Desde Target hasta TalkTalk y a cualquier empresa que sea vulnerada la próxima semana, la letanía de las compañías que han perdido los datos de los clientes, debería hacer repensar no solo cómo se protege la información y las cuentas de los clientes, sino si es que quisieran comenzar, ellos mismos, a ejecutar y operar los servicios de identidad.
A pesar de que los ataques sean una rutina, los detalles de la identidad de los usuarios están, a menudo, muy poco protegidos. Un vistazo rápido a Stack Exchange revela que un preocupante número de desarrolladores no saben cómo manejar el cifrado o almacenar los usuarios y contraseñas de manera segura. Muchas compañías tienen prácticas de apoyo que ponen los datos de los clientes en riesgo, desde errores técnicos como vulnerabilidades en el cifrado de sitios web interconectados, o mantener páginas de inicio inseguras; hasta malas decisiones arquitectónicas, como el bloqueo de los administradores de contraseñas o manipular el restablecimiento de las contraseñas, incluyendo el reseteado deficiente de las mismas y el envío de contraseñas sencillas. El sitio web de The Plain Text Offenders y el de Troy Hunt, experto en seguridad, recolectan ejemplos, muchos de ellos de referentes muy conocidos.
Incluso si está asegurando bien sus propias identidades de consumidor, éstas están en riesgo cuando otros sitios web son violados; ya que la gente, a modo de rutina, reutiliza los nombres de usuario y las contraseñas.
La identidad -como un servicio
“Los nombres de usuario y las contraseñas son útiles y valiosas para entrar a algún sitio web, pero lo son más para entrar a otros sitios web”, señaló Alex Simons, quien dirige el equipo de Active Directory de Microsoft. “Cada vez que hay una fuga, por lo menos el 20% coincide con algún otro sitio web. Simplemente no quiere que su sitio de consumo, con todos los nombres de usuario y contraseñas, sea un blanco; pero tampoco quiere ser responsable de mantener todos los parches y los tipos correctos de cifrado; y asegurarse, de esta manera, que esté bloqueado, asegurado y que nadie puede llegar a él”.
Para conseguir abordar correctamente el tema de la identidad hace falta experiencia, conocimientos e investigación continua, anotó Simons, porque eso es lo que la gente que intenta infringir y violar:
“Tiene que mantenerse al día con todo lo que está pasando en el underground para saber cuál es el lugar correcto para estar. Asimismo, será mejor que tenga tecnologías de cifrado modernas, saber cómo saltar con eficacia su cifrado, cuántas iteraciones ejecutar y cómo realizar las compensaciones entre las iteraciones y el ancho de banda de la CPU, y todas esas cosas. Es necesario que se mantenga actualizado y que siga el rito, dado que el mundo de los cibercriminales evoluciona sumamente rápido. El desafío es muy complicado. Los criminales son profesionales, cuentan con cadenas de suministros de herramientas, pueden ir a comprar una dirección de IP secreta nunca antes vista, y pueden conseguir herramientas de hackeo en el libre mercado para meterse. Este es un negocio criminal organizado y no creo que quiera tener a un grupo de amateurs y novatos protegiéndolo. Preferirá llamar a los profesionales y hacer que ellos lo hagan por usted”.
Jon Gelsey, CEO del servicio desarrollador de identidades Auth0, está de acuerdo. “El concepto de ‘seguridad’ para toda una Web o aplicación móvil, y para un dispositivo API o IoT es complejo. La implementación de una buena seguridad para una aplicación significa que los desarrolladores deberían estar siempre conscientes de las amenazas que evolucionan rápidamente, y deberían tener el conjunto de habilidades para integrar adecuadamente la seguridad en sus aplicaciones. Debido a que la mejor seguridad es aquella que se implementa, la implementación debería ser lo más simple posible para el desarrollador”. Gelsey añadió que un servicio de identidad será más fácil de usar, más rápido de desarrollar y proporcionará una mejor seguridad, lo cual él espera que se convierta en “un incentivo para que las empresas lancen aplicaciones con la seguridad adecuada y en su lugar desde el primer día”.
