Mobileiron: Zero Trust, Zero Passwords

Daniel Madero: “Ante el fin de los perímetros de seguridad, confianza cero y adiós a las contraseñas”
Ampliar

Daniel Madero: “Ante el fin de los perímetros de seguridad, confianza cero y adiós a las contraseñas”

lunes 22 de abril de 2019, 19:42h

google+

linkedin

Comentar

WhastApp

Gartner predice que en este año habrá un gasto mundial en seguridad digital de 124.000 millones de dólares y una fuente tan solvente como el informe de ‘Riesgos Globales 2019’ del World Economic Forum (WEF), popularmente conocido como el Foro de Davos -por la ciudad suiza donde se celebra su cumbre anual- es contundente: “La tecnología sigue desempeñando un papel importante en la configuración del panorama de riesgos globales para individuos, gobiernos y empresas; en la encuesta de riesgos globales (GDPR), el ‘fraude y robo de datos masivos’ se clasificó en el puesto número cuatro del ranking mundial, en un horizonte de 10 años, seguido de los ‘ataques cibernéticos’ en el número cinco”.

“A medida que el mundo se vuelve digitalmente más interconectado, será más difícil mantener la seguridad cibernética. Las herramientas digitales están cada vez más conectadas a las infraestructuras físicas, por lo que es muy importante asegurar adecuadamente los sistemas esenciales”, detalla el estudio del World Economic Forum (WEF).

A medida que el mundo se vuelve digitalmente más interconectado, será más difícil mantener la seguridad cibernética

En base a las estadísticas que acompañan el dossier, una gran mayoría de los encuestados (82%) esperaban un aumento en 2019 del riesgo de ataques cibernéticos con el consiguiente robo de dinero y datos Igualmente, refleja cómo se están causando nuevas inestabilidades al irse integrando las tecnologías digitales en cada aspecto de la vida. Si se revisan los hechos, los ataques cibernéticos maliciosos y la laxa seguridad cibernética llevaron nuevamente, según el WEF, a “ataques masivos de robo de información personal en 2018”.

El más grande fue en India, donde la base de datos de identificación del gobierno, Aadhaar, sufrió múltiples intrusiones que potencialmente comprometieron los registros de los 1.100 millones de ciudadanos registrados. En el mes de enero se descubrió que los delincuentes estaban vendiendo el acceso a la base de datos a un precio de 500 rupias por 10 minutos de uso. Sólo dos meses después, una filtración en una empresa de servicios públicos del estado permitía a cualquiera descargar nombres y números de identificación.

No menos impactante es que las violaciones de datos personales afectaron a unos 150 millones de usuarios de la aplicación más popular de salud y mantenimiento, MyFitnessPal y alrededor de 50 millones de usuarios de Facebook en el mundo.

Urgen soluciones

Por otra parte, un simple recorrido por los titulares de los últimos meses abre los ojos al usuario más ciego: “El volumen de datos que gestionan las empresas en el mundo crece casi un 600% en dos años”; “Los ataques a aplicaciones cloud aumentan en un 65% durante el primer trimestre de 2019”; “Demuestran que miles de aplicaciones preinstaladas en Android se utilizan para el robo de datos personales”; “Facebook admite que almacenó "cientos de millones" de contraseñas de cuentas en texto simple”; “Banco Santander invertirá más de 20.000 millones de euros en TI en cuatro años”; “Cómo perder un cliente para siempre por un ciberataque”; “La encuesta del Día Mundial de la Copia de Seguridad de Acronis revela que la pérdida de datos entre particulares repuntó un 30% en 2018”… Poco más hay que decir.

