Adoptar un enfoque de varios niveles para repensar la identidad de sus empleados, socios y clientes es un buen lugar para comenzar.
Los incidentes de seguridad han estado en niveles récord a lo largo de 2022, y las principales amenazas incluyen violaciones de datos y ransomware, fraude financiero y pérdidas por pagos de rescate.
Los números son cada vez mayores para los ataques de malware conocidos. Un informe reciente de IT Governance, con sede en el Reino Unido, identificó 112 incidentes de seguridad divulgados públicamente en agosto de 2022 en los Estados Unidos, el Reino Unido, Europa, América del Sur y otros lugares. Estas brechas de seguridad resultaron en 97,456,345 registros comprometidos. Los ataques de malware conocidos durante 2022 están costando a las empresas millones de dólares. Durante la primera mitad de 2022, hubo un total de 236.1 millones de ataques de ransomware en todo el mundo según Statista . Los piratas informáticos a menudo aprovechan campañas de phishing inteligentes para obtener acceso a las credenciales de los empleados para iniciar estos ataques.
Ingeniería social
Hay muchas artimañas de piratería diferentes en este momento, pero la ingeniería social debe estar cerca de la parte superior de la lista de amenazas crecientes de cada CSO. Estos hacks pueden incluir todo, desde mensajes falsos de bancos con enlaces de spam, mensajes directos de FB sospechosos de amigos hasta personas malintencionadas que suplantan las credenciales de los empleados para obtener acceso a los sistemas de la empresa.
Aprovechar y engañar a los empleados desprevenidos se ha convertido en una de las formas más fáciles para que los piratas informáticos accedan a los sistemas de la empresa. Encuentre a un empleado desprevenido, obtenga acceso a las credenciales de ese empleado y robe las llaves del reino. Como dice el refrán, es más fácil entrar usando las llaves de la puerta principal que hackeando la puerta trasera.
Colectivamente, debemos adoptar una forma más moderna y segura de verificar la identidad de un individuo y superar las formas antiguas de múltiples nombres de usuario, contraseñas y respuestas a preguntas de seguridad. Incluso MFA ya no es infalible.
Trucos de Uber, Twillio y Mailchimp
Cualquier organización corre el riesgo de sufrir una filtración de datos o una intrusión en la seguridad. Esto es lo que le pasó a Uber el verano pasado. Un pirata informático diseñó las credenciales de un empleado de Uber y obtuvo acceso a la intranet interna de Uber, al sistema Slack de la empresa, al administrador de Google Workspace, a las cuentas de AWS de Uber, a los paneles financieros y más.
Otro ejemplo destacado ocurrió a principios de 2022 cuando la empresa de seguridad Group-IB descubrió que los empleados de Twilio, MailChimp y Klavioyo fueron víctimas involuntarias de una campaña masiva de phishing. Este ataque comprometió casi 9,400 cuentas en más de 130 organizaciones. Muchos de estos empleados residían en EE. UU. y utilizaban el servicio de gestión de acceso e identidad predominante de Okta.
También ha habido otros ataques a principios de este año. Cubrí noticias de estos en mi columna de CIO en junio . Por ejemplo, el hackeo de Lapsus$ involucró a las empresas Cisco, NVIDIA, Samsung, T-Mobile, Vodafone y posiblemente a otras organizaciones notables.
Y las OSC, tengan en cuenta que incluso las plataformas diseñadas para protegerlos a ustedes y a sus empleados están siendo pirateadas. En agosto, la empresa de administración de contraseñas LastPass anunció que sus sistemas habían sido violados.
Los CSO y los administradores de sistemas pensaron que MFA (autenticación de múltiples factores) o 2FA (autenticación de 2 factores) eran soluciones ideales. Pero ahora incluso esos procesos están siendo pirateados y los malos actores obtienen acceso no autorizado a los datos e información de los usuarios.
Legislación emergente
Dado que las personas son víctimas de ataques de phishing/fraude, los legisladores tanto del Reino Unido como de los Estados Unidos.están tomando nota. Hay una propuesta en el Reino Unido que haría que los bancos y otras instituciones financieras reembolsaran a las víctimas del fraude en línea .
El Regulador de Sistemas de Pago anunció en septiembre que quiere que la industria de pagos cambie la forma en que administra las estafas de APP (Authorised Push Payment). Las medidas propuestas requieren que los bancos reembolsen las cantidades robadas de más de 100 libras esterlinas a las víctimas del fraude.
Los bancos con sede en el Reino Unido estarán obligados a compensar a un cliente, incluso si se trató de un ataque de phishing que fue posible gracias a la ignorancia del cliente bancario. El banco aún estará obligado a ayudar a reembolsar el dinero perdido.
En los Estados Unidos, la senadora de Massachusetts Elizabeth Warren también está impulsando una legislación similar luego de su análisis de los clientes de Zelle que denunciaron el robo de dinero.
Las instituciones financieras deben prestar estricta atención a los esquemas de fraude para proteger mejor a sus clientes. Al proteger a sus clientes, los bancos también protegerán sus resultados. Los problemas de ciberseguridad no son solo un problema de seguridad o de marca; también se están convirtiendo en un problema financiero punitivo.
Cómo las OSC pueden contraatacar
Las OSC deben redoblar esfuerzos para prevenir intentos de phishing dentro y alrededor de los sistemas internos. Es una de las acciones más críticas a abordar. No sólo sus clientes son pirateados y su información está expuesta, sino que ahora incluso las empresas que administran las credenciales y el control de acceso (Duo, OKTA, LastPass) se han visto comprometidas, lo que agrava aún más el problema.
Cerrar la puerta principal sigue siendo la mejor manera de prevalecer contra estas amenazas. Adoptar un enfoque de varios niveles para repensar la identidad de sus empleados, socios y clientes es un buen lugar para comenzar. Si aún no está considerando hacerlo, es hora de comenzar a buscar la próxima generación de productos de administración de identidades y control de acceso que se están introduciendo en el mercado.
Estos sistemas innovadores pueden establecer mejor la identidad no solo del dispositivo que inicia sesión, sino también la identidad del individuo que usa el dispositivo. Además, la identidad debe ser un problema continuo, no solo al comienzo del día, del turno o de la sesión en línea. Los sistemas más nuevos basados en IA pueden lograr esto sin crear molestas ventanas emergentes de reautenticación continua, al combinar una variedad de señales de comportamiento y posiblemente biométricas en tiempo real.
Zero Trust se ha convertido en una frase usada en exceso en la industria, pero ahora es el momento de comenzar a implementar soluciones que le permitan a usted, como CSO, confiar verdaderamente en quién accede a sus redes y datos.
Rick Grinell, CIO.com
