Credenciales corporativas para la venta en la Dark Website: cómo …



Ya es hora de retirar las contraseñas en favor de otros métodos para autenticar usuarios y proteger los sistemas.

A pesar de lo valiosas que son las contraseñas de los empleados corporativos y los mejores esfuerzos de las empresas para proteger sus sistemas, las credenciales de usuario siguen terminando a la venta en los foros de la Darkish World wide web. Incluso con las capacidades en constante avance de la industria de la ciberseguridad, las credenciales corporativas de todas las industrias aparecen en estas notorias salas de subastas virtuales para ser utilizadas en una amplia gama de ataques, desde simples phishing hasta complicados ataques de fuerza bruta.

Incluso las empresas de ciberseguridad no son completamente inmunes a tales amenazas. Según la investigación de ImmuniWeb, una asombrosa 97% de las empresas de ciberseguridad tienen filtraciones de datos y otros incidentes de seguridad expuestos en la Dim World wide web.

Además, la investigación reveló que el 29% de estas contraseñas robadas son débiles, con menos de ocho caracteres o sin letras mayúsculas, números u otros caracteres especiales. Aproximadamente el 40% de los empleados de las 162 empresas encuestadas reutilizaron contraseñas idénticas de cuentas que habían sido violadas. Tenga en cuenta que estamos hablando de empleados de la industria de la ciberseguridad, por lo que la conciencia no es el problema aquí.

Cuando las empresas de ciberseguridad que deberían estar bien preparadas para proteger los datos de sus empleados no lo hacen, parece que el problema no es la falta de protección en torno a las contraseñas, sino las contraseñas mismas. Ha llegado el momento de cuestionar el uso de contraseñas como método de autenticación adecuado.

Aumentan las exposiciones de adquisición de cuentas de alta gravedad
Aprovechar las credenciales robadas es la táctica número uno utilizada por los piratas informáticos en los últimos años debido a su relativa facilidad y eficacia. Y desde marzo de 2020, el número de exposiciones de adquisición de cuentas de alta gravedad en las que se expusieron credenciales corporativas con contraseñas de texto sin formato ha aumentado en 429%, según Arctic Wolf.

La prevalencia de fugas de credenciales resalta la tarea imposible que enfrentan los equipos de seguridad empresarial. La reutilización de contraseñas en sitios de terceros más allá de las fronteras del perímetro de una empresa es el principal culpable de la mayoría de las infracciones. Desafortunadamente, no podemos simplemente desear que este problema desaparezca. Aunque el 91% de las personas saben que la reutilización de contraseñas es insegura, 75% lo hace de todos modos, según LastPass. Además de pedir amablemente a los empleados que no tengan una higiene de contraseña tan arriesgada, existen opciones limitadas para lo que pueden hacer los equipos de seguridad de la empresa.

LastPass también informa que un empleado promedio realiza un seguimiento de 191 contraseñas. La realidad es que no podemos cambiar el comportamiento humano. Los humanos siempre optarán por el camino de menor resistencia, y en este caso, eso significa comodidad sobre seguridad. No se debe esperar que los trabajadores presenten 191 combinaciones únicas de inicio de sesión / contraseña que sean lo suficientemente complejas para cumplir con los requisitos. Pero eso es exactamente lo que piden muchas organizaciones.

Abordar la causa raíz: la contraseña
Hay una forma de eliminar por completo la gran mayoría de las filtraciones de datos, los ataques de ransomware y otros incidentes cibernéticos devastadores, y es dejar de depender de las contraseñas. Los secretos memorizados por los humanos siempre dejarán una gran grieta para los atacantes, así que ¿por qué no eliminar esto por completo?

La autenticación basada en algo que el usuario sabe (como una contraseña, una frase de contraseña o un código PIN) es fácil de robar, compartir o reutilizar. Además, requiere una gestión y un manejo constantes por parte de los usuarios y responsables de TI.

La autenticación sin contraseña verifica las identidades de los usuarios sin depender de secretos memorizados. En lugar de contraseñas, la identidad se puede verificar en función de:

  • Un «variable de posesión», que es un objeto que identifica de forma única al usuario, como un generador de contraseñas de un solo uso, un dispositivo móvil registrado o un token de components.
  • Un «variable inherente», como la firma biométrica de una persona, como una huella electronic, una identificación facial o un escaneo de retina

La autenticación sin contraseña es intrínsecamente más segura, ofrece una mejor experiencia de usuario, reduce los costos y la sobrecarga de TI, y ofrece una visibilidad completa de la administración de identidades y accesos al eliminar la posibilidad de reutilizar, compartir o exponer las credenciales.

No podemos esperar que los empleados que están abrumados con contraseñas mantengan una buena higiene de contraseñas. Es simplemente humanamente imposible. Toda la strategy de una contraseña se rompe, como muestra el crecimiento sin precedentes de los ataques basados ​​en credenciales, y la autenticación sin contraseña soluciona los problemas actuales, en lugar de intentar eliminarlos.

Raz Rafaeli, director ejecutivo y cofundador de Solution Double Octopus, es un ejecutivo empresarial orientado a los resultados con más de 25 años de experiencia en tecnología y liderazgo en las industrias de software, seguridad, semiconductores y telecomunicaciones. Anteriormente, Raz fue el CEO de MiniFrame y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first