En la región, un total de ocho países[2] incluidos México, Chile, Colombia, Costa Rica, República Dominicana, Guatemala, Panamá y Paraguay,[3] han tomado medidas hacia mitigar este riesgo, gracias al desarrollo de estrategias oficiales para luchar contra las tendencias de delitos cibernéticos, como también lo han hecho múltiples empresas. De estas entidades, muchas han identificado las formas más comunes de aprovecharse de los usuarios más vulnerables y han rastreado el modus operandi de muchos hackers.
Aunque los gobiernos señalan las fuentes de estos ataques, generalmente no comentan sobre las formas en que se pueden evitar. La compañía ManageEngine, conformada por expertos profesionales en el campo de gestión de TI en el mundo, detalló una lista de nueve tácticas eficaces como primera línea de defensa en contra de las amenazas de este tipo, según lo han indicado los gobiernos, responsables de proteger no solamente sus propios datos sensibles, sino también los de sus ciudadanos.
1) Utilizar un mecanismo de descubrimiento automático para monitorear y consolidar todas las cuentas privilegiadas, no solamente las antiguas, sino también las cuentas nuevas.
El primer paso es asegurar y gestionar bien aquellas cuentas privilegiadas dentro de su organización para revelar todos los activos críticos de su red corporativa, así como las cuentas y credenciales asociadas.
Conforme una organización va creciendo y extendiendo su infraestructura, es importante garantizar que su equipo tecnológico cuente con un buen mecanismo de revelación que le haga frente a la proliferación de cuentas privilegiadas y les dé el seguimiento necesario. Un programa plenamente automatizado que examine regularmente su red detecte cuentas nuevas y las vaya agregando a una base central de datos, es la mejor forma de ir desarrollando bases fuertes para una estrategia de gestión de cuentas privilegiadas.
2) Almacenar cuentas privilegiadas en un lugar central y seguro
Otra importante medida es la de eliminar bases de datos localizadas y aisladas, que a menudo están a cargo de varios equipos. Todavía más importante es que los empleados dejen de escribir sus contraseñas en papelitos, o que los almacenen en archivos de texto simple, ya que resultan prácticas peligrosas que llevan a mayores instancias de contraseñas caducas, como también problemas de coordinación, y todo acaba siendo un tema de ineficiencia operativa. En su lugar, las cuentas y credenciales privilegiadas correspondientes a los distintos departamentos deben clasificarse en un solo depósito central. Por otra parte, también las cuentas privilegiadas almacenadas se deben resguardar con algoritmos de cifrado bien conocidos, como AES-256, para protegerlas contra accesos indeseados.
3) Establecer papeles claros, con privilegios de acceso limitados
Una vez que las cuentas privilegiadas de la organización estén bien garantizadas, toca entonces decidir quién debe tener acceso a las mismas. Una forma de decidirlo es ir trazando claramente los papeles que desempeñan las personas dentro del equipo de TI, para garantizar que las cuentas no se usen en rutinas normales, como por ejemplo leyendo correos o navegando el internet. También vale la pena asegurar que el papel asignado a cada integrante del equipo de TI les confiera únicamente privilegios mínimos de accesos.
4) Exigir autenticación multifactorial, no solamente para empleados, sino que para externos
Según el informe 2016 de Symantec sobre amenazas a la seguridad en internet, un 80 por ciento de las filtraciones se podrían evitar recurriendo a la autenticación multifactorial. Al implementar autenticaciones de dos o varios factores – tanto para los administradores de acceso privilegiado (conocido por sus siglas en inglés, PAM) como para los usuarios finales – se garantiza que sólo las personas indicadas tengan acceso a recursos de carácter sensible.
