Muchos de los conceptos de ciberseguridad son complejos y a menudo difíciles de explicar a públicos profanos. Por ello, a los responsables de seguridad puede resultarles complicado transmitir la urgencia y obtener el apoyo necesario por parte de las partes interesadas en proyectos importantes. Uno de esos conceptos puede ser el de las identidades y concretamente en cómo las principales iniciativas que muchas empresas españolas han iniciado respecto a la digitalización, se han traducido en un panorama de amenazas a las identidades que en su mayoría carece de seguridad.

La sensibilización de las empresas y consumidores acerca de la importancia de una identidad digital segura, tanto personal como profesionalmente, puede calificarse como “deuda”, un concepto tan conocido como temido.  

Una ciberdeuda que surge de iniciativas como el teletrabajo o el trabajo híbrido, los nuevos servicios digitales para clientes y ciudadanos y la migración a la nube. Todas ellas han provocado una explosión de identidades humanas y máquinas que ascienden a cientos de miles por organización. De hecho, se calcula las identidades de las máquinas se han multiplicado por 45 y ahora superan a las identidades humanas, y la mayoría de estas identidades requiere acceso confidencial para desempeñar su función.

Debido a que la mayoría de estas identidades carece de seguridad, las empresas afrontan las consecuencias de una insegura aceleración digital, incluyendo una mayor exposición a vulnerabilidades y amenazas de ransomware en toda la cadena de suministro de software.

Esta ha sido una cuestión importante para las empresas a lo largo de este 2022: las identidades son un vector de ataque prioritario y aplicar controles de seguridad una vez ocurrido el ataque no corresponde a una política de seguridad responsable. Solo se necesita una identidad comprometida para que un ciberdelincuente externo o interno pueda iniciar una cadena de ataques. La aceleración de iniciativas digitales y por consiguiente el incremento resultante de las identidades digitales, contribuyen a expandir la superficie de ataque.

Los ataques comienzan por la identidad

La identidad es el punto de partida de los ciberdelincuentes a la hora de buscar una entrada efectiva y rápida a un negocio. Las identidades inseguras representan una superficie de ataque en expansión que añade presión a los requisitos normativos de ciberseguridad que las compañías deben cumplir. La seguridad de la identidad constituye un problema cada vez más grande y complicado debido a los cambios que experimentan los entornos IT digitales, y los ciberdelincuentes encuentran continuamente, nuevas formas de alcanzar sus objetivos a través del compromiso de las identidades.

Los atacantes han innovado e invertido para explotar vulnerabilidades. Para ir un paso por delante de ellos es necesario adoptar una mentalidad de “asumir una brecha de seguridad” como punto de partida. El siguiente paso lógico consiste en implementar los principios de Zero Trust con los que poner en práctica este pensamiento defensivo, trabajando para minimizar los movimientos de los atacantes, su acceso a aplicaciones y sistemas y por último, sus probabilidades de éxito.

Una defensa basada en principios de Zero Trust

Por este motivo, la premisa Zero Trust —nunca confiar, siempre verificar—, es vital para toda estrategia prospectiva de ciberseguridad. La Seguridad de las Identidades no es Zero Trust, pero añade principios de Zero Trust a las capas de seguridad clave, tales como gestión de acceso privilegiado, gestión de identidades, la seguridad de privilegios en la nube y la gestión de secretos, con objeto de reducir el riesgo cibernético de manera significativa.

Son muchas las empresas que se han planteado Zero Trust y han invertido en ello. Algunas tendrán inicio de sesión único o autenticación multifactor para determinadas aplicaciones o servicios; muchas otras dispondrán de administración de acceso privilegiado para gestionar y proteger datos y activos críticos avanzando en la dirección correcta. Debemos dirigirnos hacia una práctica completa de Zero Trust, extendiendo el pensamiento “nunca confiar, siempre verificar” y la protección en todos los aspectos del entorno TI: desde aplicaciones comerciales y fuerzas de trabajo distribuido hasta cargas de trabajo en la nube híbrida y durante todo el ciclo de vida de DevOps.

El pronóstico es desalentador, por lo que aconsejamos que las empresas empiecen de manera inteligente. Elaborar un plan de amortización ayudando a identificar áreas de alto riesgo para abordarlas en primer lugar. Normalmente, se empieza estableciendo un plan sólido centrado en las identidades para tratar las amenazas más urgentes, relacionadas con datos y activos críticos y saldando su deuda de la manera más eficaz posible.