• Save
Fin de las contraseñas by eset
Upcoming SlideShare
Loading in...5
×
 

Fin de las contraseñas by eset

on

  • 344 views

Fin de las contraseñas, doble autenticación.

Fin de las contraseñas, doble autenticación.

Statistics

Views

Total Views
344
Views on SlideShare
344
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Fin de las contraseñas by eset Fin de las contraseñas by eset Presentation Transcript

  • ¿El fin de las contraseñas?André GoujonEspecialista de Awareness & Research22/03/2013 – version 1.1
  • ContenidoIntroducción ................................................................................................................................................................................................................................................................................................................. 3Robo de claves y malos hábitos.................................................................................................................................................................................................................................................................................... 3Robo de contraseñas mediante ataques específicos: casos como Yahoo!, Twitter y LinkedIn ................................................................................................................................................................................ 4Robo de contraseñas corporativas mediante códigos maliciosos ............................................................................................................................................................................................................................ 4Robo de contraseñas mediante phishing.................................................................................................................................................................................................................................................................. 5Las conductas inseguras del usuario......................................................................................................................................................................................................................................................................... 6Sistemas de autenticación............................................................................................................................................................................................................................................................................................ 7Factor de conocimiento (algo que sé)....................................................................................................................................................................................................................................................................... 7Factor de posesión (algo que tengo) ........................................................................................................................................................................................................................................................................ 7Factor de inherencia (algo que soy).......................................................................................................................................................................................................................................................................... 7Sistema de doble autenticación.................................................................................................................................................................................................................................................................................... 7Activar doble autenticación en servicios ...................................................................................................................................................................................................................................................................... 8Conclusión: ¿El fin de las contraseñas? ...................................................................................................................................................................................................................................................................... 10
