En nuestros días poder tener la garantía que nadie tiene acceso a tus servicios en Internet es algo que se valora cada día más, pero que desafortunadamente las cifras evidencian que esta garantía no siempre se tiene asegurada, sobre todo en el correo electrónico.

Siendo el correo electrónico la principal arma de ataque de los grupos de delincuentes, donde el 94% del malware que se envía en un día, usa este mecanismo para propagarse, generando perdidas muy importantes en las empresas, como lo demuestra el estudio de  IC3 (Internet Complaint Center) en el 2020 los ataques de BEC (Business Email Compromise) y EAC (Email Account Compromise) generaron pérdidas por $1800 Millones de Dólares en el 2020. El estudio de GreatHorn en el 2021 evidencia un crecimiento en ataques que tienen como objetivo comprometer las cuentas, pasando del 8% de los incidentes en el 2020 al 10% de los incidentes en el 2021.

Esto llevo a una de las empresas más grandes de la tecnología a en Mayo de 2021 a publicar en su voz oficial que el futuro de su plataforma será sin contraseñas. Esta empresa fue Google, que en conjunto con esta publicación hizo un cambio en la plataforma forzando a los usuarios a usar el 2FA (Doble Factor de Autenticación), lo cual desde 2016 hemos estado promoviendo y trabajando en Telefónica.

Esta medida ha mostrado frutos en menos de un año, como lo ha mostrado en el día del Internet seguro en el blog oficial de Google, indicando que las cuentas comprometidas en ataques cibernéticos se redujeron en un 50% tras la aplicación de esta medida simple.

Como siempre en seguridad nada ni nadie puede garantizar que no se pueda comprometer las cuentas que tienen habilitado el 2FA, incluso se han publicado hasta 5 métodos de romper la seguridad de esta medida, incluso una afecta directamente el control más robusto que ofrece Google, que son las llaves seguridad titan.

A pesar de esto, la medida mitiga casi en su totalidad los ataques directos a las cuentas de correos empresariales, los cuales no solo se ven afectados por intentos de phishing sino por las fugas de información, aumentando la probabilidad de que la contraseña sea comprometida y usada en ataques más dañinos para las empresas como el Ransomware.

La simple medida del 2FA se puede aplicar en casi todos los servicios que usamos en internet, como redes sociales, correos electrónicos, billeteras de criptomonedas, plataformas de pago y otros. Además, existen varias formas de aplicar esta medida, como las siguientes:

• Los SMS: Este es el método usado por varios servicios, pero es el menos seguro de los sistemas de 2FA, porque los SMS no fueron diseñados para autenticar al usuario, sino que se asocia con el identificador del móvil y es muy factible a ataques de SIM Swap.
• El correo electrónico: Este método es muy útil para servicios a los que se accede desde un dispositivo diferente a donde se tiene el correo, con el fin de agilizar la carga de código enviado. Aunque es más confiable hay que tener en cuenta que los ataques de terceras partes suelen acceder a correo para obtener estos códigos.
• Aplicación de Autenticación: Al basarse en un protocolo y garantizar la autenticación del usuario al acceder al dispositivo, es uno de los mecanismos más seguros en sus formas de TOTP (Time based One Time Password) y en HOTP (Hash based One Time Password) y existen varias aplicaciones móviles que pueden usar para esto, como LATCH e integrar en estas todas las cuentas de servicios en Internet.
• Llaves Físicas: Sin duda es el mecanismo más seguro pues si no se coloca el hardware en el equipo donde se va a usar el servicio, no es posible acceder a los servicios.

Sin duda cualquiera de los métodos que se use, sirve para mejorar la seguridad de todos los servicios en línea a los que estén inscritos y mitiga ataques empresariales.

Diego Samuel Espitia

Security Senior Research

Telefónica Tech

Colombia