Por Flavio Borquez Tarff<\/p>\n
Si leen m\u00e1s all\u00e1 de los titulares que llaman la atenci\u00f3n, la mayor\u00eda de las t\u00e9cnicas novedosas de ciberataques se basan en identidades comprometidas.1<\/sup> De hecho, de todas las formas en que un atacante puede ingresar a su patrimonio digital, el compromiso de identidad se mantiene como la m\u00e1s com\u00fan.2<\/sup> Esto convierte a la identidad en su primera l\u00ednea de defensa.<\/p>\n En muchas organizaciones, sin embargo, demasiadas identidades no solo carecen de protecciones fundamentales, sino que tambi\u00e9n terminan con demasiados permisos de acceso que conservan durante demasiado tiempo. Nuestro nuevo Informe sobre el estado de los riesgos de los permisos en la nube<\/a>, revela algunas estad\u00edsticas aleccionadoras que resaltan la importancia de proteger y administrar de manera cuidadosa sus identidades para reducir tanto el riesgo, como las oportunidades para los ciberdelincuentes.<\/p>\n En la multinube, m\u00e1s de la mitad de todas las identidades son identidades de administraci\u00f3n y carga de trabajo que tienen todos los derechos de acceso y todos los permisos para los recursos de la nube. Esto es peligroso porque, en general, las identidades usan solo el 1 por ciento de los permisos que se les otorgan. Algunos no usan sus permisos en absoluto. De hecho, m\u00e1s del 60 por ciento de todas las identidades con permisos para los recursos de la nube est\u00e1n completamente inactivas. Con un 80%, la proporci\u00f3n de identidades de carga de trabajo inactivas es a\u00fan mayor, y las identidades de carga de trabajo superan en n\u00famero a las identidades humanas 10 a 1.<\/p>\n Si bien este informe resume los problemas con los permisos de la nube, vemos problemas similares para los usuarios comerciales.<\/p>\n En el evento reciente de Microsoft Secure, compart\u00ed formas de fortalecer sus defensas de identidad<\/a> a trav\u00e9s de las \u00faltimas innovaciones que ofrecemos en Microsoft Entra<\/a>. Estas incluyen nuevos controles de gobierno y protecciones de acceso en tiempo real para ayudarlos a proteger las identidades y los recursos a los que acceden.<\/p>\n Por Flavio Borquez Tarff<\/p>\n Una nueva y m\u00e1s r\u00e1pida forma de incorporarse con Microsoft Entra Identity Governance y Microsoft Entra Verified ID<\/p>\n Las buenas pr\u00e1cticas de identidad comienzan durante la incorporaci\u00f3n, un proceso que a menudo frustra tanto a los administradores de TI como a los usuarios.<\/p>\n El objetivo de la incorporaci\u00f3n es brindar a los nuevos usuarios el acceso correcto a los recursos correctos durante la cantidad de tiempo correcta, a trav\u00e9s de respetar el principio Zero Trust<\/a> (Confianza Cero) de \u00abacceso con privilegios m\u00ednimos\u00bb, desde el primer d\u00eda. Sin embargo, la incorporaci\u00f3n tradicional a\u00fan requiere una gran cantidad de papeleo redundante y formularios en l\u00ednea que requieren revisi\u00f3n y aprobaci\u00f3n manual antes de que los nuevos usuarios puedan comenzar a trabajar y obtener acceso a los recursos. Esto puede retrasar la contrataci\u00f3n y aumentar el tiempo de preparaci\u00f3n.<\/p>\n El ochenta y dos por ciento de las organizaciones encuestadas por Microsoft quieren una forma mejor y menos manual de realizar la verificaci\u00f3n de identidad, y ahora tienen una.3<\/sup> Microsoft Entra Identity Governance y Microsoft Entra Verified ID ahora trabajan juntos para simplificar la incorporaci\u00f3n<\/a>. En lugar de pasar semanas en recopilar y verificar documentaci\u00f3n previa a la contrataci\u00f3n, como certificaciones de educaci\u00f3n e industria, las organizaciones pueden validar todo de manera digital, a trav\u00e9s de la utilizaci\u00f3n de credenciales de identificaci\u00f3n verificadas<\/a>, emitidas por autoridades de confianza.<\/p>\n Cuando utilizan la administraci\u00f3n de derechos en Identity Governance para crear un paquete de acceso con aplicaciones espec\u00edficas y configuraciones de caducidad, ahora pueden solicitar una identificaci\u00f3n verificada como parte del flujo de trabajo de aprobaci\u00f3n.4<\/sup> Con la administraci\u00f3n de derechos, pueden hacer que el proceso de incorporaci\u00f3n sea digital y aut\u00f3nomo, sin requerir de un administrador.5<\/sup> Los nuevos usuarios reciben un correo electr\u00f3nico de bienvenida automatizado con un enlace al portal My Access. Una vez que comparten la identificaci\u00f3n verificada requerida y su gerente aprueba su solicitud de acceso, obtienen todos los permisos de acceso a su lugar de trabajo a la vez. Cuando caducan sus permisos, pueden volver a probar de manera sencilla su identidad a trav\u00e9s de su identificaci\u00f3n verificada sin pasar por un largo proceso de renovaci\u00f3n.