¿Cree que tiene cubierta la seguridad de su identidad? Piénselo con detenimiento...

Según el informe 'Cost of a data breach 2022' de IBM, las credenciales robadas son las responsables de casi una quinta parte (19 %) de las vulneraciones de datos y cada una de estas vulneraciones tiene un coste medio de entre 4,4 y 9,4 millones de dólares. Asimismo, un informe de Verizon, titulado 'Data breach investigations 2022' destaca que los tipos de datos que más se vulneran en un ataque de phishing son las credenciales y los datos personales. Históricamente, la seguridad de la identidad ha sido un área que ha ocupado un lugar en segundo plano. Las prioridades tradicionales se centran en el refuerzo del perímetro de red con un enfoque de “castillo fortificado”. Este tipo de enfoque de seguridad era adecuado cuando los recursos de las empresas estaban radicados únicamente en las redes corporativas. Sin embargo, en un mundo basado en unos entornos de TI orientados hacia la nube, la seguridad de la identidad se ha convertido en un elemento que hay que tomarse mucho más en serio. De hecho, actualmente muchos recursos empresariales se encuentran en la nube y las empresas utilizan aplicaciones web, servidores en la nube, sistemas de almacenamiento de archivos digitales, y más. Por desgracia, en este mundo conectado, la estrategia de “castillo fortificado” sencillamente no es suficiente.

Afortunadamente, las empresas empiezan a ser conscientes de las amenazas que hay para la seguridad de la identidad y a admitir que tienen que adaptar, cambiar y modernizar sus prácticas de ciberseguridad.

Por ejemplo, Gartner calcula que en 2025 más del 40% de las organizaciones usarán los análisis y la información de la gobernanza y la administración de la identidad (IGA) para reducir los riesgos de seguridad de sus recursos de administración de identidades y accesos (IAM). La firma de analistas también prevé que 7 de cada 10 nuevas implementaciones de gestión, gobernanza y administración del acceso y de acceso privilegiado serán plataformas convergentes de IAM.

Esto es especialmente interesante, ya que las estrategias de seguridad de la identidad suelen centrarse en un triángulo de soluciones de gobernanza y administración de la identidad (IGA), de gestión del acceso con privilegios (PAM) y los mecanismos de autenticación MFA y SSO:

Normalmente, las organizaciones que tienen cubiertos estos tres elementos esenciales creen que han desarrollado una estrategia de seguridad sólida, segura y eficaz, pero no siempre es así.

En realidad, casi toda la seguridad de la identidad está vinculada con Microsoft Active Directory (AD), que es el principal almacén de identidades que usan la mayoría de las empresas de todo el mundo. El AD se encuentra en el centro del triángulo de la identidad y proporciona las bases que permiten confiar en las identidades. Si el AD no es seguro, tampoco lo serán ninguno de los tres lados del triángulo.

Un aspecto muy importante que hay que tener en cuenta es que AD es una herramienta antigua, que se desarrolló hace 20 años con el fin de priorizar la comodidad y la facilidad de funcionamiento. Por lo tanto, AD no está preparado para combatir los sofisticados ciberataques actuales. Se diseñó para proporcionar una manera sencilla de gestionar y supervisar a un gran número de usuarios y para permitir que estos accedieran a los recursos como y cuando fuera necesario. Esta antigüedad hace que AD sea un objetivo increíblemente atractivo para los atacantes.

Además, AD es ignorado con demasiada frecuencia por las aplicaciones de ciberseguridad, lo que genera una enorme vulnerabilidad latente, que atacantes pueden manipular cuando quieren.

El problema principal, sobre todo en los últimos años, es que las empresas no son conscientes de ello. Incluso las organizaciones que se pasan a la nube no están a salvo de las vulnerabilidades de AD. Nueve de cada diez veces, Azure Active Directory (Azure AD) obtiene los permisos del AD local, que sigue siendo la principal fuente de información para la mayoría de las organizaciones. Los atacantes pueden y de hecho usan AD para vulnerar Azure AD — y viceversa.

Como toda la identidad está vinculada a AD, es imprescindible mejorar la ciberresiliencia y la visibilidad. Hay cuatro sencillos pasos que todas las empresas deberían seguir para proteger mejor su AD:

1. Análisis. En primer lugar, las organizaciones tienen que trabajar para entender la posición de seguridad de su AD y para saber si hay cualquier indicador de exposición al riesgo o de peligro. Por suerte, existen herramientas comunitarias que pueden ayudar a llevar a cabo esta tarea. Ofrecen una perspectiva del nivel de madurez de la seguridad de AD, ya que permiten conocer una serie de datos clave, como los errores de configuración que pueden hacer que AD sea vulnerable a los atacantes o los indicios de que los autores de la amenaza ya han vulnerado el entorno.
2. Copias de seguridad. Las empresas tienen que establecer unos procesos de copia de seguridad de AD que puedan probarse. En muchos casos se realiza una copia de seguridad del AD a diario o semanalmente, pero esta estrategia genera dos graves problemas: en primer lugar, en una red pueden producirse decenas de miles de cambios cada día y esos cambios pueden perderse si se vulnera la seguridad. En segundo lugar, las empresas rara vez prueban sus procesos de copia de seguridad, por lo que luego son incapaces de ponerlos en marcha en los momentos críticos. Peor aún, la recuperación desde una copia de seguridad del estado del sistema o desde una copia de seguridad de reconstrucción completa puede reintroducir una infección por malware. Para solucionar estos problemas, las empresas tienen que establecer unas copias de seguridad en tiempo real y específicas del AD que permitan unas restauraciones limpias. Estas copias de seguridad permiten una recuperación rápida y sin problemas, que puede ponerse a prueba y ensayarse.
3. Monitorización. Después del análisis y una vez establecidas las copias de seguridad, las organizaciones pueden tomar medidas para mejorar el estado del AD. El hecho de supervisar el AD a lo largo del tiempo puede ayudar a entender cómo cambian los niveles de riesgo y exposición. ¿Los cambios más importantes permiten que la empresa mantenga una posición de seguridad sólida y conocida? La supervisión y la revisión continuas pueden ayudar a responder estas preguntas y a mantener una posición de seguridad fuerte.
4. Pruebas. No se debe realizar nunca pruebas de seguridad con un AD de producción en vivo. De la misma manera que uno no efectuaría pruebas con sus aplicaciones de producción en vivo a la hora de lanzarlas, las organizaciones tienen que crear un entorno de AD de espejo y por separado para llevar a cabo las pruebas y evitar los periodos de inactividad injustificados.

Estos pasos son más importantes que nunca. La seguridad del AD es un aspecto crítico de cualquier estrategia de protección de la identidad. Cuando una organización modernice sus recursos informáticos, siempre tiene que empezar por el AD. Es posible que no sea nuevo o muy atractivo, pero el AD es una aplicación esencial. Si el AD no funciona, nada funcionará.