En un mundo donde los ataques cibernéticos están creciendo, la protección de la identidad y la privacidad se vuelve crucial. Matías Woloski, cofundador y CTO de Auth0 conversó con ITware sobre este importante tema.
“Para Okta [Okta adquirió a la startup argentina Auth0 en 2021], el mayor desafío de proteger la privacidad digital de las empresas y sus usuarios se encuentra en brindar un servicio sin fricciones”, comienza comentando Woloski.
Matías Woloski es el CTO y cofundador de Auth0, una plataforma de identidad moderna que actualmente es una unidad de producto de Okta, junto con su “compañero de armas” Eugenio Pace (cofundador y CEO).
A Woloski le gusta el proceso de creación de productos y la formación de equipos. Estudió Ingeniería Informática en la Universidad de Buenos Aires (UBA). Fue cofundador y arquitecto empresarial en Southworks y profesor de Cloud Computing en el Instituto Tecnológico de Buenos Aires (ITBA). Además, trabajó como desarrollador independiente y freelance.
Okta es un destacado proveedor de identidades independientes. Su Nube de Identidad les permite a las organizaciones conectar de manera segura a las personas correctas con las tecnologías adecuadas en el momento oportuno.
La empresa cuenta con más de 7.000 integraciones preconstruidas con aplicaciones y proveedores de infraestructura, y proporciona un acceso sencillo y seguro a personas y organizaciones de todo el mundo, dándoles la confianza para alcanzar su máximo potencial a más de 16.400 organizaciones.
Desafíos en la protección de la identidad
Según detalla Woloski, en un contexto CIAM (Customer Identity and Access Management), la «fricción» se refiere a cualquier cosa que ralentice las interacciones de una persona con su servicio. También es un gran obstáculo para la experiencia del usuario, las conversiones y los ingresos.
“Cuanta más fricción haya -en todas y cada una de las interacciones con el cliente-, más bajas serán las tasas de conversión y menos ingresos obtendrá tanto a corto como a largo plazo. Por ejemplo, el 83% de los consumidores afirman haber abandonado su cesta o su registro debido a un proceso de inicio de sesión arduo”, indica el directivo.
A su vez remarca que el riesgo de no tomar medidas para proteger la privacidad se encuentra en que los atacantes están centrando sus esfuerzos en obtener acceso a las cuentas (y sus derechos, privilegios e información) para su uso directo o reventa.
“Esto tiene importantes consecuencias para las organizaciones de todos los tamaños, que incurren en costos para investigar y remediar los abusos y se enfrentan a graves sanciones reglamentarias y daños a la reputación si se produce una violación de datos”, aduce Woloski.
Los tipos de ataques más comunes
Según el Reporte sobre el Estado de la Identidad Segura en 2022 de Auth0, los sectores de energía y servicios financieros experimentaron una mayor proporción de ataques de registro, representando dichas amenazas la mayoría de los intentos de registro en esas dos industrias. Ambos casos representan una desviación de lo que se observó durante el mismo periodo en 2021.
Según el mismo reporte, los ataques más comunes son:
– Registro fraudulento: el atacante crea cuentas títeres. En un ataque de registro fraudulento, también conocido como ataque de creación de cuentas falsas un actor de la amenaza abusa del proceso de registro de cuentas para crear cuentas títeres.
– Adquisición de cuentas (ATO): el atacante obtiene acceso a cuentas que ya existen.
– Robo de credenciales: Los ataques de robo de credenciales se aprovechan de la práctica demasiado común de la reutilización de contraseñas. Cuando el titular de una cuenta reutiliza las mismas contraseñas (o similares) en varios sitios, se crea un efecto dominó en el que un único par de credenciales puede utilizarse para vulnerar varias aplicaciones. Además de las tomas de posesión de cuentas, el relleno de credenciales se emplea a menudo para el descubrimiento/validación de cuentas, cuyo objetivo es desarrollar una lista de credenciales de alta calidad que pueda venderse (por ejemplo, para vender cuentas de streaming a un precio inferior a la tarifa de suscripción).
