COMENTARIO
Una de las pocas piezas de información que es verdaderamente inmutable y potencialmente invaluable es la información genética. No podemos cambiar nuestro genoma en gran medida. A diferencia de los datos biométricos, que pueden almacenarse en cualquier cantidad de estructuras algorítmicas o hash diferentes, la información genética puede reducirse invariablemente a secuencias simples de pares de aminoácidos. El escenario de pesadilla, entonces, es que los malos actores pirateen una base de datos genética y consigan acceso a los planos biológicos a un gran número de personas.
Recientemente, esa pesadilla se hizo realidad con el Hack de la empresa de pruebas genéticas 23andMe. Los atacantes utilizaron el clásico. técnicas de relleno de credenciales para acceder ilegalmente a 14,000 cuentas de usuarios. Pero no se detuvieron allí. Gracias a las funciones de intercambio de 23andMe que permiten a los usuarios compartir y leer datos de otros usuarios que podrían estar relacionados, los piratas informáticos pudieron extraer datos genéticos de 6.9 millones de personas. Los atacantes publicaron ofertas en la Dark Web por 1 millón de perfiles. 23andMe no reveló el impacto total hasta un mes después del ataque.
Para proteger a los usuarios, 23andMe solicita a todos los usuarios que cambien inmediatamente sus contraseñas y se aseguren de que sean únicas y complejas. Esto es bueno pero insuficiente. Más importante aún, la empresa está inscribiendo automáticamente a los clientes existentes en la autenticación de dos factores para obtener una capa adicional de seguridad. En lugar de esperar al inevitable evento catastrófico, cada aplicación de software como servicio (SaaS) debería hacer que 2FA sea obligatorio y las mejores prácticas deberían trasladarse de 2FA a MFA con un mínimo de tres factores disponibles. Ahora es una cuestión de seguridad pública y debería ser obligatorio, del mismo modo que los fabricantes de automóviles deben incluir cinturones de seguridad y bolsas de aire en sus vehículos.
Los efectos de red multiplican los impactos del compromiso
Muchas de nuestras cuentas y aplicaciones SaaS incluyen capacidades de red que aumentan la exposición exponencialmente. En el caso de 23andMe, los datos expuestos incluían información de los perfiles de DNA Relatives (5.5 millones) y perfiles de Family Tree (1.4 millones) que los 14,000 usuarios de la cuenta habían compartido o hecho accesibles. Esta información incluía ubicaciones, nombres para mostrar, etiquetas de relaciones y ADN compartido con coincidencias, así como años de nacimiento y ubicaciones de algunos usuarios. Si bien el valor de mercado de los datos de ADN para los piratas informáticos sigue sin estar claro, su singularidad y naturaleza irremplazable generan preocupaciones sobre posibles usos indebidos y ataques en el futuro.
Reemplace 23andMe con Dropbox, Outlook o Slack y podrá ver fácilmente cómo una cantidad relativamente pequeña de cuentas expuestas puede generar datos para toda una organización. El acceso a una cuenta de Outlook podría proporcionar nombres y conexiones sociales, junto con interacciones que podrían ser útiles para crear ataques de ingeniería social más creíbles.
Esta no es una amenaza menor. Cada vez vemos más atacantes expertos que buscan aplicaciones menos protegidas y que tengan una cantidad considerable de información en red para ejecutar ataques más amplios. Según el índice de inteligencia de amenazas IBM X-Force 2023 de 2023, el 41% de los ataques exitosos utilizaron el phishing y la ingeniería social como vector principal. Por ejemplo, el Incidente del token de sesión de Okta buscó aprovechar la seguridad más débil en su sistema de atención al cliente y emisión de tickets como medio para recopilar información para ataques de phishing contra los clientes. Los costos de estos ataques están aumentando y pueden ser asombrosos. IBM estima que el coste medio de una infracción supera los 4 millones de dólares y del La capitalización de mercado de Okta se desplomó en miles de millones de dólares. después de anunciar el incumplimiento.
