¿Es el fin de las contraseñas? El nuevo enfoque IAM/CIAM

Las contraseñas son desde hace mucho tiempo un componente esencial en el ámbito de la seguridad moderna.

• La primera contraseña digital. En 1961, el profesor de ciencias de la computación del MIT, Fernando Corbato, creó la primera contraseña digital para solucionar el acceso concurrente de usuarios a la computadora de tiempo compartido que había creado. Cada usuario necesitaba acceder de manera privada a los terminales. ¿La solución? Proporcionar a cada usuario una contraseña.
• Sobrecarga de contraseñas. Hoy en día hay contraseñas para casi todo. Cada uno de nosotros tenemos de media más de 100 contraseñas y a menudo las compartimos con familiares, amigos o compañeros de trabajo (Netflix, ¿os suena?). Tratar de recordarlas todas puede ser agotador.

Pero seamos sinceros, las contraseñas son un engorro.

Un consenso creciente

No es una opinión minoritaria, sino una perspectiva compartida por la gran mayoría de los profesionales de IT. En 2020, una encuesta de LastPass reveló que el 95% de los profesionales de IT creen que las contraseñas representan un riesgo de seguridad para su organización.

Destacaron varias malas prácticas, que van desde el uso de contraseñas poco fuertes y la reutilización de estas, hasta la falta de modificación de las credenciales predeterminadas en aplicaciones y dispositivos. ¿Cuántos de vosotros habéis cambiado la contraseña del router que os dio vuestra compañía telefónica?

Esto no debe interpretarse como un ataque a la dejadez de los usuarios; simplemente debemos asumir es que los usuarios buscan la sencillez:

• Las contraseñas cortas son más fáciles de recordar, pero también más sencillas de adivinar.
• Las contraseñas más largas son más difíciles de descifrar, pero también más difíciles de recordar.
• Incluso la contraseña más compleja y única ideada por un usuario carece de valor si una empresa no almacena correctamente las credenciales.

Los principales ataques contra contraseñas de la actualidad

Aprovechándose de esas debilidades, estas son algunas de las tácticas utilizadas por los malhechores par comprometer las seguridad de nuestras credenciales.

• Phishing: una de las técnicas de robo de contraseñas más comunes en la actualidad. Hace uso de técnicas de ingeniería social, su éxito se basa en engañar a la víctima para que revele información confidencial.
• Ingeniería social: este término generalmente se refiere al proceso de engañar a los usuarios para que crean que el hacker es un agente legítimo, se basa en la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial.
• Ataque de fuerza bruta: aglutina diferentes métodos de piratería basados en adivinar contraseñas para acceder a un sistema. La mayoría de estos ataques emplean algún tipo de procesamiento automatizado, lo que permite probar grandes cantidades de contraseñas en un sistema.
• Ataque de diccionario: es un ejemplo un poco más sofisticado de un ataque de fuerza bruta. Utiliza un proceso automatizado de intentos de acceso a un sistema que se nutre de una lista con las contraseñas y frases de acceso más comunes. Este diccionario de contraseñas suele provenir de hacks anteriores, también suele contener las contraseñas más comúnmente utilizadas.
• Ataque de tabla arcoíris: cada vez que se almacena una contraseña en un sistema, generalmente se cifra mediante un hash, lo que hace imposible determinar la contraseña original sin el hash correspondiente. Para eludir esto, los piratas informáticos mantienen y comparten directorios que registran contraseñas y sus hashes correspondientes, a menudo creados a partir de ataques anteriores, lo que reduce el tiempo que lleva ingresar a un sistema. Se usa en ataques de fuerza bruta.

Conclusión

La autenticación tradicional mediante un nombre de usuario y una contraseña ha sido la base de la identidad y la seguridad digital durante más de 50 años. Hoy en día, con el aumento exponencial de cuentas de usuario, este mecanismo se enfrenta a nuevos problemas, como por ejemplo la gestión correcta de las credenciales por parte de los usuarios, los costes de soporte y, lo que es más importante, los riesgos de seguridad que plantean las credenciales comprometidas.

Ha llegado el momento de comenzar a hablar de la gestión de identidades y autorización, es decir, hablar de CIAM, cuyos principales beneficios son:

• Aprovisionamiento automático de cuentas de usuario
• Gestión de flujos de trabajo y autoservicio
• Manejo de contraseñas
• Inicio de sesión único (SSO)
• Control de acceso basado en roles (RBAC) / Gobernanza de acceso
• Auditoría y Cumplimiento

Descubre cómo el CIAM puede apoyar iniciativas que generen ingresos para tu negocio, o ponte en contacto para obtener más información sobre cómo Okta puede apoyar a tu organización.