“En cinco años, Internet será mucho más seguro que hoy, gracias a los avances tecnológicos que abordan problemas comunes a gran escala”. Esta predicción de Chris Hockings, director de tecnología de IBM Asia Pacífico, puede parecer un poco ambiciosa dado que el cibercrimen impulsado por IA está creciendo a un ritmo exponencial, la tecnología deepfake está mejorando los ataques de ingeniería social y el poder de la computación cuántica está en el horizonte. Pero Hockings habló con TechRepublic sobre cómo cree que la tecnología se acelerará a un ritmo aún más rápido en los próximos años, con la clave de acceso en su núcleo. El futuro de la identidad digital en Australia La identidad digital es un área clave en la que Australia está logrando un progreso significativo, y la tecnología de clave de acceso sirve como un componente central de este avance, a pesar de que la adopción de claves de acceso está rezagada en Australia. Hockings destacó cómo los sistemas de identidad digital están ayudando a reducir el riesgo de infracciones. En particular, myGov de Australia es un proyecto de clave de acceso que tiene implicaciones nacionales. La implementación de claves de acceso puede eliminar eficazmente la principal fuente de fraude para los usuarios que las adoptan, dijo. “A nivel mundial, el 16% de las infracciones tienen que ver con credenciales perdidas o robadas, y es el proveedor de ataque inicial más común”, explicó Hockings. “La identidad digital ofrece una oportunidad para reducir significativamente la superficie de ataque. Cuantas más personas adopten estas tecnologías, menos susceptibles serán a las infracciones cibernéticas”. Más cobertura de Australia Amenazas emergentes: deepfakes y computación cuántica En otros lugares, ciertamente están surgiendo otras amenazas. Nuevos desafíos como los deepfakes están haciendo que los gobiernos de todo el mundo redacten apresuradamente leyes para combatirlos, mientras que la computación cuántica se vislumbra en el horizonte. Una vez que la computación cuántica se convierta en una realidad, las técnicas de cifrado tradicionales podrían volverse ineficaces. Sin embargo, Hockings dijo que existen soluciones para contrarrestar estos problemas. “Los deepfakes son una preocupación importante, pero con los avances tecnológicos adecuados, podemos crear sistemas que filtren contenido no confiable a escala”, dijo. Hockings cree que el problema central con los deepfakes como vector de ataque se reduce a la identidad. Internet fue diseñado originalmente para que el contenido pudiera llegar a todos. Sin embargo, con la implementación de identidades digitales, incluida la posibilidad de myGov, las personas están adquiriendo un mayor control sobre el contenido que se filtra. “Hoy en día, dependemos completamente de SSL cuando utilizamos sitios web”, dijo. “Creo que la respuesta a lo que está sucediendo es que habrá mecanismos de protección y el enfoque pasará de las protecciones y una especie de enfoque de ‘confianza cero’ al contenido que experimentamos, en lugar del enfoque reaccionario actual que es ‘detectar y responder’”. Mientras tanto, IBM se esfuerza por estar a la vanguardia a la hora de abordar los desafíos que plantea la computación cuántica. En el horizonte, la gran velocidad y potencia de la computación cuántica significa que los ataques de «fuerza bruta» podrían vencer incluso el cifrado de 2048 bits. Puede que pase una década o más hasta que las computadoras cuánticas se vuelvan lo suficientemente potentes y libres de errores como para lograrlo. Dado que IBM no espera entregar su primer sistema cuántico con corrección de errores hasta 2029, todavía hay tiempo para que las organizaciones se centren en la seguridad para garantizar que su respuesta a la computación cuántica no sea reactiva. Una solución a la escasez de habilidades en ciberseguridad Uno de los problemas más urgentes que se discuten en toda Australia es la escasez de habilidades en ciberseguridad, que Hockings reconoce, destacando particularmente su desafío con el sesgo de género: actualmente, solo