  • ¿El fin de las contraseñas?La autenticación simple cada vez másamenazadaIntroducciónPara evitar que otros puedan acceder a recursos privados, la protección delos mismos se convirtió en una conducta esencial de las personas y lasociedad. En este sentido, resulta interesante destacar que haceaproximadamente 4.000 años se inventó el primer sistema de cerraduraconstruido a partir de madera y, en la actualidad, es impensado que unautomóvil, casa, tienda, oficina, etc. no posean algún sistema deprotección que evite que un tercero no autorizado pueda acceder a ellos.Con los sistemas informáticos sucede algo similar. Tanto las personas comolas empresas almacenan información importante y confidencial que decaer en las manos equivocadas, podría resultar problemático. Por ello, eluso de credenciales de acceso, como nombre de usuario y contraseña, sonuna parte fundamental de servicios como el correo electrónico, las redessociales, y los recursos compartidos de red, entre otros.Por otro lado, y considerando que las credenciales de acceso protegendatos relevantes, existen personas interesadas en vulnerar los sistemaspara acceder a los recursos. Aunque el uso de un nombre de usuario ycontraseña por sí solo (sistema conocido como autenticación simple)otorga una capa de protección considerable, es sabido que losciberdelincuentes cuentan con una amplia gama de herramientas capacesde vulnerar claves. Es por ello que cada vez resulta más imprescindible laimplementación de un sistema de doble autenticación.La doble autenticación se trata de un sistema que además de requerir unaautenticación simple, como por ejemplo, nombre de usuario y contraseña;solicita el ingreso de un segundo mecanismo, como un código deidentificación. Generalmente, este código se envía a un dispositivo delusuario, como un teléfono celular, para que luego, pueda ingresarlo parapoder validarse en el equipo. En este sentido, y considerando que la dobleautenticación es significativamente más segura que la simple, ¿se tratarádel fin de las contraseñas tal y como se conocen en la actualidad?Robo de claves y maloshábitosComo se mencionó en la introducción, el uso de la autenticación simpleotorga un cierto nivel de protección, sin embargo, a raíz del avancetecnológico y el aumento en el interés de los atacantes por obtenerinformación confidencial, las credenciales de acceso simples son cada vezmenos efectivas para brindar un nivel de seguridad adecuado.En primer lugar, y junto con el avance tecnológico de las CPU y GPU(Unidad de Procesamiento de Gráficos), vulnerar una contraseña a travésde ataques de fuerza bruta, es decir, aquellos que buscan inferir lacontraseña a través de diccionarios de datos, resulta considerablementemás rápido y sencillo que hace algunos años. En este sentido, un clúster de25 GPU es capaz de descifrar contraseñas de ocho caracteres en cincohoras y media. Asimismo, si se aumenta el número de GPU, el tiemponecesario para descifrar una clave será incluso menor. Aunqueimplementar contraseñas de diez o más caracteres dificulta que unatacante pueda obtener acceso, esto no siempre soluciona el problema deforma satisfactoria.Este inconveniente se agrava aún más si se considera que existen otrosataques informáticos capaces de vulnerar contraseñas. Casos de phishing,una amplia gama de códigos maliciosos, y otros ataques dirigidosespecíficamente en contra de empresas puntuales han demostradoempíricamente que la autenticación simple es cada vez más vulnerable.
  • ¿El fin de las contraseñas?Robo de contraseñas mediante ataques específicos:casos como Yahoo!, Twitter y LinkedInUno de los primeros ataques que involucró el robo masivo de contraseñasfue el ocurrido con la famosa red laboral LinkedIn. El incidente tuvo comoconsecuencia el robo de 6.5 millones de claves de usuarios de esta redsocial y la publicación de dicha información en un foro ruso. Por su parte,los responsables de LinkedIn decidieron implementar una segunda capa deseguridad al momento de almacenar las contraseñas en los servidores,conocida como granos de sal, una técnica que permite agregar informaciónaleatoria a las claves. Esta medida busca reforzar el algoritmo criptográficoSHA implementado por esta red social.Otro ataque similar fue el ocurrido en contra de Yahoo!; en este caso, ungrupo de atacantes denominados D33Ds Company lograron vulneraralgunos sistemas de la empresa mediante una inyección SQL, con lo queconsiguieron robar 450.000 credenciales. Ese mismo 12 de julio de 2012,se daba a conocer otro caso parecido en contra de Formspring, red socialde preguntas y respuestas. En esa ocasión, los atacantes robaron 420.000credenciales de acceso. Como medida cautelar, la empresa afectadadecidió