Una solución muy esperada: 2FA obligatoria para inicios de sesión
El truco de 23andMe resalta una verdad obvia. Las combinaciones de nombre de usuario y contraseña no sólo son intrínsecamente inseguras sino que esencialmente no son asegurables y suponen un riesgo inaceptable. Incluso suponer que una contraseña por sí sola proporciona seguridad es una tontería. En los procesos de seguridad y otros procesos de certificación, cualquier empresa que no permita la inscripción automatizada de 2FA debe marcarse como riesgosa para proporcionar la información de riesgo necesaria a socios, inversores, clientes y organismos gubernamentales.
La 2FA debe ser obligatoria y aplicarse como precio de entrada para cualquier aplicación SaaS, sin excepciones. Algunas organizaciones podrían quejarse de que tal mandato introducirá fricciones adicionales e impactará negativamente en la experiencia del usuario. Pero los diseñadores de aplicaciones innovadores han resuelto en gran medida estos problemas basándose en los primeros principios, bajo el supuesto de que sus usuarios deberán utilizar 2FA. Es más, numerosas organizaciones líderes como GitHub han implementado mandatos 2FA, por lo que no faltan ejemplos de cómo los talentosos equipos de UX están manejando el desafío.
Curiosamente, las mismas afirmaciones de fricción e inconvenientes alguna vez fueron la queja principal contra la obligación de utilizar el cinturón de seguridad. Hoy en día nadie parpadea y los cinturones de seguridad son ampliamente aceptados. En el mismo sentido, los cinturones de seguridad y las bolsas de aire para aplicaciones SaaS ahorrarán, al final, al mundo muchos miles de millones de dólares en reducción de pérdidas y aumento de la productividad.
¿Qué pasa con las claves de acceso? Desafortunadamente, es poco probable que alcancen una masa crítica en las empresas en los próximos años. Y las claves de acceso son aún más seguras cuando se combinan con MFA. El desafío, entonces, será que los fabricantes de SaaS mejoren su usabilidad y hagan que 2FA y MFA sean aún más fáciles de usar para todos, especialmente los factores más seguros como la biometría, las claves de hardware y las aplicaciones de autenticación.
Los datos genéticos son el canario en la mina de carbón de la seguridad SaaS. A medida que nuestras vidas y actividades pasan cada vez más en línea, aumentan los riesgos tanto para las empresas como para los consumidores. Incorporar una mayor seguridad a SaaS es un bien público que beneficiará a todos. El mejor y más obvio paso en este momento es exigir 2FA como nivel básico de seguridad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :es
- :no
- $ UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Poder
- Nuestra Empresa
- aceptado
- de la máquina
- accesible
- Mi Cuenta
- Cuentas
- actividades
- los actores
- Adicionales
- Ventaja
- Después
- en contra
- algorítmico
- igual
- Todos
- solo
- a lo largo de
- an
- y
- Anunciando
- cualquier
- applicación
- Aplicación
- aplicaciones
- aplicaciones
- somos
- AS
- asunción
- atacar
- ataques
- Autenticación
- Confirmación de Viaje
- automáticamente
- Hoy Disponibles
- promedio
- Malo
- Base
- BE
- porque
- es el beneficio
- MEJOR
- y las mejores prácticas
- miles de millones
- biométrico
- biometría
- nacimiento
- cuerpos
- incumplimiento
- más amplio
- Construir la
- negocios
- pero
- by
- llegó
- PUEDEN
- capacidades
- capitalización
- de
- case
- catastrófico
- de Padi
- Reto
- el cambio
- reclamaciones
- clásico
- Carbón
- combinaciones
- cómo
- compañía
- queja
- integraciones
- compromiso
