Combatiendo las amenazas de seguridad no evidentes del trabajo remoto

En la primavera de 2020, la mayoría de los gobiernos y empresas en todo el mundo se vieron obligados a trasladar rápidamente a muchos empleados a trabajo remoto. A causa de esto, las cuestiones de diseño de un nuevo sistema de seguridad de la información se pospusieron. En su lugar, las organizaciones tomaron las medidas de protección más relevantes disponibles en aquel momento, por ejemplo, firewalls, VPNs y autenticación multi-factor.

Debido a la prisa en la construcción del trabajo remoto y los presupuestos limitados, muchas amenazas de seguridad urgentes fueron ignoradas. Con el tiempo, el sistema de protección de la información y su base documental se han ido refinando para tener en cuenta un mayor número de amenazas reales. Sin embargo, los atacantes continúan encontrando y utilizando lagunas para infligir daños.

Amenazas a las cuentas de usuario

· Intercepción de las credenciales introducidas

Una de las medidas para proteger la información al organizar el trabajo remoto cuando los empleados utilizan dispositivos personales es la virtualización de los puestos de trabajo y el traslado de las aplicaciones a un servidor terminal, seguido de un aislamiento completo del ambiente.

En efecto, si se instala un malware en el ordenador de un empleado, no afectará al entorno de trabajo ni a las aplicaciones empresariales.

Sin embargo, incluso si se utiliza autenticación alternativa para la conexión remota, si te conectas a una estación de trabajo virtualizada (VDI) y una aplicación de terminal (por ejemplo, a través de RemoteApp), existe una alta probabilidad de que la aplicación requiera autorización utilizando un nombre de usuario y contraseña. En este caso, el malware puede interceptar las pulsaciones de teclas, identificar la combinación correcta de inicio de sesión y contraseña, y finalmente, un atacante podrá obtener acceso a datos confidenciales.

Para mitigar esta amenaza, se recomienda utilizar soluciones de inicio de sesión único (SSO, por sus siglas en inglés) en conjunto con soluciones de autenticación alternativa. La solución SSO debe instalarse en estaciones de trabajo de oficina a las que el empleado se conecta a través de VDI o en un servidor de terminal. Además, para confirmar la autenticación en aplicaciones corporativas, el sistema requerirá un factor de autenticación alternativo, luego de lo cual SSO proporcionará independientemente las credenciales necesarias. De esta manera, incluso si hay un registrador de teclas en la estación de trabajo de un empleado, los inicios de sesión y las contraseñas introducidos no pueden ser interceptados.

· Clonación del generador de contraseñas de un solo uso

No hace falta decir que los métodos de autenticación fuertes (multifactoriales) aumentan significativamente la resistencia a las amenazas durante el trabajo remoto. Sin embargo, todas las tecnologías de autenticación tienen diferencias significativas en términos de aplicabilidad y seguridad.

Los métodos de autenticación multifactoriales populares de hoy en día que utilizan códigos de un solo uso generados en el dispositivo o enviados en mensajeros tienen vulnerabilidades significativas. Si un atacante obtiene acceso continuo a un smartphone, puede intentar obtener privilegios elevados en un smartphone (jailbreaking para dispositivos iOS, root para Android). Y si un atacante tiene éxito, podrá clonar las claves del generador de contraseñas de un solo uso y configurarlo para enviar códigos a su propio dispositivo.

Para mitigar este riesgo, se recomienda abandonar las contraseñas de un solo uso y utilizar autenticación push, que está explícitamente vinculada al dispositivo y no funcionará en el dispositivo del atacante.

Amenazas a la disponibilidad de recursos corporativos

· Bloqueo remoto de cuentas de usuario

A menudo, los servicios web están disponibles a través de Internet. Por ejemplo, se puede acceder a los recursos corporativos mediante el webmail.

En ocasiones, el nombre del buzón de correo es el mismo que el nombre de la cuenta de dominio. Los hackers pueden intentar adivinar la contraseña lanzando un ataque de fuerza bruta. Para neutralizar esta amenaza, debería activarse el bloqueo de cuentas después de varios intentos de contraseña fallidos.

Sin embargo, un atacante puede usar la fuerza bruta con las contraseñas para bloquear a propósito una cuenta de dominio. Este tipo de ataque puede paralizar algunos procesos empresariales.

Para neutralizar parcialmente esta amenaza, se puede utilizar una solución especializada para la autenticación de dos factores (2FA), por ejemplo, contraseñas de un solo uso. En este caso, incluso si se realiza un intento de fuerza bruta, se bloqueará el segundo autenticador, y no la cuenta. Así, el empleado mantendrá la capacidad de acceder a los recursos corporativos, aunque solo sea a través de una conexión alternativa o trabajando localmente.

