¿Qué podría haber evitado el hacking masivo de Twitter de 2020?
Los hackers responsables del ataque de hace unos meses pudieron vulnerar los sistemas backend de Twitter. Robaron credenciales del canal Slack de empleados privados de la plataforma de redes sociales. Una vez dentro de los sistemas de Twitter, los atacantes pudieron hacerse cargo de al menos 103 cuentas. Además, descargaron los datos personales de al menos 8 cuentas.
“Un informe del New York Times no confirmado por Twitter dijo que los hackers violaron las cuentas de Slack de los empleados. Ahí encontraron credenciales para el backend de Twitter dentro de un canal de Slack”
A la luz de este ataque sin precedentes, tenemos que hacernos algunas preguntas serias: ¿qué estaban haciendo las credenciales de inicio de sesión en el canal público de Slack en primer lugar? ¿Por qué se publicaron allí públicamente para facilitar el acceso? ¿Cómo consiguieron los hackers acceder al Slack de Twitter? ¿Se robaron esas credenciales a un empleado en un ataque avanzado de ingeniería social?
Si hay algo que es seguro, es que las contraseñas son intrínsecamente inseguras y nos fallan. A pesar de los riesgos de seguridad conocidos, incluso las empresas más grandes del mundo todavía luchan por hacer cumplir la higiene adecuada de contraseñas.
Entonces, ¿por qué empresas como Twitter siguen utilizando contraseñas como medio para acceder a sus sistemas de backend? Sobre todo, cuando hay en el mercado soluciones de autenticación biométrica multifactor para la fuerza laboral
Para evitar ataques e infracciones desastrosas, las empresas deben dejar de usar contraseñas de inmediato para autenticar a los empleados. Deben comenzar a adoptar la autenticación biométrica multifactor (MFA) como un arma para poner fin de forma permanente a los ataques causados por credenciales comprometidas.
¿Por qué la autenticación biométrica multifactor habría detenido el ataque de Twitter?
1. Sin contraseñas, no hay nada que robar, perder o recordar
La autenticación biométrica de múltiples factores puede ayudar a proteger los sistemas corporativos al eliminar por completo el error humano de la ecuación. A diferencia de las contraseñas, la biometría no se puede robar, falsificar o suplantar fácilmente. La biometría tampoco se puede compartir entre varios usuarios, escribir y publicar en línea, ni olvidar.
Si Twitter (y Slack) estuvieran usando la autenticación biométrica de múltiples factores, todo el ataque podría haberse frustrado. Esto le habría ahorrado a Twitter y Slack sus respectivas reputaciones, y a los usuarios de Twitter cientos de miles de dólares.
2. La MFA biométrica puede evitar que los malos actores se muevan a través de una red
Las soluciones de autenticación biométrica multifactor permiten una autenticación perfecta y segura que interrumpe mínimamente el flujo de trabajo y la experiencia del usuario. Esto significa que la MFA biométrica se puede utilizar para establecer estrictos controles de acceso. Estrictos controles para los usuarios, asegurando que solo las personas adecuadas tengan acceso a los sistemas adecuados en el momento adecuado.
En el ataque, una vez que el hacker obtuvo acceso a los sistemas de Twitter a través de las credenciales comprometidas que encontró hizo de la suyas. Pudieron moverse libremente a través de la red hasta encontrar una manera de hackear las cuentas de usuarios prolíficos.
La capacidad del pirata informático para moverse a través de la red indica que Twitter no estaba usando MFA. Esto para asegurar el acceso de los empleados en múltiples puntos de entrada a sus sistemas corporativos.
Los controles de acceso garantizan que los empleados de nivel inferior no puedan moverse a través de una red. Esto significa que, si un solo conjunto de credenciales de inicio de sesión se ve comprometido, un hacker no puede hacer mucho. No puede usarlas para moverse libremente dentro de una red hasta que encuentre datos sensibles y privados.
