Extendiendo Zero Trust al ecosistema de usuarios finales
Share
Por: Gideon Hazam, Tomado de ISACA.org
La confianza está en el centro de cada relación entre una organización y sus usuarios finales. Los clientes eligen las organizaciones con las que hacen negocios basándose en su percepción de la confiabilidad de la organización. Independientemente de si el negocio se lleva a cabo en persona o digitalmente, la confianza a menudo se mide por el desempeño, la historia y la reputación de la organización.
Para abordar estas brechas, las organizaciones deben asegurarse de que los parámetros de seguridad se alineen con un marco de confianza digital, como el Digital Trust Ecosystem Framework de ISACA.
¿Qué es la confianza digital?
La confianza digital es la confianza en la integridad de las relaciones, interacciones y transacciones entre proveedores y consumidores dentro de un ecosistema digital asociado. Esto incluye la capacidad de personas, organizaciones, procesos, información y tecnología para crear y mantener un mundo digital confiable.
ISACA señala que «El objetivo de establecer la confianza digital para una organización es impactar positivamente su relación con sus clientes». Cuando se implementan medidas que mejoran la confianza digital, ayudan a crear un entorno seguro que protege los activos digitales de la organización y los datos de los usuarios dentro del ecosistema digital de la organización.
A diferencia de las interacciones escritas, las interacciones digitales en línea ocurren a través de correos electrónicos, mensajes de texto y sitios web. Varios estudios de la industria concluyen que, ya sea a través de phishing, smishing, suplantación de sitios o spoofing, el usuario final es la principal vulnerabilidad y la superficie de ataque inicial para la mayoría del fraude en línea, la inserción de malware y los ataques de ransomware. Cuando ocurre un ataque, destruye la confianza de los clientes atacados, y el impacto se amplifica y se extiende a muchos otros clientes que se enteran de dichos ataques y temen ser los siguientes.
Enfoques existentes
Con la confianza digital siendo un concepto relativamente nuevo, los enfoques centrados en la empresa son insuficientes. Una vez que se ha establecido la confianza, puede erosionarse fácilmente mediante ataques de phishing y otras formas de suplantación. Mientras que el concepto de confianza cero—nunca confiar, siempre verificar—es fundamental en las prácticas y tecnologías modernas de seguridad de la información, no cubre completamente los múltiples tipos de comunicaciones y transacciones entre clientes y organizaciones que abarca la confianza digital.
Específicamente, los usuarios finales tienen pocas formas efectivas de verificar si pueden confiar en la entidad digital con la que están interactuando, mientras que las organizaciones pueden verificar la identidad de los clientes mediante el uso de contraseñas y autenticación multifactor (MFA). Conociendo esta brecha, las organizaciones intentan educar a los usuarios sobre el riesgo de suplantación, compartiendo estrategias para identificar ataques de phishing.
Los clientes ya están educados sobre las amenazas que enfrentan sus transacciones en línea, pero pocos implementan los pasos complejos necesarios para mantenerse seguros en línea. Buscan que las organizaciones tomen medidas proactivas para proteger sus activos digitales. Además, la conciencia del fraude en línea puede ser contraproducente para una organización, ya que puede crear un síndrome de miedo al phishing. Este fenómeno ocurre cuando los consumidores temen que su información personal y financiera sea comprometida, por lo que eligen no participar en las comunicaciones digitales y el comercio electrónico. Esto puede afectar negativamente la efectividad de las campañas publicitarias digitales y los ingresos en línea.
Al comunicarse con sus usuarios, muchas organizaciones adoptan el modelo de confianza cero para el acceso de los usuarios finales, implementando a menudo MFA. Muchos tienen la falsa impresión de que al hacerlo también se protegen de la suplantación porque MFA no funciona con un sitio de suplantación. Sin embargo, los ciberatacantes sofisticados han aprendido a eludir MFA con métodos como el two-factor relay y los dominios de corta duración, que son dominios falsos que permanecen activos durante no más de varias horas.
El software antiphishing, también ampliamente utilizado, se basa en listas negras que no se actualizan en tiempo real, sino cuando se descubre una nueva fuente de phishing. Estas listas negras no pueden seguir el ritmo de las amenazas que emergen y evolucionan constantemente.
Los ataques de smishing que utilizan comunicaciones por mensaje de texto se utilizan cada vez más para dirigir a los usuarios finales desprevenidos a sitios fraudulentos y pantallas de inicio de sesión.
