, dijo el Craig Lund, CEO de SecureAuth el jueves. “Ellos (los responsables de TI) reconocen que quieren alejarse de eso.”

Sin embargo, esta empresa está especializada en tipos de inicio de sesión. Algunas de sus alternativas son: códigos de acceso momentáneos, es decir, se le envía al usuario una clave a través de un número de teléfono o dirección de correo electrónico para permitirle el acceso; incluir datos biométricos, tales como el escaneo de una huella dactilar del usuario; hacer un seguimiento de las pulsaciones en el teclado; o movimientos del ratón en el dispositivo del usuario. “Mediante la combinación de todos estos métodos juntos, podemos estar seguros de quiénes son los usuarios y dónde están”, mencionó Lund.

Aunque muchas organizaciones desean alejarse de contraseñas, todavía hay retos para lograrlo. Según la encuesta, el 42% de los encuestados dijo que una “alteración de la rutina diaria de los usuarios” podría poner en riesgo estos nuevos futuros métodos.

-IDG.es

Leer más...



Cinco maneras de escapar del infierno de las contraseñas

Categorías relacionadas:
Cómo hacerlo, Continuidad de negocios, CSO, Estrategias, Lo más reciente, Lo más reciente, Principal, Seguridad, Seguridad

La seguridad puede ser un círculo vicioso. Ocurre una violación y las empresas añaden un nuevo nivel de seguridad, aumentando las molestias de los usuarios, quienes a su vez buscan soluciones por su cuenta. Luego hay otra infracción y el ciclo comienza de nuevo.

“Cada vez que tenemos un incumplimiento, añadimos otros tres pies de rejas de seguridad, y esperamos que los usuarios simplemente los trepen”, señaló Andre Boysen, director de identidad en SecureKey Technologies  con sede en Ontario.

Uno de los mecanismos de ayuda que los usuarios adoptan es compartir las contraseñas a través de múltiples sitios; pero, una vez que cualquiera de estos sitios está en peligro, todas las cuentas están potencialmente comprometidas, incluidas las relacionadas al trabajo.

“Y por mucho que estamos en el infierno de las contraseñas en este momento, el segundo factor (que está por llegar) es aún peor”, agregó. Mensajes de texto, apps de smartphones, llaveros USB, escáneres de voz, video y huella digital; las tecnologías del segundo factor se multiplican sin fin a la vista, y sin claros ganadores.

“Está confundiendo muchísimo a los usuarios”, anotó.

Las empresas están tratando este problema mediante la reducción del número de contraseñas que sus usuarios necesitan, la implementación de herramientas de gestión de contraseñas para ayudarlos a manejar las que tienen, y el cambio a sistemas del segundo factor más fáciles de usar como apps de smartphones.

Aquí tenemos cinco maneras que las empresas utilizan para abordar el problema de las contraseñas:

1.- Servicios de administración de contraseñas basadas en la nube

Implementar una estrategia de sesión única es suficientemente difícil en una organización de manejo centralizado. Puede ser casi imposible cuando se trata de imponerlo en unidades autónomas.

Este era el tipo de problema por el que estaba pasando el Rotary International. La organización de servicio global tiene 1,2 millones de miembros, que son parte de 34 mil diferentes clubes.

Dado que los clubes son autónomos, un miembro podría tener un login y contraseña para la página web del club, otro para el sitio regional, otro para el nacional, y muchas más para aplicaciones móviles y otros servicios desarrollados por los compañeros rotarianos.

“Era una mezcolanza de cosas de nuestra propia cosecha”, anotó Peter Markos, CIO de Evanston, con sede en Illinois, Rotary International, la organización matriz.

El reto consistía en actualizar la seguridad en toda la organización, incluyendo los sitios web de los clubes autónomos. “Eso nos llevó a la nube”, señaló. Específicamente, los llevó a Octa, un proveedor de identidad bajo demanda y gestión de acceso.

Además, el lanzamiento de la nube significó que Rotary mejoraría constantemente. “Ahora podemos ofrecer seguridad como un servicio”, indicó. El club local puede enviar la solicitud de inicio de sesión a la organización principal, que actúa como el eje central al que todos los clubes y usuarios pueden conectarse.

“Simplifica la vida del club, ya que ellos no tienen que gestionar a sus propios usuarios. Simplifica la vida de los miembros, y hace que la riqueza de los recursos en todo el mundo sea más fácil de acceder”, expresó Markos.

La parte más difícil del proceso es conseguir que los clubes individuales se sumen a la iniciativa. Alrededor de ocho mil clubes utilizan el software de gestión del club off-the-shelf; la seguridad como servicio ya está disponible a través de ese canal. Otros mil (o más) clubes han decidido cambiarse por su cuenta. Markos  dijo que la tasa de adopción está comenzando lentamente, pero que espera que acelere a medida que la tecnología demuestre su capacidad, y alcance una masa crítica. “Hay un montón de reticencia en ceder el control”, añadió.