el 17% de los profesionales de la ciberseguridad son mujeres. «Incluso desde mi propia experiencia, tengo hijas adolescentes que están considerando la universidad y he visto que las opciones en torno a la ciberseguridad se filtran», dijo. «Están allí, y obviamente también está la estandarización de los cursos TAFE. Pero en términos de atraer mujeres a la industria, esos esfuerzos deben seguir creciendo». Sin embargo, Hockings también sugirió que el alcance de la escasez de habilidades en ciberseguridad, tanto ahora como en el futuro, está «sobreinflado». «No se trata solo de la cantidad de personas disponibles», agregó. «También se trata de la innovación tecnológica que puede ayudar a los profesionales existentes a ser más efectivos y eliminar la necesidad de que las personas hagan ciertas partes de esos trabajos». IBM ha reconocido durante mucho tiempo la importancia de nutrir el talento y sostener la innovación. Hockings dijo. “Hemos sido capaces de mantener la innovación durante más de 30 años, lo que es una hazaña bastante sorprendente”, explicó. “Esto se refleja en los clientes empresariales de Australia, con muchas iniciativas que implican asociaciones con universidades, la realización de hackatones y otras actividades para generar interés y crear una vía para incorporar habilidades a las organizaciones”. A medida que la seguridad se convierte en un asunto más personal y el enfoque de “confianza cero” para la autenticación y la identidad permite a las personas un mayor control sobre cómo acceden e interactúan con el contenido, la alfabetización digital será clave. Esto permite que las personas se sientan empoderadas para tomar decisiones sobre seguridad. Sin embargo, Hockings confía en que este cambio de mentalidad en torno a la seguridad dará como resultado una Internet más segura en la que los ataques cibernéticos que dependen de una gran superficie se volverán obsoletos.
Etiqueta: Claves de acceso
Las claves de acceso ofrecen un modo de autenticación resistente al phishing. Respaldadas por los gigantes tecnológicos Microsoft, Apple y Google, las claves de acceso aprovechan las credenciales cifradas almacenadas en un dispositivo digital o de hardware para sustituir las contraseñas y los métodos de autenticación multifactor más débiles, vectores principales de los ciberataques. A pesar de su crecimiento en APAC, la adopción de claves de acceso ha sido relativamente lenta en Australia. En el sector público, MyGov introdujo recientemente los inicios de sesión con clave de acceso para sus servicios en línea. En el sector bancario, la clave de acceso de un solo uso, o autenticación multifactor OTP, sigue siendo el método de autenticación de facto en el mercado australiano. Geoff Schomburgk, vicepresidente para Asia Pacífico y Japón en Yubico, que ofrece claves de acceso vinculadas al hardware, dijo que las barreras de adopción incluyen bajos niveles de madurez de ciberseguridad en el sector público, una preocupación por la experiencia del cliente en el sector bancario y percepciones injustificadas de que las implementaciones de claves de acceso son técnicamente complejas. La tecnología de claves de acceso y el producto YubiKey experimentan un crecimiento en APAC El negocio de Yubico despegó cuando trabajó con Google para integrar la criptografía de clave pública en YubiKeys y desarrollar un nuevo protocolo de autenticación. Con la decisión de Google de distribuir YubiKeys a todos los empleados, otras empresas tecnológicas globales siguieron su ejemplo, como Amazon, Facebook, Uber y Microsoft. Imagen: Geoff Schomburgk, vicepresidente para Asia Pacífico y Japón, Yubico «Casi todas las empresas tecnológicas globales las están utilizando a gran escala en sus negocios», dijo Schomburgk. En APAC, la subcontratación global está impulsando cierta adopción de YubiKeys en India y Filipinas. La adopción en Japón, el sudeste asiático, Singapur y Australia se está «acelerando», dijo Schomburgk, ya que organizaciones como Atlassian de Australia buscan los beneficios de seguridad mejorados sobre los métodos de