<\/p>\n Este proceso de incorporaci\u00f3n simplificado es m\u00e1s r\u00e1pido, m\u00e1s seguro y requiere menos recursos. Las organizaciones pasar\u00e1n menos tiempo en la validaci\u00f3n de credenciales en papel y en la aprobaci\u00f3n manual de solicitudes de acceso, y m\u00e1s tiempo en colaboraci\u00f3n e innovaci\u00f3n. Adem\u00e1s, otras caracter\u00edsticas de Identity Governance<\/a>, como la automatizaci\u00f3n de las tareas rutinarias de entrada, salida y traslado, ayudan a mantener los permisos en el tama\u00f1o adecuado a lo largo del tiempo.<\/p>\n Por Flavio Borquez Tarff<\/p>\n Nuevas protecciones para ayudar a asegurar el acceso<\/p>\n Una vez que un nuevo usuario est\u00e1 a bordo, Microsoft Entra lo ayuda a asegurar su acceso. Esto comienza con controles proactivos, como hacer cumplir la autenticaci\u00f3n multifactor.<\/p>\n Las s\u00f3lidas defensas de inicio de sesi\u00f3n lo hacen menos atractivo y menos vulnerable para la mayor\u00eda de los atacantes, que no tienen la destreza t\u00e9cnica, la financiaci\u00f3n o los recursos de grupos m\u00e1s sofisticados. Los ataques de credenciales son los m\u00e1s comunes porque cuestan poco, pero ustedes pueden interrumpirlos con la autenticaci\u00f3n multifactor.6<\/sup> Nuestros datos muestran que m\u00e1s del 99.9 % de las cuentas comprometidas no tienen habilitada la autenticaci\u00f3n multifactor.<\/p>\n Sin embargo, los atacantes sofisticados tratan de evitar la autenticaci\u00f3n multifactor con t\u00e9cnicas como el secuestro de SIM y los ataques de fatiga de autenticaci\u00f3n multifactor. Para contrarrestar estas t\u00e9cnicas, Microsoft Entra admite m\u00e9todos de autenticaci\u00f3n multifactor resistentes al phishing. Estos incluyen opciones sin contrase\u00f1a como Windows Hello for Business y claves de seguridad FIDO2. La autenticaci\u00f3n basada en certificados tambi\u00e9n est\u00e1 disponible para organizaciones estandarizadas en ella.<\/p>\n Cuando habiliten la autenticaci\u00f3n multifactor, por supuesto, busquen adoptar los m\u00e9todos m\u00e1s fuertes. Los m\u00e9todos m\u00e1s antiguos, como los SMS y las llamadas de voz, son menos seguros.<\/p>\n Las funciones resistentes al phishing en Microsoft Authenticator fortalecen a\u00fan m\u00e1s sus defensas de autenticaci\u00f3n multifactor.7<\/sup> La coincidencia de n\u00fameros requiere que los usuarios ingresen un n\u00famero que se muestra en la pantalla de inicio de sesi\u00f3n, lo que dificulta la aprobaci\u00f3n accidental de una solicitud. Para ayudar a los usuarios a confirmar que aprueban una solicitud de acceso realizada por ellos (y no por un atacante), el contexto de la aplicaci\u00f3n les muestra en qu\u00e9 aplicaci\u00f3n inician sesi\u00f3n, mientras que el contexto de la ubicaci\u00f3n muestra su ubicaci\u00f3n de inicio de sesi\u00f3n seg\u00fan la direcci\u00f3n IP de su dispositivo.<\/p>\n Por Flavio Borquez Tarff<\/p>\n Y ahora, con las fortalezas de la autenticaci\u00f3n de acceso condicional, los administradores pueden establecer una pol\u00edtica seg\u00fan la fortaleza de la autenticaci\u00f3n multifactor requerida, y basar esa pol\u00edtica en la confidencialidad de las aplicaciones y los recursos a los que un usuario intenta acceder.8<\/sup> En conjunto, ampliamos la autenticaci\u00f3n multifactor resistente a phishing a m\u00e1s escenarios. Por ejemplo, pueden solicitar una autenticaci\u00f3n multifactor resistente al phishing para las m\u00e1quinas virtuales de Microsoft Azure a fin de proteger los inicios de sesi\u00f3n remotos y brindar una cobertura integral para los entornos de desarrollo, prueba y producci\u00f3n. Tambi\u00e9n pueden requerirlo para usuarios externos y para usuarios que tienen que moverse entre diferentes instancias de nube de Microsoft para colaborar, por ejemplo, entre nubes gubernamentales y comerciales.9<\/sup><\/p>\n Adem\u00e1s, con el acceso condicional para acciones de alto riesgo, ahora pueden solicitar autenticaci\u00f3n multifactor resistente al phishing para acciones confidenciales, como modificar pol\u00edticas de acceso y, m\u00e1s adelante, agregar una nueva credencial a una aplicaci\u00f3n o cambiar la configuraci\u00f3n de confianza federada. Tambi\u00e9n pueden restringir las acciones de alto riesgo seg\u00fan el cumplimiento del dispositivo o la ubicaci\u00f3n.