Si eres un CEO, un CISO o el pobre alma tratando de disputar la seguridad en una media nube, medio olvidada en el mundo, aquí está tu llamada de atención: el suelo está cambiando y las contraseñas son el sumidero.
Vamos a cortarlo: el 88% de las violaciones de la aplicación internet
Las contraseñas son el equivalente de seguridad de ocultar una llave de casa debajo del felpudo. Y los atacantes saben exactamente dónde mirar.
Infracciones, exageración y la misma historia antigua
Hace un par de semanas, salió un artículo, y fue repostado por todas partes, diciendo que los investigadores descubrieron una fuga de datos en expansión que contenía 16 mil millones de nombres de usuario y contraseñas vinculadas a plataformas como Apple, Google, Fb, servicios gubernamentales y más. La verdad es que gran parte de estos datos se vieron comprometidos en infracciones anteriores y esta “noticia” puede haber sido un esfuerzo para infundir miedo o obtener vistas de página. Desafortunadamente, promocionar las violaciones de seguridad conduce a la acción, sino a la apatía sobre la higiene de contraseña. ¿Cuántas veces has leído sobre una violación y luego no ¿Tomar medidas en sus propias contraseñas?
Dicho esto, la realidad es esta: las credenciales comprometidas se cosechan constantemente y se usan para el phishing, la adquisición de cuentas y el robo de identidad. Una vez expuestas, las medidas como la higiene de contraseña y 2FA quedan peligrosamente cortas. Las infracciones de seguridad continuas nos arrastran a una nueva period de riesgo cibernético donde los atacantes no necesitan entrar, simplemente inician sesión.
Justo después de que la “noticia” estalló de la violación masiva que involucró a 16 mil millones de cuentas, Aflac reveló un ataque actual. Había sido golpeado por un ataque cibernético donde los hackers usaban ingeniería social para
Las contraseñas no lo detuvieron. Lo habilitaron.
Por qué la seguridad basada en contraseña nos ha fallado
El robo de credenciales de masa y las infracciones impulsadas por el phishing resaltan una debilidad sistémica:
|
Problema |
Impacto |
|---|---|
|
Infadores |
Credenciales de recolección de malware en silencio desde escritorios y navegadores |
|
Reutilización de contraseña |
Una violación puede dominar en múltiples cuentas comprometidas |
|
Phishing |
Enganchar a los usuarios para dar credenciales: luego inicie sesión |
|
Limitaciones de 2FA |
Códigos de SMS vulnerables a SIM Swap, Ingeniería Social y Sesiones de Sesiones |
Seguimos capas en la complejidad (gerentes de palabras de paso, MFA, políticas giratorias) y los atacantes siguen iniciando sesión de todos modos. No puede asegurar un sistema basado en algo tan endeble.
Imagina un mundo sin contraseñas
La respuesta a nuestros problemas de seguridad colectivos se encuentra en una solución antigua con una toma moderna: autenticación sin contraseña.
La autenticación basada en certificados elimina la necesidad de contraseñas, reduciendo inmediatamente su superficie de ataque. ¿Por qué? Porque incluso si las personas, sus empleados, contratistas y proveedores, hacen clic inadvertidamente en un correo electrónico de phishing, no hay contraseña para robar. No aumentarán la vulnerabilidad utilizando la misma contraseña para todas sus aplicaciones y dispositivos. Las soluciones sin contraseña utilizan certificados digitales, autenticados en silencio y de forma segura al inicio de sesión, eliminando la exposición al robo de credenciales.
Beneficios que realmente importan:
- Phishing a prueba de phishing. Sin contraseñas, sin contraseñas de un solo tiempo (OTP), sin problemas.
- No hay secretos compartidos. Las claves privadas permanecen en el dispositivo. Período.
- A los usuarios les encanta. No hay contraseñas olvidadas. Sin reinicios. No hay gimnasia MFA. Solo acceso rápido.
- Construido para la escala. Los certificados se pueden emitir, revocar y gobernarse centralmente, y se conectan a los marcos de acceso condicional.
Suena costoso o complicado? Que no es. Golpeemos algunas excusas mientras estamos en eso.
Excusas comunes (y por qué no aguantan)
“Es difícil integrarse con lo que tenemos”.
Use una solución versatile y nativa de la nube que juegue bien con su pila. No se requiere una carretilla elevadora.
“Nuestros usuarios retrocedirán”.
No si la experiencia de inicio de sesión es más rápida y easy. La gente no es leal a las contraseñas, son leales a lo que funciona.
“Ya tenemos MFA”.
MFA no es lo mismo. Spoiler: los atacantes saben cómo evitarlo, y los usuarios se cansan de ello.
“No está en el presupuesto”.
Tampoco es una violación. O una demanda. O perder la confianza del cliente. Sus datos son su negocio. Deja de jugar con él.
CISOS: Es hora de liderar
Los líderes de seguridad ya saben que las contraseñas son una responsabilidad. La pregunta es: ¿qué estás haciendo al respecto?
Aquí está tu lista corta:
- Oficialmente respalda sin contraseña en su hoja de ruta estratégica. Eleve su adopción de un “agradable para tener” a un plan prioritario, respaldado por presupuestos e hitos.
- Ejecute programas piloto utilizando autenticación basada en certificados. Pruebe los casos de uso en el punto remaining, la purple y el acceso a la nube para validar la usabilidad y la interoperabilidad. Las soluciones basadas en la nube pueden hacer que se ejecute muy rápidamente.
- Abrazar los marcos de seguridad de cero confianza. Los principios de fideicomiso cero requieren una verificación de identidad estricta para cada usuario y dispositivoindependientemente de la ubicación.
- Educar y evangelizar. Entrenarlo y equipos de ayuda de ayuda. Put together a los empleados para una transición perfecta: enfatizar esa seguridad mejorada no necesita degradar la experiencia del usuario.
El remaining de la contraseña (finalmente)
Las contraseñas han tenido una buena ejecución, para los atacantes. Relleno de credencial. Infentes de infantes. Ransomware. Phishing. Todo impulsado por la misma reliquia de seguridad anticuada.
Como líderes, no solo reaccionamos a las amenazas, dirigimos el futuro. La autenticación sin contraseña no es un experimento. Es un requisito. Y está listo ahora.
La period de la contraseña ha terminado. No lo arrastremos.
