A medida que las organizaciones adoptan servicios en la nube, dispositivos móviles y otras tecnologías digitales para satisfacer las necesidades de los clientes y respaldar una fuerza laboral cada vez más remota, la identidad es el perímetro de seguridad. La identidad es donde las organizaciones autentican, autorizan y administran usuarios, aplicaciones y dispositivos. Esto requiere que las organizaciones inviertan en tecnologías de identidad como el inicio de sesión único, la autenticación multifactor, el monitoreo continuo y la gestión del acceso a la identidad.
Actualmente existen muchas brechas que dejan a las organizaciones vulnerables a ataques basados en identidad, como el relleno de credenciales, la fuerza bruta y el phishing.
En un análisis de 300.000 cuentas y métodos de inicio de sesión asociados, el equipo de investigación de Push Security calculó que el empleado promedio en una organización promedio tiene 15 identidades. Según los datos de Push Security, poco más de un tercio (37%) de las identidades utilizaron inicios de sesión con contraseña sin MFA habilitado.
Según el análisis, el 61% de las cuentas dependían únicamente del inicio de sesión único, el 29% solo tenían contraseñas y el 10% de las identidades permitían tanto el inicio de sesión único como una contraseña. Casi dos tercios (63%) de las cuentas, ya sea que el inicio de sesión único estuviera disponible o no, utilizaron alguna forma de autenticación multifactor. Casi todos se basaron en lo que Push Security consideraba “MFA phishing”, que se refiere a métodos vulnerables a ataques de evasión como la fatiga de MFA o los kits de herramientas de phishing avanzados de un atacante intermedio. Según Push Security, menos del 1% de las cuentas que utilizan métodos de inicio de sesión único utilizan “MFA resistente al phishing”.
Para las cuentas de solo contraseña, el 80 % no tenía MFA habilitado, mientras que el 40 % de las cuentas con SSO y contraseña no tenían MFA.
El problema con las cuentas que tienen SSO y contraseñas es que abre la puerta a inicios de sesión fantasmas o situaciones en las que una cuenta tiene múltiples métodos de inicio de sesión. En este caso, a pesar del inicio de sesión único, estas cuentas podrían verse comprometidas si el atacante descubre la contraseña mediante relleno de credenciales o ataques de fuerza bruta.
Incluso en los casos en los que se utiliza SSO, hay una conexión de contraseña con el proveedor de identidad al inicio del flujo. Una revisión de la cuenta del proveedor de identidad muestra que el 17% no tiene habilitada MFA y el 10% ha reutilizado contraseñas. Si esta contraseña se ve comprometida de alguna manera (tal vez mediante relleno de credenciales o phishing), las cuentas con inicios de sesión SSO también se ven comprometidas.
Otra cosa acerca de MFA: las cuentas de proveedores de identidad se encuentran entre las “cuentas más críticas que un usuario puede tener”, señaló Push Security, pero el 20% no tiene MFA.
Lo que también fue preocupante fue que el 9% de las identidades tenían una contraseña pirateada, débil o reutilizada. Y no tenía MFA habilitado, lo que hacía que estas identidades fueran susceptibles de ser atacadas. “Las cuentas que carecen de MFA son vulnerables a ataques de relleno de credenciales dirigidos a contraseñas robadas, débiles o reutilizadas, así como a los kits de herramientas de phishing más básicos”, dijo Push Security.