La ciberseguridad se hizo realidad para mí el día en que el portátil de mi compañero desapareció de su mesa. Trabajábamos en una empresa de defensa y él se había descargado un informe gubernamental sobre ciberamenazas. Sin que él lo supiera, este venía con una puerta trasera. Cuando regresó de un viaje, su equipo —junto con la única copia de su tesis de máster— había desaparecido, confiscada por nuestro equipo de seguridad. Ese fue el momento en que el panorama de las amenazas pasó de ser un concepto abstracto a una realidad tangible. Esta lección fundamental hizo tangible lo abstracto: La primera línea del ciberespionaje pasaba directamente por la mesa contigua a la mía.
El pasado quedó atrás; el presente es hoy
Esa experiencia ha marcado mi perspectiva desde entonces. Hoy en día, la primera línea se ha ampliado de un solo escritorio a todas las oficinas domésticas, cafeterías y salas de espera de los aeropuertos del mundo. El perímetro tradicional se ha disuelto y ha quedado obsoleto gracias a un ecosistema fluido y sin fronteras de aplicaciones en la nube, proveedores externos y personal distribuido.
Esta nueva realidad plantea un profundo reto para los líderes. Cuando desaparecen los muros, ¿dónde empieza la seguridad? La respuesta es la identidad. Sin un perímetro claro, la identidad de un usuario es el único plano de control constante por el que deben pasar todas las solicitudes de acceso. Se ha convertido en el núcleo de cualquier estrategia moderna de seguridad empresarial.
La identidad es el objetivo principal
Este cambio no ha pasado desapercibido para nuestros adversarios. Cuando los empleados empezaron a trabajar a distancia, los atacantes ajustaron sus tácticas en consecuencia. Vieron con gran claridad su nueva oportunidad: Los usuarios estaban en casa, a menudo en redes menos seguras y con su identidad como eslabón más débil. Como resultado, la identidad se convirtió en el vector más atacado. El robo de credenciales y el phishing sofisticado han pasado de ser amenazas marginales a convertirse en las tácticas centrales del adversario moderno.
Los equipos de seguridad ya no pueden limitarse a bloquear el acceso desde lugares no autorizados cuando el trabajo legítimo se realiza en todas partes. Si un ciberdelincuente roba credenciales legítimas, obtiene acceso ilimitado a recursos críticos sin apenas fricción. Este es un escenario que no deja dormir a los CIO y CISO. Como alguien me dijo una vez, el phishing es la amenaza definitiva porque, si un atacante consigue las llaves del reino, todos los demás controles de seguridad —red, endpoint y nube— se vuelven irrelevantes. Pueden simplemente entrar por la puerta principal.
Seguridad al servicio del usuario
Enfrentarse a esta realidad nos exige evolucionar nuestras defensas a la velocidad del adversario. Hace unos años, la opinión generalizada era que la implementación de cualquier forma de autenticación multifactor (MFA) resolvería el problema.1 Un famoso estudio de 2019 afirmaba que la MFA podía detener el 99 % de los intentos de phishing. Pero en el cambiante mundo de la ciberseguridad, ese consejo ha quedado peligrosamente obsoleto. Hoy sabemos que las autenticaciones multifactor tradicionales basadas en push y SMS son completamente insuficientes, porque los adversarios han desarrollado sofisticadas técnicas para eludirlas.
Aunque la MFA sigue siendo una capa esencial de seguridad, ahora debemos centrarnos en el nivel de calidad y garantía de nuestros métodos de autenticación. En Okta, hemos centrado nuestra estrategia en un enfoque moderno que es más inteligente y, sobre todo, más fluido. Por primera vez en mi carrera, puedo decir con confianza que podemos elevar significativamente el listón de la seguridad y mejorar simultáneamente la experiencia del usuario final. La clave está en alejarse de los métodos de autenticación engorrosos y llenos de fricciones, y adoptar las tecnologías biométricas resistentes a la suplantación de identidad que la gente ya utiliza a diario.
Lo que muchos no se dan cuenta es que un simple Face ID o Touch ID ya es, de hecho, multifactor. Combina lo que usted es (su biometría) con algo que tiene (su dispositivo registrado), proporcionando un alto nivel de confianza en una única acción sin fricciones. El objetivo es crear una experiencia en la que el obstáculo de la seguridad se parezca más a un retorno de carro: basta con hacerlo y ya está.
Ampliar la seguridad de los usuarios a la empresa
En el caso de las empresas, podemos ir aún más lejos. Más allá de la autenticación a prueba de la suplantación de identidad, o phishing, podemos recopilar señales contextuales enriquecidas del propio dispositivo, planteando preguntas como: ¿Es un dispositivo gestionado? ¿Tiene la postura de seguridad adecuada? ¿Está integrado con nuestra solución XDR? A partir de ahí, podemos construir una imagen completa del riesgo y tomar decisiones de acceso más inteligentes entre bastidores. Esta es la filosofía en la que se basa nuestro trabajo en Okta: proporcionar una autenticación segura y sin contraseñas que aporte un profundo beneficio cultural, haciendo que la seguridad pase de bloqueador a facilitador.
¿Quiere saber más sobre este tema? Escuche la conversación completa e inédita con Jamie en el podcast de Threat Vector.
1«One simple action you can take to prevent 99.9 percent of attacks on your accounts» (disponible en inglés), Microsoft Security, 20 de agosto de 2019.