La influencia de las nuevas tecnologías
Una de las principales tecnologías que cambió la forma de protegernos fue la autenticación multi factor (AMF), sostiene Woloski, que agrega que la AMF tradicional es increíblemente eficaz a la hora de prevenir ataques, pero tiene un costo de usabilidad porque requiere pasos adicionales que el usuario debe completar para continuar con la interacción.
“La AMF adaptativa es una técnica que sólo activa la AMF cuando una interacción del usuario se considera arriesgada en función de los datos de comportamiento (por ejemplo, un dispositivo desconocido, un viaje imposible, la reputación de la IP, etc.) Al reservar la AMF para los escenarios de riesgo, la AMF adaptativa mantiene la seguridad al tiempo que preserva la experiencia sin fricciones para la mayoría de los usuarios”, comparte el directivo.
Woloski también expresa que la autenticación escalonada también permite a los proveedores de aplicaciones alcanzar un equilibrio entre seguridad y fricción, en este caso adaptando las solicitudes de identidad a la importancia del recurso y al nivel de riesgo si se expusiera. “Garantiza que los usuarios (o quienquiera que se haga pasar por un usuario) puedan acceder a algunos recursos con un conjunto de credenciales, pero les pedirá más credenciales (por ejemplo, AMF) cuando soliciten acceso a recursos sensibles”, aclara.
Cómo debe actuar una empresa
Según enumera el directivo, existen tres formas de detener los ataques basados en la identidad:
Implementar la AMF en todas partes. Sigue siendo una de las mejores defensas que tenemos contra los ataques sofisticados.
Aumentar con herramientas de defensa en profundidad. Éstas funcionan en combinación con las capas de usuario, aplicación y red, como el escaneo de tráfico de bots y contraseñas robadas entre su base de usuarios.
Invertir en una solución de identidad del cliente. Adoptar la flexibilidad por defecto y personalizar la seguridad y la facilidad de uso en función de la capacidad de riesgo, los requisitos de los usuarios y la implementación.
Cómo acompaña Okta
Desde Okta, ofrecen diferentes productos para proteger la identidad digital de los clientes y usuarios.
Woloski comparte algunas de ellas:
- Ecosistema de riesgo de Okta: Mejora el sistema de puntuación de riesgo integrado de Okta mediante la ingesta de señales de riesgo externas de nuevas soluciones de terceros. Estas señales funcionan de forma invisible en segundo plano para evaluar el riesgo sin comprometer la experiencia del usuario.
- Auth0 Adaptive MFA: Evalúa el riesgo de los inicios de sesión individuales y activa la autenticación multi factor sólo cuando un inicio de sesión se considera de alto riesgo.
- Auth0 Attack Protection:
Apoya el principio de protección en capas (defensa en profundidad), y
utiliza una variedad de señales para detectar y mitigar el acceso
malicioso, incluyendo la detección de bots, la estrangulación de IPs
sospechosas, la protección de fuerza bruta y la detección de contraseñas
violadas.
- Auth0 Bot Detection con Machine Learning: Actualiza la función de seguridad de detección de bots con un nuevo motor de aprendizaje automático (ML), para ayudar a reducir los ataques de bots en un 79%, con un impacto mínimo en la experiencia del usuario.
- Auth0 Credential Guard: Mejora la funcionalidad de detección de contraseñas violadas de Auth0 añadiendo un equipo de seguridad dedicado, y soporte para registros de violaciones en múltiples idiomas y países.
- Auth0 WebAuthn Sin Contraseña con Biometría: Inicio de sesión en las aplicaciones web de forma rápida y segura utilizando un dedo o la biometría facial. En cuanto a la seguridad, WebAuthn utiliza criptografía de clave pública en lugar de secretos compartidos, y es el único método de autenticación estándar en la web hoy en día que se considera inofensivo.
No hay comentarios:
Publicar un comentario