Google neutraliza el ‘phishing’ dirigido a sus empleados

Key Security Google

Google comenzó a implementar a principios de 2017 el sistema de acceso mediante claves físicas para todos sus empleados, en sustitución a las típicas contraseñas y códigos de un solo uso y parece haber resultado muy positivamente en lo que se refiere a seguridad. Como desvela al medio Krebs on Security, el uso de dispositivos basados en USB que requieren que el usuario inicie sesión en un equipo compaginando una contraseña junto a un dispositivo móvil, ha permitido eliminar las prácticas de phishing entre sus empleados. La compañía aboga por este tipo de soluciones frente a otras alternativas de autenticación de doble factor (2FA) que no requieren de uso de dispositivo físico.

Así, un portavoz de Google destaca que no tienen constancia de notificaciones de incidencias relacionadas con las cuentas de acceso a los servicios de Google. La compañía apuesta por el uso de claves de seguridad basadas en dispositivos USB, como la llave mostrada en la fotografía conocida como YubiKey. Desarrollada por Yubico, el modelo básico presenta un coste insignificante para una gran organización de menos de 20 dólares. Así, a los empleados se les puede solicitar que se autentiquen usando su clave de seguridad para muchas aplicaciones o que confirmen con un nuevo código que reciben en otro dispositivo. “Todo depende de la sensibilidad de la aplicación y del riesgo que presente el usuario en cada momento en función de las garantías que presente el dispositivo desde el que se conecta y el entorno en el que lo hace”, argumenta el portavoz de la compañía. No es lo mismo conectarse desde una red interna de una organización, a hacerlo a través de una red Wifi de un aeropuerto que pueda estar expuesta a sniffers.

Estos sistemas adoptados cuentan con otra ventaja adicional: en el supuesto caso de que los ladrones logren engañar o robar una determinada contraseña, no podrán iniciar sesión en su cuenta a menos que también pirateen o posean este segundo factor que en este caso es una llave USB física. Previamente a esta modalidad, los empleados de google confiaban sus cuentas y servicios a códigos de un solo uso generador aleatoriamente por una aplicación móvil conocida como Google Authenticator.

Por el contrario, una clave de seguridad como la utilizada en la actualidad implementa una forma de autenticación multifactor conocida como Universal 2nd Factor (U2F) , que permite al usuario completar el proceso de inicio de sesión simplemente insertando el dispositivo USB en la ranura de su equipo y presionando un botón en el dispositivo. La clave funciona sin necesidad de ningún controlador de software especial. Para utilizarla con dispositivos móviles, también existen llaves inalámbricas que se conectan al móvil o tableta a través de Bluetooth o Wifi.

U2F es un estándar emergente de autenticación de código abierto y, como tal, solo un puñado de sitios de alto perfil lo admiten en la actualidad, incluidos servicios como Dropbox, Facebook o Github, además de los servicios de Google. La mayoría de los administradores de contraseñas ya son compatibles con U2F. También lo son con las últimas versiones de los navegadores de Chrome, Mozilla Firefox y Opera. En este sentido, Chrome se conecta directamente al hardware USB para generar la respuesta criptográfica de manera que solo la sesión del navegador Chrome conectada al dispositivo USB podrá autenticarse.

Microsoft destaca que espera implementar actualizaciones en su navegador Edge para soportar U2F a lo largo de este año. En el caso de Apple y su ecosistema, todavía no ha confirmado si admitirá el estándar en su navegador Safari o lo utilizará para su sistema operativo que será lanzado en septiembre.

En líneas generales, valerse de la recepción de mensajes SMS y llamadas telefónicas para recibir un token es menos seguro que confiar en una aplicación de token de software como Google Authenticator o Authy. Esto se debe a que los ladrones pueden interceptar ese código único engañando a su proveedor de servicios móviles para que intercambie la tarjeta SIM de su dispositivo móvil o transfiera su número de móvil a otro dispositivo. Sin embargo, si las únicas opciones de 2FA que ofrece un sitio frecuentado son llamadas de SMS o llamadas telefónicas, es mejor confiar en una contraseña. Algunas otras empresas optan por implantar alternativas también válidas entre sus empleados para detectar y evitar el phishing, como las soluciones de tarjetas de identificación con un certificado personal integrado en un chip inteligente que admite NFC asociado a lectores inteligentes.

to en Fuente: