La importancia de la autenticación multifactor para evitar ser víctima del ransomware
El ransomware sigue siendo una de las amenazas más preocupantes para empresas de todos los tamaños, tal y como los incidentes que se producen de forma continua desde hace meses se encargan de recordar. Por ese motivo es importante conocer tanto las estrategias usadas por los delincuentes como la mejor forma de protegerse frente a este y otros tipos de ataques, implementando soluciones tan sencillas pero altamente eficaces como la autenticación multifactor.
Funcionamiento de la autenticación multifactor
Repasando los principales vectores de ataque del ransomware observamos que uno de los más usados por los delincuentes para comprometer un sistema es el acceso mediante RDP usando credenciales robadas, compradas en foros de la dark web o, simplemente, usando fuerza bruta para tratar de averiguar contraseñas débiles. Es aquí donde entra en juego la autenticación multifactor (MFA por sus siglas en inglés), ya que permite añadir capas de protección adicionales a las ya existentes.
Se necesitan dos o más elementos para verificar la identidad de un usuario cuando este trata de acceder a información o a un servicio online. Estos elementos adicionales pueden ser algo que el usuario sepa (como una contraseña), algo que el usuario sea (medidas de identificación biométrica como huellas dactilares, reconocimiento facial u ocular) y algo que el usuario posea, como un dispositivo al cual enviar un código de verificación de un solo uso.
Conociendo el funcionamiento de esta capa adicional de seguridad y que los delincuentes suelen iniciar sus ataques de ransomware accediendo a un único sistema para, a partir de ahí, moverse por toda la red corporativa, podemos centrarnos en tratar de evitar ese compromiso inicial. En pequeñas y medianas empresas el acceso no autorizado mediante RDP es, junto con el correo electrónico, la técnica preferida por los atacantes, ya que es relativamente sencillo de obtener o averiguar las credenciales usadas.
En caso de no poder averiguar las credenciales usando fuerza bruta los delincuentes pueden, por ejemplo, utilizar phishing enviado por email para engañar a los usuarios e intentar que introduzcan su usuario y contraseña en un sitio web fraudulento preparado por los atacantes. Así mismo, es bastante habitual ver campañas periódicas donde, usando como gancho supuestas facturas u otro tipo de documentos, los delincuentes instalan malware que se encarga de robar credenciales almacenadas en varias aplicaciones como navegadores, clientes de correo o VPNs, entre otras.
Implementando MFA en servicios críticos
Habiendo revisado el funcionamiento de la autenticación multifactor y cómo puede evitar graves incidentes de seguridad como los provocados por el ransomware, es el momento de ver cuáles son los servicios que se aconsejan proteger con una solución MFA.
- Conexiones VPN: en ataques como el sufrido por Colonial Pipeline, el acceso inicial a la red corporativa se realizó gracias a una cuenta VPN que no estaba protegida por MFA. Una vez conseguido este acceso, los atacantes consiguieron los mismos accesos y privilegios que un usuario local, algo que les daba la oportunidad de realizar movimientos laterales en la red y escalar privilegios.
- Cuentas de correo web, Microsoft 365 y otros sistemas en la nube que no están protegidos por una VPN: las cuentas de email comprometidas pueden ser usadas por los atacantes para tratar de conseguir que otros usuarios les proporcionen sus credenciales. Así mismo, los documentos Office 365 pueden generarse de forma que contengan macros maliciosas que descargan y ejecutan malware. Cualquier cuenta comprometida que pueda usarse para hacerse pasar por un usuario de la empresa puede también usarse como un vector de ataque por los delincuentes.
- Accesos RDP y otros servicios de accesos remoto: desactivar RDP en todos aquellos sistemas que no lo necesiten es una medida de seguridad esencial en la actualidad, por todos los motivos explicados anteriormente. Para todos aquellos sistemas que necesiten ser accedidos remotamente, es muy recomendable usar una conexión VPN protegida por MFA.
- Credenciales de cuentas administrativas: esto incluye cuentas como la del administrador del dominio y otras similares que controlen el acceso a herramientas administrativas y sistemas críticos. De esta forma, incluso aunque los atacantes consigan obtener las credenciales de estas cuentas, el MFA evitará que puedan tomar el control de sistemas o herramientas críticas, algo que suele hacerse tanto en ataques de ransomware como en ataques dirigidos más elaborados.
- Sistemas de copias de seguridad: desde hace tiempo, los atacantes que usan ransomware también se preocupan de eliminar las copias de seguridad para que así la víctima se vea forzada a pagar el rescate solicitado. Proteger el acceso a estas copias con un MFA es una buena manera de evitar que esto suceda.
Conclusión
Hemos visto como el MFA puede impedir que un ataque tenga éxito en varios puntos de la cadena de infección. Sin embargo, el MFA por sí mismo no es algo infalible y por eso debemos añadir otras capas de seguridad que ayuden a proteger mejor nuestros sistemas y la información crítica que en ellos se almacena.
Soluciones de seguridad en los endpoints, copias de seguridad aisladas de la red realizadas y revisadas de forma periódica, concienciación a los usuarios de todos los niveles y otras medidas más avanzadas dependiendo del tamaño, riesgo y presupuesto de la empresa son aspectos a tener muy en cuenta , aunque el MFA por su sencilla implementación debería ser una de las primeras medidas en incorporarse.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.