Además, el Rotary también está pensando en cambiar la forma en la que las contraseñas se ven, lejos del formato estándar de ocho caracteres. “Estamos pensando en deshacernos del carácter especial, la letra mayúscula, el número, y centrarnos en aumentar la longitud, animándolos a utilizar una frase”, anotó. “Es la longitud la que va a proporcionar realmente la seguridad y hacer frente a los ataques con fuerza bruta -y nuestros miembros estarán agradecidos por algo más fácil de recordar”.

2.- Software de administración de contraseñas off-the-shelf

Secure-24,  una empresa de hosting con sede en Detroit que presta servicios a compañías de automoción, manufactura y salud, tiene un problema similar: la empresa tiene que administrar las contraseñas en representación de sus clientes, quienes necesitan su propio acceso seguro al sistema. Y ahí está la disyuntiva.

“Ellos hacen que nosotros creemos contraseñas para los diferentes usuarios y tecnologías; pero no quieren que las sepamos, guardemos o recordemos”, agregó Eric Zehnder, ingeniero de mejora de los sistemas de la empresa.

Para resolver este problema, Secure-24 eligió cambiarse al software de administración de contraseñas de empresas Secret Server de Thycotic.  Este proporciona un manejo de contraseñas automatizado para múltiples clientes, en múltiples dominios.

Además, no existe el riesgo de que las contraseñas caigan en manos equivocadas. “Los usuarios ni siquiera saben las contraseñas”, señaló Kevin Jones, arquitecto de seguridad de información de la empresa Thycotic.

3.- Apps de smartphones para lam autenticación de dos factores

Por supuesto, los usuarios tienen que autenticarse en el sistema en algún momento para poder empezar a trabajar. Eliminar el número total de logins significa que el primero se vuelve más importante.

Secure-24 utiliza la autenticación de dos factores para identificar a los usuarios de manera segura; pero aquí, también, la compañía está trabajando para simplificar el proceso.

En el pasado, el segundo factor era usualmente un llavero, RSA Security ID o Vasco Digipass dependiendo de las preferencias del cliente. Eso funcionó correctamente para aquellos empleados que mantenían su llavero junto con sus llaves.

“¿Cómo iban a ir a trabajar sin sus llaves?”, anotó Zehnder de Secure-24. Pero algunos empleados mantenían las suyas en cuerdas de seguridad, que eran más fáciles de olvidar en casa.

Además, los teletrabajadores pueden no tener las llaves junto con ellos durante el trabajo. “Yo suelo tener mi teléfono conmigo, pero no mis llaves”, añadió Zehnder.

La compañía ahora se está alejando de los llaveros a las aplicaciones que se ejecutan en iPhones y Androids. “Me doy cuenta de que hay más números también -nuestros tokens suaves tienen un PIN de ocho dígitos, mientras que antes contaban con seis”, agregó.

Además, informó que los sistemas basados en el teléfono pueden ser un poco menos caros. Secure-24 solía comprar grandes bastidores de llaveros, de alrededor de 100 dólares cada uno. “Pero eran llaveros diminutos “, dijo Zehnder. “Un cliente que los usaba con nuestra tecnología se enojaba cada vez que alguien perdía el suyo, porque era costoso reemplazarlo. La aplicación es gratuita -así que es un poco más barato”.

Además, mencionó que si se pierde un teléfono, es fácil desactivar la aplicación de forma remota. Y ahora hay aún mejores noticias para los fans de los sistemas de segundo factor basados en smartphones. Como parte de la actualización de iOS en septiembre, Apple ha abierto su sensor de Touch ID para los desarrolladores de terceros.

“No me sorprendería ver que en las apps se tenga que utilizar la huella digital para generar una contraseña o código aleatorio”, indicó Charles Tendell, fundador de la firma de consultoría de seguridad Azorian Cyber Security. “Y con esto siendo más sencillo, veremos una acogida más amplia”.

Esta área de la tecnología de seguridad está evolucionando rápidamente, señala María Horton, fundadora de EmeSec, una consultora de seguridad. Anteriormente, Horton era el CIO del National Naval Medical Center, y ahora trabaja con varios clientes de las agencias federales.

Por otro lado, el sector financiero va a ser muy influyente en lo que respecta al desarrollo de esta tecnología, y el sector de gobierno también lo será.

Ella cuenta que hace dos años el principal problema a nivel del gobierno federal era el intercambio de conocimientos. “Pero parte del intercambio de conocimientos era difícil debido al control de acceso de identidad”, anotó. Por lo tanto, esta primavera fue lanzada una nueva iniciativa sobre acreditación y gestión de la identidad.