restablecer las contraseñas de todos sus usuarios (28 millones enaquel momento) y afirmó haber resuelto la vulnerabilidad que habríapermitido el ingreso de los atacantes.Un ataque más reciente es el que sufrió Twitter, donde se vulneraron lascuentas de 250,000 usuarios. Aunque la empresa afectada no concediómás detalles sobre el incidente, les recomendó a los usuarios desactivar elplugin de Java como medida de precaución. Este incidente se suma a otroen donde la misma red social, tuvo que realizar un restablecimientomasivo de cuentas debido a una posible brecha de seguridad.A pesar de que adoptar las medidas necesarias para almacenarcontraseñas de forma segura, como el cifrado mediante bcrypt o SHA ygranos de sal, son esenciales para prevenir estos ataques, laimplementación de un sistema de doble autenticación permite mitigarlosconsiderablemente.Por ejemplo, impediría que los atacantes puedan acceder a las cuentasdebido a que desconocerían el segundo factor (por ej. PIN) para poderidentificarse en el sistema.Robo de contraseñas corporativas mediante códigosmaliciososActualmente, casi la totalidad de los códigos maliciosos están diseñadospara robar algún tipo información, por lo tanto, prácticamente cualquierservicio o recurso protegido por credenciales de acceso, podría servulnerado si el usuario inicia sesión en un sistema infectado. En estoscasos es importante destacar que el robo de la contraseña ocurre en lacomputadora de la persona y no en el entorno informático de la empresaproveedora del servicio.Podemos tomar como ejemplo el caso de Dorkbot, un gusano que sepropagó intensamente en América Latina, que reclutó al menos 80.000computadoras zombis en la región y logró robar más de 1.500 cuentascorporativas de correo electrónico. En otras palabras, los cibercriminalesresponsables de este ataque tuvieron acceso total a la informaciónalmacenada en mensajes y archivos adjuntos. Esto representa un serioproblema para el funcionamiento de la red corporativa, el consiguientedeterioro de la imagen del negocio y el robo de datos confidenciales.Dorkbot es una amenaza que posee un campo amplio de acción, es decir,casi cualquier usuario que se infecte es de utilidad para el cibercriminal.Asimismo, mientras más personas resulten afectadas por este malware,mejor será para el atacante. Por otro lado, existen algunos códigosmaliciosos dirigidos y específicos. Se trata de amenazas desarrolladas paraatacar a un blanco mucho más reducido como una empresa en particular oincluso un país determinado. Los atacantes buscan afectar solo al grupoobjetivo y cualquier víctima adicional podría contribuir a que la amenazasea descubierta con mayor celeridad, por lo tanto, tienden a evitar talsituación. El peligro de estos ataques radica en la dificultad paradetectarlos y en la cantidad de información que pueden llegar a robar.Como se puede apreciar, los ciberdelincuentes harán todo lo posible para
  • ¿El fin de las contraseñas?robar información, ya sea a través de códigos maliciosos destinados amúltiples objetivos, o mediante malware diseñado para atacar a blancosmás específicos. En esta línea, un sistema de doble autenticaciónpermitiría otorgar una capa de protección adicional al evitar que losciberdelincuentes puedan acceder directamente al correo electrónico yotros servicios protegidos por usuario y contraseña.Robo de contraseñas mediante phishingEl phishing es otro ataque informático que utilizan los cibercriminales paraobtener credenciales de acceso de servicios bancarios, redes sociales,correo electrónico, entre otros. Se trata de una modalidad de fraudeelectrónico en la que el ciberdelincuente suplanta a una entidad parasolicitarle a la víctima datos sensibles como nombres de usuarios,contraseñas, tarjetas de crédito, de coordenadas, etc. De acuerdo a unaencuesta realizada por ESET Latinoamérica, los servicios más suplantadospor los cibercriminales a través del phishing son el webmail (correoelectrónico en línea) con 46%, redes sociales con 45%, y bancos 44%.A continuación se muestra la captura de un ataque de phishing que logrórobar 31.000 cuentas de Twitter:Tal como se puede apreciar, el sitio fraudulento luce idéntico al genuino deTwitter. Además, se le informa falsamente a la potencial víctima queingrese sus credenciales de acceso debido a que la sesión habría expirado.A diferencia de los códigos maliciosos, en el phishing es el propio usuarioquien, una vez que ha sido engañado, facilita la información a losatacantes. En este caso un sistema de doble autenticación impediría quelos cibercriminales accedan a la