Por. Adrián Castillo, ingeniero de preventa en HID
Por lo general cuando se publican titulares relacionados con ataques cibernéticos, dentro del imaginario colectivo se da por hecho que la víctima fue una compañía grande, pero sus contrapartes, las pequeñas y medianas empresas (pymes), son igualmente vulnerables.
En Latinoamérica existen alrededor de 27 millones de pymes, de las cuales el 25 % ha sufrido incidentes de ciberseguridad. Como resultado, las pérdidas ascienden a USD$155 mil millones solo en 2022, según Kapersky Lab, compañía de seguridad informática.
De acuerdo con Cybersecurity Magazine, el 43 % de las violaciones de datos se dirigen contra las pymes, y solo el 14 % considera que su capacidad de mitigación de riesgos es eficaz. De igual forma, el 43 % no tiene ningún plan implementado y el 52 % acepta no contar con expertos en seguridad de TI. Además, el 83 % aseguran no estar preparadas económicamente para recuperarse en caso de un ciberataque.
Investigadores de Kapersky Lab, descubrieron que en Latinoamérica el Troyano-PSW (Password Stealing Ware), malware que roba contraseñas y permite obtener acceso a la red corporativa, afectó a miles de pymes ubicadas en todos los países de la región, principalmente en México, Brasil y Colombia.
Informaron también, que otra herramienta que utilizaron contra las pymes latinoamericanas fueron los ataques de Internet:se trata de páginas web que redirigen a los usuarios hacia sitios que contienen exploits (programas maliciosos que tienen códigos ejecutables capaces de aprovecharse de una o más vulnerabilidades en el software local o remoto del PC).
Pues bien, actualmente existe una solución para proteger a las pymes, con la cual el 90 % de los ciberataques podrían prevenirse: la autenticación de múltiples factores, (AMF, por sus siglas en inglés).
Introducción a la autenticación de múltiples factores
El concepto de AMF es simple: en lugar de usar un solo factor de autenticación, como una contraseña independiente, por ejemplo, las soluciones AMF verifican la identidad del usuario mediante una combinación de factores: una tarjeta inteligente, clave de seguridad, token OTP, PIN, huella digital o reconocimiento de voz, entre otras.
Las combinaciones para su implementación son numerosas, pero una de las más comunes incluye una contraseña conectada a un nombre de usuario, seguida de un código de verificación enviado por correo electrónico o mensaje de texto. Esta perspectiva garantiza que un usuario sea realmente quien dice ser, evitando que los delincuentes accedan a datos confidenciales almacenados en una red compartida, por ejemplo.
La implementación de la tecnología AMF dentro de las pymes protege de una mejor manera los recursos críticos, tales como:
- Bases de datos y aplicaciones
El acceso a las bases de datos, incluida la nómina, los registros de los empleados y los números financieros, se pueden proteger mediante tarjetas inteligentes, claves de seguridad, tokens de contraseña de un solo uso (OTP) o autenticadores móviles como un segundo factor de verificación al iniciar sesión.
- Computadores y dispositivos móviles de los empleados
Con empleados teletrabajando y usando diferentes dispositivos, la tecnología AMF puede ayudar a estos, agregando una segunda capa de autenticación a la contraseña por medio de una llave de seguridad o una tarjeta inteligente.
- Dispositivos multiusuario
Para las organizaciones que usan estaciones de trabajo compartidas, la AMF permite a esos empleados iniciar sesión de manera fácil y segura en computadores y dispositivos compartidos.
- Redes y Servidores
Dado que las redes son una de las áreas más atacadas por los ciberdelincuentes, las VPN y los servidores facilitan que los usuarios accedan de manera segura, incluso cuando usan una pública.
A pesar de la existencia de estas múltiples alternativas de protección, la pregunta que cabe es ¿por qué más de la mitad de las pymes aún no aprovechan los beneficios de la AMF?
Obstáculos para la adopción de la AMF
Aunque la AMF ofrece una solución sencilla para reducir el riesgo de ataques cibernéticos, es comprensible que los pequeños y medianos empresarios no cuenten con esta tecnología debido a los compromisos financieros y presupuestos que a menudo son limitados, entre otras razones ajenas a los temas monetarios.