Para combatir estos ataques, la identificación y eliminación de sitios sospechosos también es empleada comúnmente por las empresas de inteligencia de amenazas. Los problemas con este método son el retraso en el tiempo y la integridad. Este método no puede identificar todos los sitios falsos, ya que se basa principalmente en encontrar dominios con nombres similares, mientras que los atacantes a menudo utilizan URL no descriptivas. Un ataque puede ocurrir en el tiempo entre que la organización solicita la eliminación del sitio falso y la eliminación efectiva del mismo.
El efecto de los enfoques ineficaces
Independientemente del método utilizado, los ataques tienen éxito al desviar a los usuarios hacia sitios web falsificados y fraudulentos donde se roban su información personal, financiera y sus credenciales de inicio de sesión. Esta información se utiliza posteriormente para robar dinero, ejecutar fraudes, robar identidades y perpetrar muchos otros tipos de estafas. Esto resulta en un daño tanto para los consumidores que fueron atacados como para la organización con la que interactuaron. Las organizaciones a menudo se ven obligadas a gastar tiempo investigando los ataques reportados, verificando los daños a los clientes y reembolsando a los clientes defraudados en cantidades y frecuencias cada vez mayores, ya sea directamente o indirectamente a través de descuentos.
Además, se ha vuelto común que los legisladores promulguen regulaciones que responsabilizan a las organizaciones de tomar acciones proactivas para proteger a sus clientes. Los ciberataques erosionan la confianza digital de los clientes defraudados y de aquellos que se enteran de estos ataques, incluidos los legisladores, afectando negativamente la relación de confianza esencial con la marca.
Los clientes ya están educados sobre las amenazas que enfrentan sus transacciones en línea, pero pocos implementan los pasos complejos necesarios para mantenerse seguros en línea.
Los enfoques de seguridad existentes han demostrado ser inadecuados porque cuando se descubren las amenazas y se toman acciones mitigadoras, el daño ya ha ocurrido en su mayoría. Los clientes que caen en trampas de phishing a menudo culpan a la organización suplantada, lo que puede ser perjudicial para mantener la confianza digital.
Lograr la confianza digital
Para lograr la confianza digital, cualquier enfoque de seguridad debe incluir capacidades en tiempo real, visibilidad total para la organización y sus usuarios finales, y prevención proactiva de daños. Dado que las amenazas continúan evolucionando en sofisticación, las soluciones deben ser igualmente sofisticadas y adaptativas, incorporando inteligencia artificial (IA) cuando sea posible.
Cuando una organización es atacada, idealmente debería tener una capa de seguridad que advierta a sus clientes y les impida ingresar a sitios que están suplantando a la marca. Asumiendo que no todos los ataques se pueden detener en tiempo real, lo que depende de las técnicas específicas utilizadas por los atacantes, el equipo de seguridad de la organización necesita evaluar rápidamente la naturaleza del ataque, el objetivo del ataque y el alcance del daño. Esta información permite al equipo de seguridad implementar una respuesta oportuna para detener el ataque antes de que pueda causar más daño y alertar a los usuarios afectados sobre la amenaza.
Para fomentar la confianza en la legitimidad de la presencia en línea de una organización, debe existir un método para que la organización proporcione una prueba clara a los usuarios finales de que el sitio que están visitando es de hecho una presencia digital auténtica de la marca. Dicha prueba debe ser infalsificable, claramente visible e intuitiva. Debe permitir a los usuarios finales diferenciar inmediatamente los sitios falsos de los auténticos. Esto extiende el modelo de confianza cero de la empresa, lo que mejora significativamente la confianza digital al mostrar a los clientes que la organización está tomando un enfoque proactivo y personalizado para asegurar el ecosistema empresarial.
Actualmente, las únicas formas para que los usuarios finales sepan si un sitio web es legítimo son inspeccionando el ícono de candado junto a la barra de direcciones del navegador y comparando visualmente la URL mostrada con la URL legítima conocida de la organización. Estos métodos son imprácticos e ineficaces, ya que ponen la carga de autenticación en el usuario final.
Para ser efectivo, cualquier enfoque de seguridad debe ser:
- Fácilmente accesible y comprensible para los clientes sin requerir que cambien significativamente su comportamiento o inviertan tiempo en educación.
- Asequible para organizaciones de cualquier tamaño.
- Automático y transparente para los usuarios finales.
- Fácil de implementar y gestionar.
- Independiente pero compatible.