<\/p>\n Nuevas contramedidas para ayudar a prevenir el movimiento lateral<\/p>\n Una vez que un nuevo usuario ha iniciado sesi\u00f3n, Microsoft Entra lo ayuda a adoptar una postura proactiva de \u00abasumir incumplimiento\u00bb para proteger sus credenciales y evitar el movimiento lateral. Esto es esencial porque los ataques posteriores a la autenticaci\u00f3n, como el robo de tokens a trav\u00e9s de malware, la extracci\u00f3n de registros mal configurados y el compromiso de la infraestructura de enrutamiento, est\u00e1n en aumento.10<\/sup><\/p>\n Los atacantes reproducen tokens robados para hacerse pasar por un usuario autenticado. As\u00ed como los ladrones copian el n\u00famero de una tarjeta de cr\u00e9dito o leen su c\u00f3digo RFID y luego van de compras hasta que el banco se da cuenta y congela la tarjeta, los atacantes roban tokens para acceder a sus recursos digitales, y causan mucho da\u00f1o, hasta que ese token caduca.<\/p>\n Dos nuevas capacidades en Microsoft Entra cierran la ventana de reproducci\u00f3n del token.<\/p>\n En primer lugar, la aplicaci\u00f3n estricta de las pol\u00edticas de ubicaci\u00f3n permite a los proveedores de recursos utilizar la evaluaci\u00f3n de acceso continuo (Continuous Access Evaluation \u2013 CAE, por sus siglas en ingl\u00e9s) para revocar de inmediato los tokens que no cumplen con las pol\u00edticas de ubicaci\u00f3n. Hasta ahora, un token robado pod\u00eda permanecer v\u00e1lido durante una hora o m\u00e1s, incluso si un atacante intentaba reproducirlo fuera del rango de ubicaci\u00f3n permitido por la pol\u00edtica.<\/p>\n Exchange Online, SharePoint y Microsoft Graph ahora pueden responder a eventos de cambio de red al revocar tokens casi en tiempo real. Dado que CAE es parte de la plataforma de identidad de Microsoft, cientos de aplicaciones lo han adoptado para beneficiarse de la aplicaci\u00f3n de pol\u00edticas de ubicaci\u00f3n y otros eventos de CAE. Esto incluye aplicaciones de Microsoft 365 como Outlook, Microsoft Teams y OneDrive, as\u00ed como la aplicaci\u00f3n de correo integrada en Mac, iPhone y iPad<\/a>. Las aplicaciones de terceros pueden adoptar CAE a trav\u00e9s de la biblioteca de autenticaci\u00f3n de servicios de Microsoft.11<\/sup><\/p>\n Por Flavio Borquez Tarff<\/p>\n Si bien cerrar la ventana de reproducci\u00f3n del token es un gran paso adelante, tambi\u00e9n trabajamos para asegurarnos de que nunca se abra en primer lugar a trav\u00e9s de una nueva capacidad llamada Protecci\u00f3n de token.12 <\/sup>Esto agrega una clave criptogr\u00e1fica a los tokens emitidos que impide que los atacantes los reproduzcan en un dispositivo diferente, que es como tener una tarjeta de cr\u00e9dito que se desactiva de manera instant\u00e1nea si alguien se las roba de la billetera.<\/p>\n Como primer paso, agregamos esta capacidad para sesiones de inicio de sesi\u00f3n en Windows (versi\u00f3n 10 o posterior). M\u00e1s adelante, ampliaremos esta capacidad a otras plataformas y abordaremos m\u00e1s escenarios de Windows, como sesiones de aplicaciones y cookies de carga de trabajo.<\/p>\n Un nuevo tablero para ayudar a cerrar las brechas en las pol\u00edticas<\/p>\n Las nuevas protecciones de identidad descritas antes son solo una parte de lo que est\u00e1 disponible para crear pol\u00edticas granulares de acceso condicional. Para ayudarlos a encontrar \u00e1reas vulnerables en su entorno, hemos agregado un panel de informaci\u00f3n general a la hoja de acceso condicional de Microsoft Azure Active Directory que resume su postura de pol\u00edtica, identifica usuarios y aplicaciones desprotegidos, brinda informaci\u00f3n y recomendaciones sobre la cobertura de acceso condicional seg\u00fan la actividad de inicio de sesi\u00f3n y les ayuda a investigar el impacto de pol\u00edticas individuales. Esto los ayudar\u00e1 a identificar de manera m\u00e1s r\u00e1pida d\u00f3nde necesitan aplicar mejor los principios de Zero Trust, para que puedan fortalecer sus defensas.<\/p>\n La buena gobernanza de permisos y la protecci\u00f3n contra el compromiso de la identidad son estrategias esenciales para mantener seguros a su personal y sus recursos.<\/p>\n Conozcan m\u00e1s<\/p>\n