Según el Cyber Readiness Institute (Instituto de preparación cibernética), cuando se profundiza en los detalles existen tres barreras básicas para la no implementación.
La primera es la falta de conocimiento, dado que el 55 % de las pymes permanecen desprotegidas porque simplemente desconocen los beneficios que la AMF trae para su organización.
Seguidamente se encuentra la comprensión limitada, puesto que el 30 % de los propietarios de pequeñas y medianas empresas indicó que no la implementa porque no sabe cómo usarla. Además de la funcionalidad básica, hay una variedad de opciones de AMF a considerar, incluida una gama de configuraciones que se pueden utilizar para satisfacer mejor las necesidades de una organización.
La tercera barrera es la inconveniencia percibida. En ese sentido, el 20 % de las pymes cree que la AMF es demasiado inconveniente, cuando en realidad el concepto es muy familiar.
¿Cómo las pymes pueden implementar la AMF?
Dentro del panorama de crecientes amenazas, las pymes deben encontrar maneras de protegerse mejor a sí mismas y a su información confidencial. La AMF permite aumentar la seguridad y la comodidad de manera rápida y sencilla.
Por ejemplo, su implementación permite a estas organizaciones eliminar la dependencia de las contraseñas, lo que no solo incrementa la seguridad, sino que también mejora la experiencia del usuario. Además, facilita un entorno de trabajo remoto y/o híbrido confiable, para que los empleados puedan acceder de forma segura a las informaciones necesarias desde una variedad de ubicaciones y dispositivos.
Entonces, ¿qué deben saber los encargados para encontrar la solución y el proveedor de tecnología adecuados?
En primer lugar, se debe tener en cuenta la facilidad de uso. La solución de AMF adecuada debe ofrecer una variedad de métodos de autenticación, pero también debe ser fácil de adoptar y usar en toda la organización.
Después, es fundamental determinar la mejor combinación de métodos de autenticación y configuraciones básicas. Algunos proveedores ofrecen solo una pequeña selección, lo que puede atarlo a opciones que no satisfacen las necesidades particulares.
- Soluciones PTT PoC: La Revolución de las Comunicaciones en Tiempo Real
- Tecnologías Avanzadas para la Prevención de Incendios en Instalaciones Críticas: Innovaciones y Tendencias 2023
- Mantenimiento de Sistemas de Seguridad Industrial: Guía Completa para Optimizar la Seguridad y Eficiencia
- Guía Completa para Optimizar la Seguridad Personal en Vehículos Blindados
- Radios DMR: La Solución Ideal para Comunicaciones Críticas en el Sector Minero
Luego se debe tener en cuenta la fácil implementación y administración. Algunas soluciones pueden tardar meses en implementarse, dado que requieren de una amplia capacitación y nuevos códigos de instalación. Se debe buscar una solución que esté lista en pocos días.
Que sea una solución completa. Cualquier solución de AMF debe proporcionar seguridad integral en todos los activos, incluidos los PCs, dispositivos móviles, aplicaciones y redes.
Asimismo, asegurarse de encontrar un proveedor que cumpla con los estándares de la industria, incluida la protección de datos como GDPR (Reglamento General de Protección de Datos) y CCPA (Ley de Privacidad del Consumidor de California), es fundamental.
Por último, se debe tener presente la adaptabilidad. A medida que crece la empresa, las necesidades de seguridad también lo harán. El proveedor debe permitir escalar y ajustar en consecuencia.
Liderar y hacer crecer una pyme es un gran desafío. Afortunadamente, la adopción de la AMF proporciona una red de seguridad que controla a los ciberdelincuentes, cuida la reputación de la empresa y ayuda a proteger los resultados.
*Adrián Castillo es un ingeniero de preventa en HID, cuenta con más de 20 años de experiencia en los campos de infraestructura crítica pública, administración de identidades y protocolos de autenticación para empresas y la nube. Él ha estado implicado en la integración de infraestructura y aplicaciones, que van desde lo nativo, pasando por la web, hasta lo móvil. A través de los años, Castillo ha desempeñado roles en servicios profesionales, manejo de productos e ingeniería, donde ha administrado varios proyectos de innovación para traer valor agregado a los clientes. Adrián es parte del equipo de HID, trabajando con la alianza FIDO para incrementar la seguridad online, reduciendo la dependencia que tiene el mundo en las contraseñas.