autenticación heredados. VER: El qué, el cómo y el por qué de las claves de acceso Las grandes tecnológicas son las facilitadoras de la adopción más amplia de claves de acceso. En 2024, Microsoft lanzó la disponibilidad de claves de acceso de usuario en servicios como Bing, Microsoft 365 y Xbox.com, sumándose a marcas globales como Adobe, Amazon, Apple, Google, Hyatt, Nintendo, PayPal, PlayStation, Shopify y TikTok. Según la Alianza FIDO, la alianza industrial abierta que crea y promueve estándares abiertos para claves de acceso, el alcance de las claves de acceso se había expandido para abarcar 13 mil millones de cuentas en julio de 2024. Sin embargo, el uso de la tecnología de claves de acceso no ha crecido en Australia. Existe la expectativa de que la disponibilidad técnica de claves de acceso conduciría a la implementación y reemplazo de contraseñas antes para detener la epidemia de phishing, pero hasta ahora el progreso en Australia ha sido lento. La adopción de claves de acceso gubernamentales impulsada por la madurez de la ciberseguridad MyGov fue uno de los primeros servicios gubernamentales digitales del mundo en implementar una opción de clave de acceso para los usuarios. Como portal central para los servicios gubernamentales en Australia, la medida fue un paso crítico para generar conciencia sobre las claves de acceso. La medida también está en línea con la Estrategia de Ciberseguridad de Australia 2023-2030. El gobierno dijo que tuvo un buen comienzo temprano, con 20.000 claves de acceso configuradas en una semana. Otras agencias tienen trabajo por hacer. Las contraseñas resistentes al phishing ahora son obligatorias en el Nivel de madurez 2 del marco de ciberseguridad Essential Eight de Australia, luego de las actualizaciones en noviembre de 2023 para combatir las implementaciones de MFA más débiles que son susceptibles a ataques de phishing o ingeniería social en tiempo real. Pero el informe más reciente de la Postura de Ciberseguridad de la Commonwealth en noviembre de 2023 encontró que solo el 25% de las agencias estaban a la altura del Nivel de madurez 2, aunque esto fue una mejora con respecto a solo el 19% en 2022. Schomburgk explicó que la madurez de la ciberseguridad en el sector público varía en los tres niveles de gobierno, y las agencias del gobierno federal lideran el grupo. Los gobiernos locales, que tienden a ser más pequeños y más autónomos, dependen más de los nombres de usuario y las contraseñas sin un MFA más fuerte. Más cobertura de Australia El MFA interno del sector bancario lidera la oferta al consumidor El sector bancario en Australia está avanzado en sus esfuerzos de ciberseguridad, pero aún no ha dado un salto colectivo hacia las claves de acceso para la autenticación de clientes. El sector todavía depende de las contraseñas de un solo uso, una forma de MFA que, aunque es más eficaz que las contraseñas por sí solas, sigue siendo vulnerable al phishing. Una notable excepción es el banco digital Ubank, que lanzó las claves de acceso en agosto de 2024. El banco citó los 2.700 millones de dólares que los australianos perdieron por estafas en 2023 como motivo de su decisión y dijo que las claves de acceso harían «más difícil para los delincuentes acceder a las cuentas utilizando nombres de usuario y contraseñas robados». VER: 5 beneficios de la autenticación sin contraseña Schomburgk dijo que los bancos generalmente están avanzados en la implementación de alguna forma de MFA internamente para su personal. Sin embargo, también existe una creciente comprensión de que la MFA debe ser resistente al phishing para alcanzar un mayor nivel de madurez de seguridad. Yubico está trabajando en los próximos pasos con algunos de los principales bancos australianos. Barreras para adoptar e implementar claves de acceso Las agencias gubernamentales y los bancos deben superar algunas barreras para implementar claves de acceso. Complejidad y conveniencia percibidas: La percepción de que las claves de acceso y las claves de seguridad físicas como YubiKeys son más complejas y menos convenientes