La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) añadió el lunes la autenticación de factor único a la breve lista de prácticas de ciberseguridad «excepcionalmente arriesgadas» que podrían exponer las infraestructuras críticas, así como las entidades del gobierno y del sector privado, a ciberataques devastadores.
La autenticación de factor único es un método para iniciar la sesión de los usuarios en sitios web y sistemas remotos utilizando sólo una forma de verificar su identidad, normalmente una combinación de nombre de usuario y contraseña. Se considera de baja seguridad, ya que depende en gran medida de «la coincidencia de un factor -como una contraseña- con un nombre de usuario para acceder a un sistema».
Sin embargo, dado que las contraseñas débiles, reutilizadas y comunes suponen una grave amenaza y se convierten en un lucrativo vector de ataque, el uso de la autenticación de un solo factor puede suponer un riesgo innecesario de compromiso y aumentar la posibilidad de que los ciberdelincuentes se hagan con las cuentas.
Con la última novedad, la lista de malas prácticas abarca ahora
- Uso de software no soportado (o al final de su vida útil)
- Uso de contraseñas y credenciales conocidas/fijas/por defecto, y
- Uso de la autenticación de factor único para el acceso remoto o administrativo a los sistemas
«Aunque estas Malas Prácticas deben ser evitadas por todas las organizaciones, son especialmente peligrosas en organizaciones que apoyan Infraestructuras Críticas o Funciones Críticas Nacionales», dijo CISA.
«La presencia de estas Malas Prácticas en organizaciones que apoyan Infraestructuras Críticas o Funciones Críticas Nacionales es excepcionalmente peligrosa y aumenta el riesgo para nuestras infraestructuras críticas, de las que dependemos para la seguridad nacional, la estabilidad económica y la vida, la salud y la seguridad del público», señaló la agencia.
Además, CISA está estudiando la posibilidad de añadir otras prácticas al catálogo, entre ellas
- Uso de funciones criptográficas o tamaños de clave débiles
- Topologías de red planas
- Mezcla de redes IT y OT
- Todo el mundo es administrador (falta de privilegios mínimos)
- Utilización de sistemas previamente comprometidos sin saneamiento
- Transmisión de tráfico sensible, no cifrado/no autenticado, a través de redes no controladas, y
- Controles físicos deficientes
Espero que les sirva de ayuda esta nueva medidas.