· Pérdida o avería de un medio que almacena claves de seguridad

Al realizar tareas laborales, los trabajadores remotos pueden utilizar certificados digitales para firmar documentos, conectarse a servicios web de terceros, entre otras tareas. Al mismo tiempo, en caso de pérdida o avería del dispositivo (por ejemplo, la unidad flash que almacena las claves), surge el problema de su rápida sustitución. A menudo, no se puede implementar en un plazo razonable, especialmente si el empleado se encuentra lejos de la oficina.

Para neutralizar la amenaza, se pueden utilizar soluciones especializadas que implementan una tarjeta inteligente virtual que no guarda la información clave en un dispositivo extraíble.

En este caso, el almacenamiento de claves se llevará a cabo de las siguientes maneras:

1) En el lado del servidor, todas las operaciones con claves se realizan en el servidor.

2) Un módulo especializado dentro del dispositivo – Módulo de Plataforma de Confianza.

Se considera que tales soluciones son menos seguras que los medios protegidos extraíbles, pero estas soluciones son las más flexibles y adecuadas para la situación de emergencia descrita.

Después de reemplazar la llave, se puede desactivar la tarjeta inteligente virtual. Por lo tanto, incluso si se pierde o se rompe el portador de la clave, no habrá interrupciones en los procesos comerciales de la compañía.

Amenazas de no atribución de las acciones que llevaron al incidente

· Disputas en caso de fallo de un recurso crítico

Siempre que los usuarios con privilegios trabajan con recursos de TI, siempre existe el riesgo de un error humano. Sus propias acciones pueden llevar al fallo de un recurso crítico.

Incluso cuando se trabaja directamente en las instalaciones de una organización, puede ser difícil averiguar qué sucedió y quién es el responsable del fallo. En el caso de acceso remoto, esta situación se complica aún más. La investigación de estos incidentes no sólo afecta negativamente al ambiente de trabajo cuando se intenta culpar a la parte inocente, sino que también se desperdicia mucho tiempo en acciones improductivas.

El uso de soluciones SIEM probablemente permitirá descubrir quién se conectó al recurso, pero es poco probable que se determine con precisión quién es responsable en caso de múltiples conexiones simultáneas. Y también es difícil determinar la secuencia de acciones que condujo a la falla.

Sin embargo, al utilizar las soluciones de Gestión de Acceso Privilegiado (PAM, por sus siglas en inglés), todas las conexiones de los usuarios privilegiados pueden ser registradas en diversos formatos (video, texto, capturas de pantalla, pulsaciones de teclas, archivos transferidos, etc.) Más tarde, utilizando estos registros, se puede determinar rápidamente qué secuencia de acciones condujo a la falla e identificar a la persona responsable del incidente.

· Un intento de evadir la responsabilidad

Existen situaciones en las que un agente interno malintencionado trabaja en una empresa. Él puede llevar a cabo a propósito algunas acciones que pueden llevar a una falla o interrupción de un recurso crítico. Por sí misma, la tarea de identificar a la parte responsable no es fácil; sin embargo, utilizando soluciones de PAM, se puede encontrar rápidamente al culpable.

Cuando se descubre a un empleado, puede decir que su contraseña fue robada. No es un secreto que la autenticación por contraseña es muy vulnerable a diversas amenazas, y el hecho mismo de la divulgación se revela a menudo sólo después del incidente.

Obviamente, en una situación así, los agentes de seguridad pueden pensar que el empleado es inocente y que lo ocurrido es simplemente una desafortunada coincidencia.

Para neutralizar esta amenaza, se recomienda utilizar 2FA en conjunción con la solución PAM. Si el empleado es en efecto un infiltrado malintencionado, será difícil para él evadir responsabilidad. No obstante, si un empleado sostiene que no sólo se robaron su contraseña sino también su teléfono, en el cual está instalado un generador de contraseñas de un solo uso, se le hará una pregunta lógica: «¿Por qué no notificaste a la seguridad inmediatamente sobre esto?»

Conclusión

Habiendo considerado amenazas adicionales que surgen al trabajar remotamente, es necesario tener en cuenta que las amenazas de seguridad de la información evolucionan con el desarrollo de las tecnologías de la información. Los atacantes se adaptan y siempre están buscando nuevas formas de ganar más dinero. Hasta que los sistemas de defensa se reconstruyan completamente para las nuevas realidades, los ciberdelincuentes pueden aprovecharse de tus debilidades antiguas y nuevas para sus propios fines.

Hoy en día, el formato de trabajo remoto ha entrado firmemente en nuestra vida e incluso está regulado a nivel estatal en algunos países. En consecuencia, los especialistas en seguridad de la información deben considerar cuidadosa y detenidamente hasta qué punto los sistemas de protección existentes están preparados para resistir los desafíos cibernéticos modernos. Incluso hemos tenido que empezar a considerar cosas que nunca pensamos que tendríamos que tener en cuenta, como los riesgos de seguridad de salir a cenar.