NSM recomienda cambiar a autenticación resistente al phishing
NSM ha registrado una serie de campañas de phishing cuyo objetivo es obtener ganancias financieras, a menudo mediante fraude de facturas. Las campañas se pueden llevar a cabo porque las empresas no requieren autenticación resistente al phishing.
Las claves de pasaporte reemplazan las contraseñas y las soluciones tradicionales de múltiples factores. Las claves de acceso son la tecnología que la industria ha estandarizado y son compatibles con navegadores, sistemas operativos, teléfonos móviles, soluciones de identidad y soluciones en la nube populares.
Las claves de acceso evitan métodos de ataque en los que un atacante tiene acceso o intenta acceder a la contraseña de un usuario. Esto incluye phishing, agotamiento de alertas, atacante en el medio (AitM) y fuerza bruta. Las claves de acceso también eliminan el riesgo de contraseñas débiles y reutilizadas. Las claves de pasaporte logran esto asumiendo la responsabilidad de autenticación del usuario, de modo que los actores de amenazas no puedan robar ni robar las claves de pasaporte.
Medidas
NSM recomienda priorizar la implementación de autenticación resistente al phishing en Microsoft 365 y otras soluciones en la nube, así como soluciones de identidad y servicios expuestos a Internet. Priorice a los usuarios particularmente vulnerables, como los funcionarios de finanzas, gerentes y administradores de sistemas, durante la implementación gradual.
Se debe exigir una autenticación resistente al phishing, como claves de acceso, como único mecanismo de autenticación para evitar que las cuentas de usuario se extravíen. Por lo tanto, desactive las contraseñas y las soluciones tradicionales de múltiples factores.
Para los sistemas que no admiten la autenticación resistente al phishing, NSM recomienda limitar la autenticación a dispositivos administrados por flota con inscripción segura. Esto significa que la inscripción debe ser realizada por el departamento de TI de la empresa; los usuarios no deben poder registrar sus propios dispositivos por sí mismos. Alternativamente, NSM recomienda limitar los inicios de sesión a direcciones IP conocidas. No basta con restringir los inicios de sesión a Noruega, ya que los actores de amenazas utilizan direcciones IP noruegas.
Mecanismos de autenticación resistentes al phishing
- Claves de pasaporte (FIDO2)
- Windows Hello para empresas
- Autenticación basada en certificados desde dispositivos administrados por flota con inscripción segura
- Tarjeta inteligente (PKI)
- Otras implementaciones de FIDO2, como claves de seguridad físicas
Implementación
La implementación de la autenticación resistente al phishing será específica de la empresa y del servicio. Microsoft 365 es la plataforma más vulnerable a los ataques en los que los actores evitan la autenticación multifactor tradicional. Consulte la guía de Microsoft para implementar claves de acceso y su lista de claves de seguridad físicas compatibles.
Mecanismos de autenticación tradicionales que no son resistentes al phishing
- Contraseña
- Código único basado en tiempo (TOTP)
- Código de un solo uso (OTP) por SMS o correo electrónico
- Coincidencia de números (por ejemplo a través de Microsoft Authenticator)
- Autenticación sin contraseña (por ejemplo mediante Microsoft Authenticator)
Referencias
- https://fidoalliance.org/contraseñas
- https://www.nist.gov/blogs/cybersecurity-insights/giving-nist-digital-identity-guidelines-boost-supplement-incorporating
- https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistente-mfa-508c.pdf
- https://www.microsoft.com/en-us/security/business/security-101/what-is-fido2
- Seminario web de HelseCERT sobre autenticación resistente al phishing de diciembre de 2023: https://vimeo.com/893913105/a2899f5c18
Lea también: Informe temático de NSM sobre autenticación multifactor