- Inquietudes
- Conexiones
- considerable
- Clientes
- Cost
- Precio
- podría
- crítico
- cliente
- Atención al cliente
- Clientes
- Oscuro
- Web Obscura
- datos
- Base de datos
- Grado
- diseñadores
- HIZO
- no hizo
- una experiencia diferente
- Revelar
- Pantalla
- ADN
- dólares
- Dropbox
- más fácil
- pasan fácilmente
- los efectos
- habilitar
- final
- forzado
- Ingeniería
- garantizar
- Empresa
- Todo
- entrada
- especialmente
- esencialmente
- estima
- Incluso
- Evento
- Cada
- todos
- ejemplo
- ejemplos
- ejecutar
- existente
- experience
- exponencialmente
- expuesto
- Exposición
- extra
- extraerlos
- factores importantes
- falla
- familia
- Caracteristicas
- pocos
- Nombre
- Fijar
- marcado
- fricción
- Desde
- ser completados
- futuras
- juego
- reunir
- genéticas
- conseguir
- GitHub
- Go
- candidato
- Gobierno
- mayor
- mayor seguridad
- corte
- los piratas informáticos
- la piratería
- tenido
- Manejo
- Materiales
- hash
- Tienen
- Golpear
- Inicio
- Cómo
- HTTPS
- IBM
- ilegalmente
- inmediatamente
- inmutable
- Impacto
- Impactos
- importante
- in
- incluir
- incluido
- aumente
- aumentado
- cada vez más
- inevitable
- información
- inherentemente
- originales
- inseguro
- Intelligence
- interacciones
- dentro
- introducir
- inestimable
- invariablemente
- Inversionistas
- ISN
- IT
- SUS
- jpg
- solo
- claves
- Etiquetas
- large
- principalmente
- .
- líder
- Nivel
- como
- Vidas
- encontrar una oficina
- Largo
- miró
- mirando
- pérdidas
- hecho
- para lograr
- Makers
- mandato
- mandatos
- mandando
- obligatorio
- Fabricantes
- muchos
- Mercado
- valor de mercado
- Misa
- cerillas
- Materia
- Puede..
- significa
- MFA
- podría
- millones
- mínimo
- menor de edad
- mal uso
- Mes
- más,
- MEJOR DE TU
- emocionado
- debe
- nombres
- Naturaleza
- necesario
- negativamente
- del sistema,
- efectos de red
- no
- ahora
- número
- números
- numeroso
- obvio
- of
- Ofertas
- OCTA
- on
- una vez
- ONE
- en línea
- , solamente
- or
- organización
- para las fiestas.
- Otro
- nuestros
- salir
- Outlook
- Más de
- emparejado
- pares
- socios
- Contraseña
- contraseñas
- Personas
- suplantación de identidad
- ataques de phishing
- piezas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- publicado
- posible
- la posibilidad
- prácticas
- precio
- primario
- principios
- problemas
- en costes
- productividad
- Perfiles
- proteger
- proporcionar
- proporciona un
- público
- aumento
- más bien
- RE
- Leer
- Reducción
- relacionado
- relación
- relativamente
- familiares
- permanece
- Requisitos
- Derecho
- creciente
- Riesgo
- Arriesgado
- Laminado
- s
- SaaS
- Safety
- mismo
- Guardar
- comprensión
- guión
- seguro
- EN LINEA
- ver
- ver
- Sesión
- Compartir
- compartido
- compartir
- escasez
- tienes
- sencillos
- soltero
- flojo
- chica
- So
- Social
- Ingeniería social
- algo
- Patrocinado
- asombroso
- grapa
- paso
- Detener
- almacenados
- estructuras
- exitosos
- tal
- SOPORTE
- te
- ¡Prepárate!
- talentosos
- orientación
- equipos
- Pruebas
- que
- esa
- El
- El futuro de las
- el mundo
- su
- luego
- Ahí.
- Estas
- ellos
- así
- amenaza
- Tres
- venta de entradas
- a
- hoy
- ficha
- árbol
- verdadero
- verdaderamente
- verdad
- bajo
- Desafortunadamente
- único
- unicidad
- diferente a
- poco probable
- hasta
- usabilidad
- utilizan el
- usado
- eficiente
- Usuario
- experiencia como usuario
- usuarios
- ux
- propuesta de
- Vehículos
- esperar
- we
- más débil
- web
- WELL
- tuvieron
- ¿
- cuando
- que
- mientras
- QUIENES
- extensamente
- seguirá
- mundo
- años
- Rendimiento
- Usted
- zephyrnet