Tener verificaciones biométricas de MFA en cada punto de acceso en el sistema de Twitter habría evitado que el atacante se moviera lateralmente. No se hubiese podido desplazar a través de la red de Twitter, lo que les habría impedido vulnerar múltiples sistemas.
3. La autenticación biométrica de múltiples factores proporciona mayor seguridad que la autenticación de dos factores
¿Por qué la autenticación de dos factores de Twitter no detuvo el ataque?
La respuesta corta es obvia: la solución 2FA de Twitter todavía se basa en contraseñas, que son inherentemente inseguras.
Twitter utiliza soluciones 2FA que combinan contraseñas (algo que solo el usuario debe saber) y códigos de un solo uso. Estos son códigos enviados al teléfono del usuario mediante SMS o push o la dirección de correo electrónico del usuario. Esto para autenticar sus usuarios.
El problema con las soluciones 2FA que dependen en parte de las contraseñas es que la mitad de toda la solución no es confiable. Si una contraseña se ve comprometida o se comparte voluntariamente entre personas, todo lo que un hacker debe hacer es comprometer el dispositivo. También puede comprometer las cuentas de correo electrónico del usuario para evadir la 2FA. Desafortunadamente, esto se hace fácilmente si las contraseñas del usuario para estas cuentas también se han visto comprometidas.
Los códigos de un solo uso (la segunda mitad de las soluciones 2FA) enviados por mensaje de texto o correo electrónico tienen sus propios riesgos de seguridad. Si una cuenta de correo electrónico o un número de teléfono se ha visto comprometido sin el conocimiento de la víctima ya no hay seguridad. Es totalmente posible evitar la seguridad de 2FA.
Si una cosa es cierta: la autenticación biométrica multifactor habría detenido el hacking de Twitter
Las soluciones de autenticación biométrica multifactor dependen de que el usuario demuestre quién es a través de su biometría única. Es decir, algo que no se puede robar o falsificar fácilmente). Además, requiere la prueba de que tiene su dispositivo registrado (solo iniciando sesión en cuentas desde estos dispositivos). Con MFA biométrico, los métodos fiables y sólidos para autenticar usuarios son fundamentalmente más seguros que las soluciones 2FA. Esto porque dependen de métodos de autenticación intrínsecamente inseguros.
Para evitar hackings para siempre, la MFA biométrica también debe ser universal y debe mejorar de la privacidad
Si bien la biometría elimina el error humano de la ecuación de ciberseguridad, no son necesariamente inmunes a ser vulnerada. Por ello es fundamental que las soluciones de autenticación biométrica multifactor también mejoren la privacidad.
Se debe usar biometría multimodal con tecnología que mejore la privacidad para proporcionar una solución de autenticación sin contraseña, segura y que mejora la privacidad.
La tecnología de este tipo debe evitar el movimiento no autorizado a través de los sistemas privados de una empresa. Esto protege de amenazas como el hacking de Twitter, donde un usuario no autorizado causó estragos simplemente al tener un conjunto de credenciales comprometidas.
Conclusión
La autenticación biométrica multifactor nos permite cerrar la brecha entre seguridad, privacidad y conveniencia. Al aprovechar las soluciones biométricas, las organizaciones pueden ofrecer una experiencia de autenticación perfecta y una seguridad poderosa. De este modo, se pone fin de forma permanente a los ataques y amenazas provocados por credenciales comprometidas o débiles.
Si las empresas quieren evitar futuros ataques y hackeos a gran escala como el hack de Twitter, deberían buscar deshacerse de las contraseñas para siempre. Es hora de que las compañías y las empresas de tecnología adopten la autenticación sin contraseña para proteger los sistemas corporativos. Deben implementar controles de acceso y proteger a sus usuarios.
Si no lo hacen, se dejarán a sí mismos y a sus usuarios vulnerables a estafas, violaciones de la privacidad, fraude y robo de identidad.