Un problema añadido a la situación ya creada es la imposibilidad de delimitar un perímetro de seguridad en torno a los terminales, como hasta ahora se venía haciendo. En la conferencia anual que NetEvent celebra en el Silicon Valley, grandes especialistas en ciberseguridad explicaron cómo el aumento diario de miles de cosas conectadas a la red, la multiplicación de dispositivos, el desarrollo del Internet de las Cosas (IoT) -incluida la automoción- deja obsoleta cualquier solución que pase por el clásico firewall, los antivirus o incluso la seguridad en la nube. “Las nuevas medidas deben pasar por la predicción, la prevención, la detección y la destrucción -aseguraban-; por la integración de la Inteligencia Artificial en cualquier solución que pretenda ser efectiva".

Un problema añadido a la situación ya creada es la imposibilidad de delimitar un perímetro de seguridad en torno a los terminales

Zero trust, zero password

La cuestión, por tanto, ya no es concienciarse del peligro, sino saber qué remedio nos queda; cuáles son las opciones que la sociedad digital tiene en los albores de la segunda década del Siglo XXI. Así, recurrimos a Daniel Madero, director regional de Mobileiron Iberia, empresa americana de seguridad especializada en la administración de redes de dispositivos móviles en el ámbito empresarial.

“Primero, hay que asumir que el móvil se ha instalado en el centro de nuestra vida y que conservamos en él mucha información sensible -nos explica Daniel-. Además, el uso es muy intensivo; las estadísticas aseguran que miramos la pantalla del móvil 40 ó 50 veces -de media-, al día, el tráfico de Internet ya es mayor desde el teléfono que desde el ordenador y hay tres veces más smartphones que PCs; también es el principal dispositivo en el trabajo: de hecho, se ha convertido en una herramienta laboral”.

“Segundo -continúa- las empresas, paulatinamente, migran a la nube (cloud), típicamente comenzando con el correo electrónico a través de office 365 de Microsoft. La adopción de servicios en la nube no es tanto por el ahorro que supone, sino por la posibilidad de innovar y de desplegar un servicio de forma casi inmediata”.

El control de acceso debe ser mucho más contextual. Hay que asegurarse de que el dispositivo también esté seguro, porque se puede confiar en la persona, pero nunca en un terminal no gestionado que pueda estar utilizando o en el punto de acceso al que está conectado; por tanto, resulta fundamental tener en cuenta el contexto cuando se da acceso a la información o se deniega el mismo”.

“A estos dos elementos impulsores, se une el hecho de que ya no hay un control perimetral de la seguridad (firewall), fórmula que se utilizaba hasta ahora; ya no podemos delimitar la red, establecer capas, tener visibilidad total y controlar los ataques. El puesto de trabajo ya no está en la red de la empresa y las aplicaciones tampoco; por tanto, desaparece el contorno y no se tiene visibilidad. Un móvil puede estar conectado a una WiFi de un hotel, de un aeropuerto, de una cafetería, etc. y esto es un reto para los responsables de seguridad de las empresas, quienes deben mantener inalterable la información de la misma dentro de una nueva realidad donde ni ven ni controlan. De hecho, es imposible saber el nivel y la procedencia de cualquier ataque -puntualiza el directivo de Mobileiron- “

Resolver el problema en los endpoints

En este estado de cosas, parece que la industria, en general, trabaja buscando soluciones que afronten este problema: unos enriquecerán las identidades para obtener más funcionalidades, otros optarán por los ‘gateway’ en cloud intentando controlar el entorno, etc. En el caso de Mobileiron, han optado por resolver la situación en los denominados ‘endpoints’ y consideran que fortalecer la identidad resulta del todo insuficiente. “Es más -aseguran-, el control de acceso debe ser mucho más contextual. Hay que asegurarse de que el dispositivo también esté seguro, porque se puede confiar en la persona, pero nunca en un terminal no gestionado que pueda estar utilizando o en el punto de acceso al que está conectado; por tanto, resulta fundamental tener en cuenta el contexto cuando se da acceso a la información o se deniega el mismo”.

A estos efectos, en 2014, un técnico de Forrester inventó el término Zero Trust que ahora parece ser la tecnología por la que están apostando todas las compañías de seguridad digital empresarial. El concepto se basa en un principio simple: “Nunca confíes y siempre verifica”; lo que está directamente relacionado con el mencionado control de acceso contextual. Acto seguido se debe proteger el ‘endpoint’ o terminal contra cualquier ataque, de forma que, al conectarlo a una red vulnerable, se activa una alerta y avisa al usuario.

