Crédito: Shutterstock Si posee una computadora, mira las noticias o pasa prácticamente cualquier tiempo en línea en estos días, probablemente haya escuchado el término «phishing». Nunca en un contexto positivo… y posiblemente porque tú mismo has sido víctima. El phishing se refiere a una variedad de ataques que tienen como objetivo convencerlo de que entregue datos confidenciales a un impostor. Estos ataques pueden adoptar diversas formas; desde el phishing (que se dirige a un individuo específico dentro de una organización) hasta la caza de ballenas (que va un paso más allá y se dirige a altos ejecutivos o líderes). Además, los ataques de phishing se llevan a cabo a través de múltiples canales o incluso entre canales; desde los ataques más tradicionales basados ​​en correo electrónico hasta los que utilizan la voz (vishing) y los que llegan a través de mensajes de texto (smishing). Independientemente del tipo o canal, la intención del ataque es la misma: explotar la naturaleza humana para obtener el control de información confidencial (cita 1). Estos ataques suelen utilizar varias técnicas, incluidos sitios web suplantados, atacante intermedio y retransmisión o reproducción para lograr el resultado deseado. Debido a su eficacia y simplicidad, los ataques de phishing se han convertido rápidamente en la herramienta elegida por los malos de todo el mundo. Como táctica, la utilizan todos, desde delincuentes de bajo nivel que buscan cometer fraude hasta sofisticados atacantes de estados nacionales que buscan afianzarse dentro de una red empresarial. Y, si bien se puede atacar casi cualquier tipo de información, a menudo los ataques más dañinos se centran en su contraseña, PIN o códigos de acceso de un solo uso: las claves de su reino digital. La combinación puede ser catastrófica. El Informe de investigaciones de violaciones de datos de Verizon 2022 enumera el phishing y las credenciales robadas (que pueden recopilarse durante ataques de phishing) como dos de las cuatro “vías clave” que las organizaciones deben estar preparadas para abordar para evitar violaciones (cita 2). En reconocimiento de la amenaza que representa el phishing, el Memorándum 22-09 de la Oficina de Administración y Presupuesto “Moviendo al gobierno de EE. UU. hacia principios de ciberseguridad de confianza cero” prioriza la implementación de autenticadores resistentes al phishing (cita 3). Entonces, ¿cómo evitas que tus llaves caigan en las manos equivocadas? ¿Qué constituye un autenticador resistente al phishing? La publicación especial del NIST DRAFT 800-63-B4 lo define como «la capacidad del protocolo de autenticación para detectar y evitar la divulgación de secretos de autenticación y resultados válidos del autenticador a una parte impostor que confía sin depender de la vigilancia del suscriptor». Para lograr esto, los autenticadores resistentes al phishing deben abordar los siguientes vectores de ataque asociados al phishing: Sitios web suplantados: los autenticadores resistentes al phishing evitan el uso de autenticadores en sitios web ilegítimos (conocidos como verificadores) a través de múltiples medidas criptográficas. Esto se logra mediante el establecimiento de canales protegidos autenticados para las comunicaciones y métodos para restringir el contexto de uso de un autenticador. Por ejemplo, esto se puede lograr mediante la vinculación de nombres, donde un autenticador solo es válido para un dominio específico (solo puedo usarlo para un sitio web). También se puede lograr mediante la vinculación a un canal de comunicación, como en TLS autenticado por el cliente (solo puedo usar esto a través de una conexión específica). Atacante en el medio: los autenticadores resistentes al phishing impiden que un atacante en el medio capture datos de autenticación del usuario y los transmita al sitio web de confianza. Esto se logra mediante medidas criptográficas, como aprovechar un canal protegido autenticado para el intercambio de información y firmar digitalmente datos y mensajes de autenticación. Entrada de usuario: los autenticadores resistentes al phishing eliminan la necesidad de que un usuario escriba o ingrese manualmente datos de autenticación a través de Internet. Esto se logra mediante el uso de claves criptográficas para la autenticación que se desbloquean localmente mediante un biométrico o pin. Ninguna información ingresada por el usuario se intercambia entre el sitio web de confianza y el autenticador. Repetición: los autenticadores resistentes al phishing evitan que los atacantes utilicen datos de autenticación capturados en un momento posterior. El soporte de controles criptográficos para restringir el contexto y prevenir escenarios de atacantes en el medio también previene los ataques de repetición, en particular la autenticación y los datos de mensajes firmados digitalmente y con marca de tiempo. Por complicado que parezca, hoy en día existen varios ejemplos prácticos de autenticadores resistentes al phishing. Para los empleados federales de EE. UU., la forma más ubicua de autenticador resistente al phishing es la tarjeta de Verificación de Identidad Personal (PIV); aprovechan la criptografía de clave pública para proteger los eventos de autenticación. Comercialmente, los autenticadores FIDO combinados con la API de autenticación web del W3C son la forma más común de autenticadores resistentes al phishing ampliamente disponibles en la actualidad. Estos pueden tomar la forma de claves de hardware independientes o integrarse directamente en plataformas (por ejemplo, su teléfono o computadora portátil). La disponibilidad, practicidad y seguridad de estos “autenticadores de plataforma” ponen cada vez más en manos de los usuarios autenticadores fuertes y resistentes al phishing sin la necesidad de factores de forma o dongles adicionales. No todas las transacciones requieren autenticadores resistentes al phishing. Sin embargo, para aplicaciones que protegen información confidencial (como información de salud o datos confidenciales de clientes) o para usuarios que tienen privilegios elevados (como administradores o personal de seguridad), las organizaciones deben implementar, o al menos ofrecer, autenticadores resistentes al phishing. Las personas deben explorar la configuración de seguridad de sus cuentas en línea más confidenciales para ver si hay autenticadores resistentes al phishing disponibles y utilizarlos si lo están. En realidad, estas herramientas suelen ser más fáciles, rápidas y convenientes que el MFA (como los códigos de texto SMS) que pueden estar utilizando actualmente. Al final, los autenticadores resistentes al phishing son una herramienta fundamental para la seguridad personal y empresarial que debe adoptarse. Sin embargo, no son una panacea. Los autenticadores resistentes al phishing solo abordan un foco de los ataques de phishing: el compromiso y la reutilización de autenticadores como contraseñas y códigos de acceso de un solo uso. No mitigan los intentos de phishing que pueden tener objetivos alternativos, como instalar malware o comprometer información personal para utilizarla en otros lugares. Los autenticadores resistentes al phishing deben combinarse con un programa integral de prevención de phishing que incluya concientización y capacitación del usuario, controles de protección del correo electrónico, herramientas de prevención de pérdida de datos y capacidades de seguridad de la red.