5) Compartir credenciales de cuentas privilegiadas sin revelarlas en texto simple
Más allá de eliminar vulnerabilidades de seguridad relacionadas con divisiones de funciones mal divididas, es importante aplicar prácticas seguras para intercambiar información. Para efectos de la máxima protección, el administrador PAM de la organización debe brindar a empleados y contratistas acceso a los distintos recursos y activos de TI sin revelar sus credenciales en texto simple. En su lugar, el usuario debe poder iniciar conexiones con un solo click a los dispositivos de destino desde la interfaz de la herramienta PAM, sin visualizar o ingresar manualmente las credenciales.
6) Aplicar políticas estrictas para el restablecimiento automático de contraseñas
Aunque suene muy conveniente para el equipo de TI utilizar la misma contraseña para todas las cuentas privilegiadas de la red, no es una buena práctica debido a que esto genera un entorno fundamentalmente inseguro. La gestión segura de todas las cuentas privilegiadas exige el uso de contraseñas únicas, muy fuertes, que además se vayan cambiando periódicamente. De hecho, la restauración de contraseñas de forma automática debería volverse un componente integral de la estrategia PAM, para evitar los problemas que vienen con las contraseñas que no se modifican y para proteger recursos sensibles contra cualquier acceso no autorizado.
7) Afinar bien las políticas de acceso agregando controles de liberación a los procesos de recuperación de contraseñas
Otro paso es establecer una política que obligue al usuario a enviarle una solicitud al administrador PAM de la organización cada vez que requiera credenciales de cuentas específicas para tener accesos a recursos remotos. Una medida importante adicional para reforzar más el control sería la de otorgar al usuario únicamente acceso temporal y limitado a dichas credenciales, con opciones incorporadas para revocar accesos y obligadamente verificar contraseñas cuando se acaben los plazos determinados. Otra opción es que las contraseñas se puedan restablecer automáticamente una vez que el usuario las haya registrado.
8) Dejar de insertar credenciales dentro de archivos script
Muchas aplicaciones requieren de acceso frecuente a bases de datos y otras aplicaciones para ir obteniendo información relacionada con el negocio. Las organizaciones a menudo automatizan este proceso de comunicación mediante la incorporación de credenciales de la aplicación en texto simple dentro de los archivos de configuración y los scripts, no obstante, es complicado que los administradores identifiquen, cambien y gestionen estas contraseñas incorporadas.
Por lo anterior, esas credenciales se quedan sin cambiar, por evitar complicar la productividad de la organización. Aunque las credenciales con códigos duros pueden facilitar el trabajo de los técnicos, también se vuelven puntos fáciles para un hacker que esté buscando cómo entrar a la red de cualquier organización. Alternativamente, el equipo de TI puede usar APIs seguras para permitir a aplicaciones la entrada directa a la herramienta PAM, cuando se necesiten recuperar cuentas privilegiadas para otra aplicación o recurso remoto.
9) Verificar que todo esté siempre auditado
Al entrar en detalles, los registros de auditorías completos, las alertas en tiempo real y las notificaciones son aspectos que facilitan la vida. Para todas las acciones relativas a PAM, se debe capturar cada operación de los usuarios, como también se debe establecer transparencia y responsabilidad.
La integración con una herramienta interna de registro de eventos puede ayudar a consolidar las actividades PAM con otros eventos del resto de su organización y proporcionar consejos inteligentes sobre actividades inusuales. Esto resulta extremadamente útil para obtener una visión general completa de los eventos de seguridad, aparte de detectar vulnerabilidades internas.
Las nueve tácticas antes mencionadas de ninguna forma son la panacea ni la solución completa a la diversidad de temas de seguridad, ya que siempre hay algo más que se pueda hacer. Según el reciente reporte de Verizon sobre filtraciones de datos, Verizon 2018 Data Breach Investigation Report, de las 2,216 instancias de filtración confirmadas en el año 2017, un total de 201 resultaron por abuso de privilegios. Una estadística así resalta la importancia no solamente de proteger aquellas cuentas clasificadas como privilegiadas, sino también la relevancia de registrar y supervisar sesiones privilegiadas para mantenerse alerta y detectar accesos inusuales. La mejor forma de proteger a una organización es seguir ampliando y a la vez asegurando sus límites.