En el caso de Mobileiron, han optado por resolver la situación en los denominados ‘endpoints’ y consideran que fortalecer la identidad resulta del todo insuficiente

La forma más fácil para entenderlo es compararlo con un electrocardiograma, donde se ponen sobre un cuerpo (el sistema) los sensores; sensores que están, a su vez, conectados a una máquina que reconoce el comportamiento correcto del corazón y tiene patrones de un número determinado de patologías conocidas; sin embargo, si detecta una anomalía, ‘avisa’ y aconseja realizar otro tipo de análisis para poder diagnosticar con exactitud. De la misma forma, los sistemas de seguridad extra-perimetrales, si detectan una anomalía alertan de ésta con el fin de que se tomen medidas; por tanto, se activa el primer nivel de detección y, en ese mismo momento entra en funcionamiento la inteligencia artificial y aprende de forma automática el hecho y la solución dada.

En la base: MDM

Algo importante que no hay que perder de vista es que las empresas de gestión de dispositivos profesionales (MDM -por sus siglas en inglés-) no protegen realmente los ‘gadgets’; su misión es salvaguardar la información corporativa. “Con respecto a la seguridad de la información que es accesible desde un dispositivo móvil -explica el director regional de Mobileiron- hay que aplicar tres reglas de oro: contrastar quién es el usuario mediante un control contextual (más allá de la identidad o autentificación); constatar que el dispositivo es seguro y comprobar que las aplicaciones activas también son fiables. Todo esto se lleva a cabo mediante la plataforma MDM. Más allá, cabe añadir otro módulo que controla el acceso a la nube y se nutre del mencionado MDM para determinar las reglas de acceso a cloud”.

Por lo que respecta a la identificación mediante ID y contraseña, las cosas también han cambiado. Hasta ahora, se utilizaba el denominado método de federación de identidad, mediante el cual, cuando alguien se quiere conectar a un programa en la nube realiza una federación al sistema de identificación que la empresa contratadora tiene y se efectúa la validación; es decir la base de datos de usuarios y contraseñas se mantiene en la propia entidad. Sin embargo, actualmente, como consecuencia de la desaparición de los perímetros de seguridad se instala un módulo intermedio que aplica las tres reglas: usuario, terminal y aplicación seguras.

Pero esto no es todo. Una vez conectados, y teniendo en cuenta que en cualquier terminal móvil se almacena información empresarial sensible, se debe añadir una protección contra los ciberataques. “Mucha gente, incluso dentro del ecosistema tecnológico ha tenido problemas con sus móviles porque todo esto es muy reciente y, apenas, se está empezando a concienciar la sociedad de que no es suficiente un MDM, que te ofrece protección contra la mala utilización por parte del usuario. Los ciberdelincuentes están ahí, existen, saben y actúan donde menos se les espera; pueden tomar el control de la cámara, el micrófono, robar la información almacenada, etc. y no se nota, ¡la víctima no se da cuenta! -es espeluznante incide Madero-“.

Por último, el alto directivo de Mobileiron recuerda que la última tendencia es el acceso mediante autentificación biométrica; por tanto, el nivel de seguridad se ha elevado y su propuesta es aprovechar esa evolución y eliminar completamente el sistema de usuario y contraseña (zero passwords). ¿Cómo? Utilizando el móvil gestionado como método de autentificación. En vez de pedirle al usuario una contraseña para autentificarle, se le muestra un código QR que el usuario escanea con el móvil gestionado. Éste a su vez, autentifica al usuario mediante biometría y certifica el inicio de la sesión.

Adiós a la credibilidad informática, adiós a la identificación mediante claves, bienvenida la inteligencia artificial que integrada en este tipo de plataformas de gestión empresarial acoraza la información.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Zonamovilidad.es

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.