en comparación con los métodos de autenticación tradicionales. Gestión de cambios: los líderes de TI y seguridad que implementan claves de acceso deben adaptarse al cambio organizacional, lo que a menudo genera resistencia de los empleados. Educación y concienciación del usuario: es necesario educar a los usuarios sobre los beneficios y la conveniencia de las claves de acceso, incluido el hecho de que son más seguras y convenientes que los métodos de autenticación heredados. Integración con sistemas heredados: en la banca, la integración del soporte de claves de acceso en las plataformas y aplicaciones en línea existentes puede parecer un desafío técnico, ya que muchas se han desarrollado de forma independiente. Experiencia del cliente: los bancos son muy sensibles a la experiencia del cliente, con cierta reticencia a implementar nuevos requisitos de autenticación cuando los clientes están conformes con los procesos existentes. Cómo implementar claves de acceso de manera efectiva Schomburgk dijo que las organizaciones que introducen claves de acceso deben: No dejarse disuadir por las barreras percibidas Las barreras percibidas para implementar claves de acceso a menudo son mayores que los desafíos técnicos reales, según Schomburgk. Alentó a las organizaciones a no contenerse y preocuparse por problemas potenciales. En cambio, deben «comenzar el viaje», y las soluciones técnicas se harán evidentes. Centrarse en los beneficios Los beneficios de las claves de acceso, incluida la seguridad y la conveniencia mejoradas para empleados y clientes, a menudo superan las barreras percibidas. Schomburgk sostiene que una vez que las organizaciones comiencen a implementar claves de acceso, descubrirán que los beneficios pueden acelerar la adopción. Priorizar la educación y la concienciación Educar tanto al personal de TI como a los usuarios finales sobre las ventajas de las claves de acceso sobre los métodos de autenticación tradicionales es importante. La comunicación y la educación continuas, tanto a nivel interno como con el público en general, ayudarán a impulsar una adopción más amplia con el tiempo. Comience de a poco y gane impulso La familiarización con la tecnología y los beneficios puede generar una adopción más generalizada. A medida que agencias como MyGov sigan promoviendo las claves de acceso, y el uso de claves de acceso o autenticadores vinculados al hardware como YubiKeys crezca en las empresas, es probable que los primeros usuarios alienten a otros usuarios a adoptar las claves de acceso.
La función de seguridad de nombre de usuario y contraseña es antigua y anticuada, pero aún funciona si eliges una contraseña segura. No es el sistema más infalible, pero es lo que tenemos. Hay planes para eliminar potencialmente el sistema con inicios de sesión sin contraseña, como con las claves de acceso. Google ahora está facilitando a los usuarios de Pixel la actualización a Passkeys en un intento por aumentar la adopción. La compañía ha anunciado que están trabajando con varias empresas y servicios en línea para facilitar la adopción de Passkeys. Esto incluye empresas como Adobe, eBay, Best Buy, Uber, TikTok, PayPal, Nintendo y más. ¿Cómo funciona esto? Básicamente, si utiliza el Administrador de contraseñas de Google en un teléfono Pixel, ahora detectará automáticamente qué cuentas admiten claves de acceso. Si detecta una cuenta que lo hace, Google ayudará a actualizar a Passkeys con unos pocos toques. Esto elimina las conjeturas de intentar determinar qué servicios admiten la función y cuáles no. Las claves de acceso son una alternativa bastante buena al sistema tradicional de nombre de usuario y contraseña. Funciona confiando en un dispositivo, como su teléfono inteligente, para autenticar sus inicios de sesión. Dado que nuestros teléfonos vienen con funciones de seguridad como huellas dactilares o reconocimiento facial, esto ya los hace más seguros. Algunas de estas asociaciones ya deberían estar activas, así que simplemente inicie la herramienta Google Password Manager para comenzar a actualizar.