“Se aspira llegar a esas etapas”, agregó, pero el gobierno federal ha reconocido que este es un problema, así que ya comenzó a explorar posibles estrategias. “Yo creo que habrá un puñado de ganadores”, señaló. “Si alguna vez tratamos de tener un solo ganador, en realidad aumentaremos el riesgo en el sistema, ya que el ganador será fichado -y entonces no habrá razón para aumentar la funcionalidad o capacidad”.

4.- Primero los usuarios privilegiados

La conversión de toda una organización a un nuevo sistema de administración de contraseñas o de autenticación puede ser extremadamente difícil, especialmente cuando los usuarios tienen que cambiar sus comportamientos.

Ken Ammon, director de estrategia de la empresa de seguridad con sede en Virginia, Xceedium, sugiere que las empresas comiencen con sus usuarios privilegiados. Es un grupo más pequeño, y la mejora de la seguridad aquí tendrá la mayor repercusión en la inversión.

Por ejemplo, algunas compañías utilizan acceso basado en roles, o tienen una cuenta de administrador compartida por varias personas, o permiten los usuarios root. “No hay manera de saber quién está haciendo qué”, señaló.

Si un hacker se mete en los sistemas de la empresa, y es capaz de encontrar el camino hacia las credenciales, también puede hacer un daño muy importante.

En efecto, eso es exactamente lo que sucedió con muchos de las fallas de seguridad a lo largo del año pasado, incluyendo el incumplimiento de eBay a principios de año, donde los hackers se llevaron alrededor de 145 millones de registros de usuarios.

EBay reportó en un comunicado que los ciberatacantes comprometieron una pequeña cantidad de credenciales de login de los empleados, lo que permitió el acceso sin autorización a la base de datos de clientes de la empresa.

5.- Contraseñas con frases en lugar de palabras

Otro aspecto relativamente sencillo para empezar es alejarse del tipo de contraseña estándar -ocho caracteres, símbolos, números y letras mayúsculas-, y en su lugar, permitir que los usuarios usen frases largas pero fáciles de recordar.

“Basándonos en todo el entrenamiento que les hemos dado a los usuarios durante los últimos años, las únicas buenas contraseñas son las que pueden recordar”, dijo Keith Palmgren, miembro del equipo de plan de estudios de la defensa cibernética en SANS. “Una contraseña más larga, algo que puede recordar fácilmente -como ‘fui de pesca el sábado pasado por la noche”- es una muy buena contraseña, incluso si es en minúsculas. No va a aparecer en el diccionario de ningún hacker. Si una empresa está tratando de hacer lo correcto, pero no puede permitirse el lujo de pasar a los sistemas de dos factores de autenticación basados en tokens o biométricos, deberían echar un vistazo más de cerca a sus políticas de contraseñas y empezar a cambiarlas un poco, haciéndolas más realistas”.

Otra cosa que las empresas pueden realizar es ofrecer a sus empleados el uso de herramientas de gestión de contraseñas personales, de modo que no se ven tentados a utilizar las mismas contraseñas en el trabajo como lo hacen en los sitios web personales.

Palmgren utiliza LastPass. “Tengo una contraseña de banca en línea que es de 30 y tantos caracteres de longitud”, anotó. “Es muy compleja, pero no necesito recordarla porque LastPass lo hace por mí”.

Además, señaló que algunas empresas han comenzado a ofrecer la versión empresarial de LastPass para sus empleados. LastPass es un servicio basado en la nube que funciona en conjunto con una aplicación de escritorio o smartphone instalada localmente, encargada del cifrado. “Lo único que se almacena en nuestros servidores es la burbuja cifrada, de la cual no tenemos la clave”, informó la portavoz de LastPass, Cid Ferrara.

Ella señaló que más de 5.500 organizaciones utilizan LastPass; de las pequeñas y medianas empresas a las Fortune 500. Contraseñas personales y de trabajo se mantienen separadas, pero están vinculadas para que los usuarios no tengan que cambiar entre sus cuentas LastPass personales y laborales.

Las compañías pueden utilizar la plataforma en conjunto con una amplia gama de tecnologías de autenticación de dos factores, o con sistemas de inicio de sesión único basado en SAML.

Permite a las empresas a gestionar los miembros de un equipo que, dice, comparten el acceso a las cuentas. Estas carpetas de contraseñas compartidas son una de las principales diferencias entre las versiones para consumidores y empresas.

“Puede que tenga un equipo de cinco vendedores, pero todos necesitan compartir esa credencial”, anotó Ferrara. “Las carpetas compartidas pueden hacerlo de forma segura, sin perder ninguna capacidad de seguimiento”.

– Maria Korolov, Network World EE.UU.

Leer más...