Marc Boroditsky, quien dirige el servicio Authy de Twilio, señaló que la tendencia de utilizar servicios de identidad está ya en marcha en algunas industrias. “Los negocios son buenos protegiendo la información de los trabajadores con los controles del ciclo de vida, pero el riesgo de la gestión de datos de los consumidores va más allá de sus capacidades. Hay proveedores de servicios muy competentes que entregarán una solución más entregable. Hace cinco años, los grandes minoristas estaban comenzando a trabajar en pro de delegar esas tareas a proveedores terceros. Ya la industria del automóvil, por la complejidad de las interacciones en la relación de servicio y fabricación, está externalizando los temas de identidad a un proveedor centralizado que lo entrega como un servicio”.
Si usted accede a OnStar, señaló, estará pasando por un servicio como Covisint.
Security en escala
El Real Madrid decidió simplificar la identidad para sus desarrolladores y han estado usando el nuevo servicio de Microsoft Azure AD B2C, que Simons describió como “una versión exclusiva de Azure Active Directory para operar su sitio de consumo”, ya que solo se puede ver por invitación. Los fans pueden iniciar sesión con un usuario y contraseña, o usando la cuenta de alguna red social como Facebook; y esto funciona en el sitio web o en cualquier aplicación móvil que el equipo produzca. Sin embargo, lo que ven es una página de marca del Real Madrid, no una de Microsoft, porque es fácil personalizar la página.
De acuerdo a Simons, al mejorar la seguridad con un servicio de identidad ahorrará dinero. “Nuestros precios son sumamente asequibles; podemos ejecutarlo por usted a un precio muchísimo más barato de lo que le costaría hacerlo todo usted mismo; y, además, obtener otros beneficios”, afirmó Simons. Las primeras 50 mil identidades de consumidores son gratuitas, y si su empresa necesita más que eso, Microsoft cobra “una fracción de centavo por autenticación y otra fracción por cada identidad almacenada. Eso le da un servicio de alta disponibilidad funcionando a escala Azure en muchos centros de datos alrededor del mundo (por lo que las conexiones son rápidas dondequiera que estén sus clientes). Si un centro de datos se incendia o un disco se malogra, podemos rápidamente hacer un desvío a algún otro nodo, para que no haya ningún segundo de inactividad”, añadió.
Es importante señalar que solamente usar un servicio de identidad no lo hace seguro. Así como Troy Hunt afirmó: “Si no sabe lo que está haciendo, ¿cómo sabe que está escogiendo el servicio correcto?”. En lugar de intentar externalizar la responsabilidad de seguridad, los CIOs deberían invertir en educación. “Deberían asegurarse de que los tomadores de decisiones estén debidamente capacitados”, añadió Hunt.
Simons está de acuerdo: “El conocimiento no tiene sustituto. Es necesario que haga la inversión de mantenerse al día con este tipo de cosas. Asimismo, tiene que pensar en ello en múltiples capas y tener una buena defensa en las más profundas. Sin embargo, hay grandes piezas que puede externalizar a especialistas como nosotros. Nos podemos hacer cargo de la seguridad de la identidad. Asimismo, se tendrá que preocupar muy poco por el área de superficie y la complejidad de las amenazas”.
Una de las áreas que la mayoría de compañías malentienden es la de la administración del soporte y cuentas.Si su sistema puede enviar por correo electrónico una contraseña olvidada, está almacenando contraseñas sin cifrar. “Una de las mejores cosas acerca de nuestro sistema B2C es que es todo está guiado por flujos de trabajo y metadatos”, anotó Simons. “Nosotros generamos los correos electrónicos por usted sobre la forma de restablecer su contraseña, y cómo responder ante un desafío de autenticación de dos factores. Usted declara en los metadatos ‘así es como quiero que funcione’, y nosotros nos encargamos de hacerlo lo mejor posible. Además, nunca tendrá un usuario diciendo ‘oye, equipo de apoyo, mándame la contraseña’. Tenemos un buen flujo instrumentado por el que pasan para demostrar que la cuenta es suya, tal vez utilizando su teléfono, y así tengan la oportunidad de restablecer su contraseña de manera segura. Se trata de gestionar el ciclo de vida de una identidad y todo esto se hace bajo políticas”.