cuenta debido a que no conocerían elcódigo numérico necesario para ingresar. De acuerdo a la misma encuestallevada a cabo por ESET Latinoamérica, los datos más solicitados por loscibercriminales son los nombres de usuario y contraseñas con el 81% de laspreferencias. Considerablemente más atrás quedan los token (dispositivosfísicos que generan números de acuerdo a un patrón) con un 9%. Esteporcentaje demuestra que los ciberdelincuentes no están interesados enobtener este tipo de información debido a que el código generado por unsistema de doble autenticación tiene una validez limitada y cambiaconstantemente. Este aspecto resulta fundamental para dificultar que untercero pueda acceder a un servicio protegido por un sistema de estascaracterísticas.
  • ¿El fin de las contraseñas?Las conductas inseguras del usuarioEn las secciones anteriores se mencionaron ataques capaces de vulnerarsistemas de autenticación simple, sin embargo, existen otros aspectos másallá de las amenazas informáticas que pueden facilitar el acceso de untercero a información confidencial. Frente a determinados ataques, unacontraseña de una longitud de diez o más caracteres puede proporcionarun nivel de seguridad extra, no obstante, esta situación también provocacomportamientos inadecuados por parte de los usuarios. Muchas personassuelen utilizar una contraseña única para todos los servicios, lo que facilitaconsiderablemente que un atacante pueda acceder a todos los recursosprotegidos con esa clave. A continuación, se expone una tabla con los cincoproblemas más recurrentes con respecto a las contraseñas y los usuarios:Tabla 1 Comportamientos inseguros de los usuarios con las contraseñas.Si bien al evitar estas situaciones se puede lograr un nivel de seguridad superior, unsistema de doble autenticación permitiría aumentar incluso más el grado deprotección disponible.Problema ImpactoUso de una contraseña únicapara varios servicios:Facilita el acceso de un atacante a varios serviciosy recursos con tan solo robar una única clave.Contraseñas idénticas parauso personal y laboral:Facilita el acceso de un atacante tanto a lascuentas personales de la víctima como a losrecursos corporativos.Uso de contraseñas cortas: Cualquier contraseña que posea menos de diezcaracteres posibilita que un tercero puedavulnerarla a través de ataques de fuerza bruta.Utilización de contraseñasfáciles de adivinar:Para evitar el olvido de las claves, algunosusuarios implementan contraseñas fáciles deadivinar como palabras típicas, secuenciasnuméricas (12345, 54321, 0000, etc.), fechas, etc.Tal situación aumenta considerablemente laposibilidad que un tercero pueda descifrar laclave.Contraseñas anotadas enpapeles o documentos:Para evitar el olvido de las claves, algunosusuarios escriben las credenciales de acceso en elteléfono, en un documento, en hojas, etc.Cualquier persona que tenga acceso al lugar endonde se encuentre escrita la contraseña podráacceder a los recursos protegidos.
  • ¿El fin de las contraseñas?Sistemas de autenticaciónLos sistemas de autentificación son todos aquellos métodos diseñadospara verificar la identidad de un usuario con el objetivo de otorgarle accesoa un recurso protegido según corresponda. Siempre requieren del uso deal menos un factor de autenticación para poder reconocer a la persona.En este sentido, la autenticación simple a través de nombre de usuario ycontraseña es uno de los métodos de protección más utilizados en laactualidad, sin embargo, al requerir un solo factor de autenticación, seconvierte en un procedimiento significativamente más vulnerable. Acontinuación, se explica en qué consiste cada factor:Factor de conocimiento (algo que sé)Se trata de algo que el usuario sabe y conoce. Por ejemplo: contraseñas,números PIN, patrones, secuencia, etc.Factor de posesión (algo que tengo)Es algo que el usuario posee como un teléfono inteligente, un token,tarjeta ATM, etc. Estos dispositivos suelen utilizarse para el envío decódigos que sirven para identificar al usuario en un sistema.Factor de inherencia (algo que soy)Se trata de rasgos conductuales y físicos intrínsecos al ser humano y quepermiten identificarlo unívocamente a través de la biometría. Las huellasdactilares, el iris, el rostro y la retina son algunos ejemplos.Sistema de dobleautenticaciónLos sistemas de doble autenticación, son aquellos que requiere del ingresode dos de los tres factores de autenticación para poder identificar ypermitir el acceso de un usuario a un recurso o servicio. A diferencia de laautenticación simple busca evitar que un atacante pueda adulterar ysuplantar su identidad ingresando credenciales robadas.En los siguientes esquemas se puede apreciar la diferencia con mayornitidez:Ilustración 1 Sistema de autenticación simpleUsuario ingresacredenciales deacceso.(Factor conocimiento)Sistema validacredenciales y permiteacceso.
