Blog de WatchGuard

Empresas que imponen el requisito de MFA a todos los clientes

Abril de 2020, Zoom estaba en auge. El inicio de la pandemia de COVID obligó a los empleados a trabajar desde casa, las reuniones en persona migraron a un modelo de videoconferencia, y Zoom era la herramienta preferida. El crecimiento masivo y rápido se convirtió en una oportunidad para los atacantes. Una vulnerabilidad en Zoom podía permitir a un atacante robar las credenciales de Windows de un usuario, siempre que éste hiciera clic en un enlace proporcionado a través de una sesión de Zoom. La cuestión era entonces cómo entrar en esas sesiones privadas. La respuesta llegó unas semanas después. 

Una base de datos con alrededor de 530.000 credenciales válidas de Zoom se estaba vendiendo en la dark web. ¿Han hackeado a Zoom? No, los atacantes tomaron gigabytes de credenciales robadas a lo largo de los años y utilizaron un ataque de relleno de credenciales para averiguar qué credenciales podían funcionar para Zoom. Cientos de miles lo hicieron. El ataque básicamente pone a prueba el inicio de sesión del usuario, utilizando una credencial robada, normalmente de otra filtración. Por ejemplo, si utilizo la misma contraseña tanto para LinkedIn como para Zoom, y mis credenciales formaban parte de uno de los hackeos de LinkedIn -el más notorio de 2012, cuando se robaron 6,5 millones de credenciales de LinkedIn- el relleno de credenciales habría funcionado para Zoom.

Esto se debe a que la gente tiende a utilizar la misma contraseña una y otra vez. A menos que tengas un gestor de contraseñas, es imposible tener una contraseña diferente para cada entrada de tu vida digital. Los usuarios tienden a tener de 3 a 5 contraseñas diferentes para todo, con quizás algunas pequeñas variaciones, como los números al final.

Esa es probablemente una de las razones por las que Salesforce, a principios de 2021, anunció que el 1 de febrero de 2022 obligaría al uso de MFA a sus usuarios. Imagina un ataque de relleno de credenciales contra Salesforce, el CRM más popular del mercado. Eso expondría miles, si no cientos de miles de cuentas, con todos sus contactos e información comercial sensible. Ahora Salesforce empezará a habilitar automáticamente la MFA a lo largo del año. Y por cierto, no se aceptarán OTPs por SMS o correo electrónico, ya que son extremadamente vulnerables a múltiples ataques.

Google siguió el mismo camino. En mayo de 2021, anunciaron que aplicarían y activarían automáticamente la 2FA para los nuevos usuarios. En febrero de 2022, tenían más de 150 millones de usuarios de 2FA para las cuentas de Google, así como 2 millones de usuarios de 2FA para los creadores de YouTube.

El hecho es que la cultura de la MFA se ha generalizado. A las empresas que busquen un ciberseguro se les exigirá que demuestren que protegen los correos electrónicos, los servidores, los accesos remotos y los datos sensibles con MFA. Los gobiernos lo están imponiendo en sus organismos y proveedores. El mercado va en esta dirección y los MSPs llevan años impulsándolo.

  • En julio de 2019, Corey Nachreiner de WatchGuard habló de la amenaza de los ataques dirigidos a los MSPs. En lugar de atacar a una empresa a la vez, ¿por qué no dirigirse a los MSPs, para poder desplegar el ransomware en todas sus cuentas gestionadas al mismo tiempo? Utilizando algunas consolas de gestión de ConnectWise, Kaseya, Webroot y servicios RDP, los atacantes fueron capaces de realizar con éxito un ataque masivo a través de los MSPs.
  • El SVP de Webroot en ese momento, Chad Bacher, señaló que "para garantizar la mejor protección para toda la comunidad de clientes de Webroot, hemos decidido que es hora de hacer obligatoria la autenticación de dos factores." Tiene razón. Si la MFA es importante para proteger los activos de una empresa, proteger la consola de gestión de un MSP es mucho más importante
  • En junio de 2020, el Servicio Secreto de Estados Unidos emitió una alerta sobre un aumento de los ataques relacionados con los MSPs, obviamente para maximizar el número de empresas infectadas. En su alerta, recomendaban a los clientes de MSP que "apliquen la autenticación de doble factor para todos los inicios de sesión remotos".
  • De forma similar a esta, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA), junto con el FBI y la NSA, emitió una alerta en septiembre de 2021, debido al fuerte crecimiento de las infecciones de ransomware Conti. La alerta mencionaba que la mayoría de los ataques se realizaban a través del acceso remoto a servidores (RDP) utilizando credenciales robadas o débiles. Una de las acciones inmediatas recomendadas era implementar MFA para RDP.

La tendencia es que los MSPs añadan MFA a sus paquetes de gestión. En lugar de un paquete opcional, ahora forma parte del servicio principal, para la seguridad de sus cuentas gestionadas, así como para su propia protección. No pueden permitirse una gran infección de ransomware en toda su cartera de cuentas gestionadas. Y MFA, con una buena formación de los usuarios, es un arma importante y fuerte contra el acceso a datos sensibles y la distribución de ransomware.