Una ventaja, que le sería muy difícil de conseguir por su cuenta, es la escala de un servicio de identidad como Azure B2C y lo que Microsoft ha aprendido de la gestión de 500 millones de cuentas de usuarios de Microsoft que inician sesión todos los días. Para protegerlos, Microsoft busca enérgicamente lo que llama las cuentas en peligro de extinción. “Tenemos un equipo que trabaja con los gobiernos y otras compañías, y también busca en el mercado negro y recoge los nombres de usuario y las contraseñas filtradas”, señaló Simons. “Ejecutamos a través de nuestros servicios y podemos alertarlo sobre los nombres de usuario y contraseñas potencialmente comprometidos en su tenant para clientes y colaboradores. Asimismo, podemos ayudarlo a tomar acción, por lo que podría requerir que hagan una autenticación de múltiples factores o restablecer su contraseña”.
El servicio B2C también utilizará un sistema, que ya está en marcha, para proteger las cuentas de Microsoft de las contraseñas débiles. “Si introduce una de las top mil contraseñas más frecuentemente utilizadas, le pediremos que ‘por favor elija una contraseña más difícil de adivinar’”.
La contraseña no es la única protección para las cuentas. “Nos fijamos en más de 90 características de contexto para ese usuario cuando inicia sesión. Si dio el nombre de usuario y la contraseña correctas, pero el contexto que se utiliza es malo -si viene de una máquina que nunca hemos visto y de una red Tor- no será capaz de iniciar sesión en el servicio”.
Microsoft también colabora con servicios como Google y Facebook para hacer que sea más sencillo detectar ataques o cuentas comprometidas, a través de los diferentes servicios (porque un atacante que ha quebrado una cuenta en un servicio, a menudo se dirige a ese mismo usuario en otros sistemas donde podrían reutilizar la contraseña, y porque una cuenta está, muchas veces, asegurada mediante el uso de otra cuenta como una manera de restablecer la contraseña).
Además, su trabajo ayudando a detener botnets significa que ahora controla diez de los más grandes botnets del mundo. Asimismo, deja a los servidores de comando y control en marcha para que le hagan seguimiento a las direcciones de IP infectadas con malware cuando ingresen a los servidores. Los clientes de Azure Active Directory tienen la opción de ver si alguna de sus direcciones de IP está infectada. Asimismo, Microsoft puede usar esta característica en Azure B2C para protegerlo contra los clientes infectados que intenten iniciar sesión en sus servicios.
Protéjase de los socios
El otro conjunto de identidades externas con el que muchas compañías tienen que lidiar es aquel que les da a sus socios acceso a su red. Así como reiteradas violaciones han probado -desde bancos infectados con SQL Slammer por sus socios, hasta el negocio HVAC a través del cual los hackers violaron la red de destino- es muy difícil hacerlo bien.
“Tradicionalmente, las empresas han seguido dos modelos, y ambos han fracasado”, afirmó Simons. “El modelo de federación es caro y desde el punto de vista del cumplimiento normativo es una pesadilla. El otro modelo que también fracasó es correr un directorio independiente con las identidades de los socios -por lo que ahora tienen diferentes identidades con las cuales tratar, y yo tengo que tener un servicio al que puedan acudir para restablecer las contraseñas, y luego, cuando un empleado deje la empresa, yo no me voy a enterar”.
Una alternativa es el nuevo servicio gratuito Azure B2B para colaborar con otras compañías. “Uno puede configurar relaciones de confianza entre los usuarios de la nube de tal forma que uno pueda compartir aplicaciones y documentos entre empresas”, djo Simons. Esto utiliza el tenant gratuito Azure AD que cualquier empresa puede configurar (y muchas empresas ya tienen uno debido a las adopciones generalizadas de Azure y Office 365. “Al invitar a un socio, si tienen un tenant usamos esto, y si no lo tienen creamos el tenant de manera invisible. Puede invitar a usuarios específicos, para que tenga visibilidad de la relación en su tenant. Puede ver a sus socios y administrarlos en el sentido de añadirlos a los grupos para tener acceso. Si un empleado deja el tenant de mi socio, quedan eliminados de forma automática”.
Proteger cuentas y logins es algo que ya no puede considerar simplemente como una cuestión de tecnología, sugirió Simons; es un área clave de competencia del negocio. “Sabemos que, si sus nombres de usuario y contraseñas se filtran, el precio de sus acciones cae 20% y su CEO es despedido. Ya no se trata de un pequeño problema”.
-Mary Branscombe, CIO (EE.UU.)