  • ¿El fin de las contraseñas?Ilustración 2 Sistema de doble autenticaciónEn la mayoría de los casos, los sistemas de doble autenticación utilizancódigos numéricos como segundo factor de comprobación. El objetivo esque el usuario reciba dichos dígitos en algún dispositivo que tenga en supoder como un teléfono inteligente o un token. Posteriormente, deberáingresar ese número para poder iniciar la sesión. A continuación, sedetallan las características más relevantes de estos códigos: El código que recibe el usuario en su dispositivo podrá ser utilizado solouna vez (OTP – One-time password). Esto garantiza un mayor nivel deseguridad al evitar que dicho número pueda reutilizarse por parte deterceros. El código expira transcurrido un tiempo determinado. El código cambia aleatoriamente cada vez que el usuario necesita ingresaral servicio o recurso.Aunque existen algunos códigos maliciosos para teléfonos inteligentes queson capaces de robar el segundo factor de autenticación, las característicasexpuestas anteriormente permiten mitigar el riesgo de que uncibercriminal emplee malware para vulnerar un sistema de este tipo.Activar doble autenticación enserviciosCiertos servicios de correo electrónico, redes sociales y otros, implementansistemas de doble autenticación para resguardar la seguridad de losusuarios, sin embargo, dicha opción por lo general, se encuentradesactivada de forma predeterminada. En la siguiente tabla, se exponenlos servicios que implementan doble autenticación y se detallan lasinstrucciones para poder activar esta característica:Usuario ingresacredenciales deacceso.(Factor conocimiento)Sistema validacredenciales y envíacódigo al usuario.El usuario recibecódigo en otrodispositivo y lo ingresa.(Factor posesión)Sistema valida códigode autenticación ypermite acceso.
  • ¿El fin de las contraseñas?Tabla 2 Instrucciones para activar doble autenticación en servicios.Servicio Instrucciones
  • ¿El fin de las contraseñas?Conclusión: ¿El fin de lascontraseñas?A lo largo de este artículo se han expuesto y explicado las diversas razonesque demuestran que la autenticación simple no es un método losuficientemente robusto para proteger adecuadamente un recurso oservicio. Entre los casos más relevantes que tienden a vulnerarlorápidamente se pueden encontrar: códigos maliciosos que robancredenciales de acceso, ataques específicos en contra de empresas, casosde phishing y las conductas inseguras que algunos usuarios adoptan conrespecto al manejo de claves.En vista de todos los aspectos mencionados anteriormente, resultaimperioso implementar un sistema de doble autenticación, sin embargo,esto no implica que las credenciales de acceso como nombre de usuario ycontraseña dejen de utilizarse. Por el contrario, formarán parte integral deun sistema de doble autenticación. Cabe destacar que, algunos sitios comoFacebook, Google, Gmail, Dropbox, entre otros, ya cuentan con estosmecanismos.Por otro lado, algunas entidades bancarias también han implementadoeste tipo de sistemas en reemplazo de la tarjeta de coordenadas, ya que sibien otorga mayor seguridad, posee una cantidad limitada decombinaciones. En este sentido, en el Laboratorio de Investigación de ESETLatinoamérica se han observado ataques de phishing en donde losatacantes les solicitaron a las víctimas todos los números de las tarjetas decoordenadas como parte del fraude. Si la persona envía dicha información,la seguridad adicional que otorga este sistema se ve completamentecomprometida. Casos como el phishing que afecto a un importante bancode Panamá y otro dirigido a usuarios brasileños demuestranfehacientemente que los cibercriminales solicitan estos datos para obtenerrédito económico. Un sistema de doble autenticación esconsiderablemente más difícil de vulnerar debido, entre otros motivos, aque la cantidad de combinaciones numéricas es ampliamente mayor y nopueden visualizarse de una sola vez.Independientemente de la implementación de estos mecanismos y otrasformas de protección, el factor educativo resulta fundamental para poderprevenir ataques. Un entorno informático protegido adecuadamente no essolo aquel que implementa la mejor tecnología disponible en el mercado,sino el que también considera la educación de los usuarios como partefundamental en el proceso de protección.