Video: María Juliana | Su Misericordia (Videoclip Oficial) (Noviembre 2024)
De la tierra de " si tan solo… " Si la Associated Press hubiera establecido una autenticación de dos factores con su cuenta de Twitter, los hackers pro-sirios no habrían podido secuestrar la cuenta y causar estragos.
Bonita y ordenada idea, pero en realidad no. Si bien la autenticación de dos factores es una herramienta poderosa para proteger las cuentas de los usuarios, no puede resolver todos los problemas. Tener dos factores no habría ayudado a @AP porque los piratas informáticos entraron por un ataque de phishing. Los adversarios simplemente encontrarían otra forma de engañar a los usuarios para que eludan la capa de seguridad, dijo Aaron Higbee, CTO de PhishMe.
El martes, los hackers pro-sirios secuestraron la cuenta de Twitter de AP y publicaron una alerta de noticias falsas alegando una explosión en la Casa Blanca y que el presidente había resultado herido. En los tres o cuatro minutos antes de que el personal de AP descubriera lo que sucedió y dijo que la historia era falsa, los inversores entraron en pánico y provocaron que el promedio industrial Dow Jones cayera más de 148 puntos. Bloomberg News estimó que la caída "borró" $ 136 mil millones del índice S&P 500.
Como era de esperar, varios expertos en seguridad inmediatamente criticaron a Twitter por no ofrecer autenticación de dos factores. "Twitter realmente necesita que la autenticación de dos factores se implemente rápidamente. Están muy por detrás del mercado en esto", dijo Andrew Storms, director de operaciones de seguridad de nCircle, en un correo electrónico.
Cuentas grupales vs individuales
La autenticación de dos factores hace que sea más difícil para los atacantes secuestrar cuentas de usuario utilizando métodos de fuerza bruta o robando contraseñas a través de métodos de ingeniería social. También supone que solo hay un usuario por cuenta.
"La autenticación de dos factores y otras medidas ayudarán a reducir los ataques contra cuentas individuales. Pero no las cuentas grupales", dijo a SecurityWatch Sean Sullivan, investigador de seguridad de F-Secure.
AP, al igual que muchas otras organizaciones, probablemente tuvo varios empleados que publicaron en @AP durante todo el día. ¿Qué pasaría cada vez que alguien intentara publicar en Twitter? Cada intento de inicio de sesión requiere que la persona que tiene el dispositivo registrado, ya sea un teléfono inteligente o un token de hardware, proporcione el código de segundo factor. Dependiendo del mecanismo establecido, esto podría ser todos los días, cada pocos días o cada vez que se agregue un nuevo dispositivo.
"Se convierte en un obstáculo bastante significativo para la productividad", dijo Jim Security , CSO de OneID, a SecurityWatch .
Digamos que quiero publicar en @SecurityWatch. Tendría que enviar mensajes instantáneos o llamar a mi colega que "poseía" la cuenta para obtener el código de dos factores. O no tuve que iniciar sesión durante 30 días porque mi computadora portátil era un dispositivo autorizado, pero ahora es el día 31. Y el fin de semana. Imagine los potenciales campos minados de ingeniería social.
"En pocas palabras, la autenticación de dos factores no será suficiente para proteger a las personas", dijo Sullivan.
La autenticación de dos factores no es una cura para todo
La autenticación de dos factores es algo bueno, una herramienta poderosa, pero no puede hacer todo, como prevenir ataques de phishing, dijo Fenton. De hecho, bajo soluciones comunes de autenticación de dos factores, los usuarios pueden ser fácilmente engañados para autenticar el acceso sin darse cuenta, dijo Fenton.
Imagínese si le hubiera enviado un mensaje de texto a mi jefe: No puedo iniciar sesión en @securitywatch. Envíame un código?
La autenticación de dos factores hace que sea más difícil suplantar una cuenta, pero no impide que el ataque tenga éxito, dijo Higbee de PhishMe. En el blog de la compañía, PhishMe ilustró cómo la suplantación de identidad (phishing) al pasar por dos factores solo reduce la ventana de ataque.
Primero, el usuario hace clic en un enlace en un correo electrónico de phishing, aterriza en una página de inicio de sesión e ingresa la contraseña adecuada y el código válido de dos factores en el sitio web falso. En este punto, el atacante solo tiene que iniciar sesión antes de que caduquen las credenciales de inicio de sesión válidas. Las organizaciones que usan tokens RSA pueden regenerar un código cada 30 segundos, pero para un sitio de redes sociales, el período de vencimiento puede estar a varias horas o días de distancia.
"Esto no quiere decir que Twitter no deba implementar una capa de autenticación más sólida, sino que también plantea la pregunta de qué tan lejos debería llegar". Higbee dijo, y agregó que Twitter no fue diseñado originalmente para uso grupal.
Los reinicios son un problema mayor
La implementación de la autenticación de dos factores en la puerta de entrada no significará ponerse en cuclillas si la puerta de atrás tiene un bloqueo débil, un proceso de restablecimiento de contraseña débil. El uso de secretos compartidos, como el apellido de soltera de su madre, para crear y recuperar el acceso a la cuenta "es el talón de Aquiles de las prácticas de autenticación actuales", dijo Fenton.
Cuando el atacante conoce el nombre de usuario, los restablecimientos de contraseña son solo una cuestión de interceptar el correo electrónico de restablecimiento. Esto puede significar irrumpir en la cuenta de correo electrónico, lo que muy bien puede suceder.
Si bien las preguntas sobre sugerencias de contraseña tienen sus propios problemas, Twitter ni siquiera las ofrece como parte de su proceso de restablecimiento. Todo lo que cualquiera necesita es el nombre de usuario. Si bien existe la opción de "requerir información personal para restablecer mi contraseña", la única información adicional requerida son las direcciones de correo electrónico y el número de teléfono que se pueden obtener fácilmente.
"Las cuentas de Twitter continuarán siendo pirateadas, y Twitter debe hacer varias cosas para proteger a sus usuarios, no solo dos factores", dijo Sullivan.
