June 19, 2024
Noticias

Día mundial de la contraseña (5 de mayo de 2022)

Día mundial de la contraseña (5 de mayo de 2022)

Sadiq Khan, Jefe de Seguridad de la Información en BlueVoyant

«El Día Mundial de la Contraseña tiene una importancia adicional este año debido al rápido aumento de los ataques diseñados para eludir las medidas que hacen más seguro el inicio de sesión de las cuentas. Ante todo, sigue siendo importante utilizar contraseñas seguras. BlueVoyant sigue observando grandes volúmenes de credenciales comprometidas que se venden en foros de la Dark Web y que, a su vez, se utilizan para vulnerar las organizaciones . Las organizaciones deben asegurarse de que cuentan con un sistema de vigilancia para detectar si sus credenciales están en peligro y pueden ser vendidas por los ciberdelincuentes.

Además de la higiene de las contraseñas, la MFA debería estar activada por defecto en todas las organizaciones. La autenticación multifactorial (MFA) es una forma más segura de autenticación en comparación con el simple uso de una contraseña. La MFA requiere que los usuarios proporcionen al menos dos factores de verificación para poder acceder a un dispositivo o cuenta. BlueVoyant ha visto cómo los actores de las amenazas se alejan de las organizaciones que son víctimas potenciales una vez que determinan que la MFA está implementada, y pasan al siguiente objetivo buscando una organización que no la tenga.

Sin embargo, dado el aumento de las organizaciones que utilizan la MFA en su ciberdefensa, se ha producido un incremento reciente de los ataques para eludir la MFA. Estos ataques se basan en técnicas de ingeniería social para atraer y engañar a los usuarios para que acepten solicitudes falsas de MFA. Algunos métodos específicos de ataques incluyen el envío de una gran cantidad de solicitudes MFA y la esperanza de que el objetivo finalmente acepte una para que el ruido se detenga, o el envío de una o dos solicitudes por día, que atrae menos atención, pero todavía tiene una buena posibilidad de que el objetivo acepte la solicitud. Los atacantes también utilizarán ingeniería social más agresiva, como el Vishing (phishing de voz) que requiere llamar al objetivo, fingiendo ser parte de la empresa, y diciéndole que tiene que enviar una solicitud MFA como parte de un proceso de la empresa. A veces los atacantes incluso utilizan bots para llamar, en lugar de una persona viva.

En los últimos meses, algunos grupos de hackers muy conocidos han sorteado los controles MFA para vulnerar empresas muy grandes y conocidas.

La mejor defensa es la formación de los empleados. Deben saber que si alguna vez no están seguros de una solicitud MFA, deben rechazarla. En cambio, sólo deben aceptar las solicitudes de MFA que sepan que han iniciado».

About Author

Prensa Redex

Redexpertos es una organización que tiene como objetivo congregar a profesionales relacionados con las áreas de las comunicaciones y la responsabilidad social empresarial, para promover la gestión del conocimiento y de esta manera aportar a la Sostenibilidad del planeta.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
💬 Hola, por aquí puedes contactarnos
Un saludo, somos RedExpertos, consultores en sostenibilidad ¿En qué podemos ayudarle?