Contraseñas ¿Seguras?

Casi todo el mundo coincide en que las contraseñas no es el mejor mecanismo de protección de la identidad. Es, simplemente, el menos malo, el más fácil de implementar y usar. La protección que ofrece es directamente proporcional al interés y mimo que le ponga el usuario al elegirla. Entonces ¿cómo saber si el usuario hace lo que debe al elegir y usar su contraseña?

Cualquier seguridad por permisiva que sea, cuenta con contraseña. ¡Hasta Windows 95 utilizaba contraseñas!  El inicio de sesión, el correo, la cuenta del banco, el acceso a Facebook, el acceso a… cualquier sitio, hay que poner una contraseña. Y hay que ponerla cuanto más complicada mejor, que de lo que se trata es evitar que otro la pueda averiguar. Es una forma rápida, barata y fácil de proteger la identidad, porque hay que proteger la identidad. Si alguien obtiene las credenciales del correo, ¿qué le impide enviar un mensaje como si fuera el propietario legítimo de esa cuenta? ¿Y cómo puede demostrar el propietario de la cuenta que no ha sido él? Más sencillo, ¿qué pasa si alguien consigue las contraseñas para operar con la cuenta del banco?  Por eso a nadie se le ocurre decirle a otro alguien cuál es su código de acceso para operar en el cajero automático.

Si esto del banco está así de claro para todo el mundo, porque no lo es en lo del ordenador. Y mira que en el ordenador te la pueden “liar parda”. Seguro que se puede lamentar más que el roba de unos cuantos euros. Pero todo esto es más que sabido por todos. Entonces, ¿porque los usuarios eligen tan mal sus contraseñas y, lo peor, se las ceden a otros alegremente?

De lo primero, para que todos y cada uno se lo mire en cuanto pueda. En su cuarto informe anual, SplashData, proveedor de soluciones de seguridad, revela que las contraseñas más utilizadas siguen siendo “123456” y “password”. Otras contraseñas siguen manteniendo su popularidad como “qwerty”, “dragon” o “football”. Estos datos sacados de un muestreo de 3,3 millones de contraseñas filtradas el año pasado sobre víctimas de ataques informáticos. Casi que las pongan por defecto los fabricantes y eso que adelanta el usuario.

Para asegurarse que las contraseñas que eligen los usuarios son robustas solo cabe activar las funciones de ”verificación de complejidad de password”, al estilo Windows, y realizar aleatoriamente ataques de fuerza bruta y diccionario sobre las cuentas de usuario, para darle un tirón de orejas al que se le pille con una contraseña que no debe. Cuidado porque los usuarios se las saben todas y contraseñas como “1qaz2wsx” aparentemente muy robustas, en la práctica son muy débiles. ¿O no?

Pero con las contraseñas, además de que sean buenas, también es importante que se compruebe que se hace un buen uso de ellas. Puedo elegir la mejor contraseña del mundo, pero de poco sirve si la tengo apuntada en un “post-it” de color llamativo en el monitor. O se la dice a su compañero y amigo del alma para facilitarle las cosas del trabajo.

Distintos análisis y estudios revelan que las contraseñas más utilizadas siguen siendo “123456” y “password”.

Por esta razón, una directiva habitual en toda estrategia de seguridad que se tenga por tal, obliga a cambiar las contraseñas cada cierto tiempo. Aunque esta medida también es vista como una posible vulnerabilidad asociada a las contraseñas. El cambio frecuente de contraseñas hace que los usuarios desarrollen estratagemas para que les resulte fácil recordarlas según suceden los cambios. Los habitual es que sea la contraseña de siempre con números secuenciales o así. Esto lleva a que los atacantes pueda predecir la contraseña y muchos casos de “robo de contraseñas” no han sido realmente intrusiones. Simplemente el atacante la ha adivinado. De hecho los programas de “auditoría de password”, los diccionarios utilizados contemplan las contraseñas listadas con estas variaciones. Además el cambio de las contraseñas frecuentes hace que los usuarios vayan a lo fácil y descuiden la complejidad en su elección.

En cualquier caso, no hay que perder de vista que las contraseñas sólo consiguen autenticar, no autorizar. Es decir, que acceder a un determinado ordenador, archivo, base de datos o lo que sea que esté en el ordenador, este acceso se basa en las credenciales que se validan con la contraseña.  La asignación de permisos se hace en base a la cuenta de usuario no a la contraseña. O dicho de otro modo, para saber si se está utilizando bien una determinada cuenta no sirve sólo con poner una larga y complicada contraseña. Hay que auditar ese acceso a los recursos. Ver si acceden los que tienen que acceder, desde donde tienen que acceder y cuando tienen que acceder. Por ejemplo, que un administrativo acceda al programa de contabilidad un domingo a las tantas de la noche solo tiene justificación si ese día a esa hora está a punto de finalizar el plazo voluntario de vete tu a saber qué pago a Hacienda.

Pero solo registrar y guardar el rastro de la actividad de los usuarios no suele bastar.  Hay que ser capaz de interpretar todo ese aluvión de registros que se guardan en los logs. Si los logs solo se plantean como un repositorio de datos al que acudir cuando hay problemas, mal. Si los logs se manejan de forma “reactiva” en muchas casos sólo sirven para consumir espacio en disco y que provoquen alguna que otra incidencia cuando de llenan. Los logs hay que manejarlos de forma “proactiva”, analizándolos cuando se producen y tomando decisiones según los datos recabados. Un acceso no autorizado no se detecta y corrige por solo registrar los accesos de usuario.

Por eso no sirve sólo activar los logs de Windows y luego mirarlos alguna que otra vez. Hay que buscar herramientas que sepan extraer los datos de los logs y formatearlos adecuadamente para que puedan ser interpretados. Hay que buscar herramientas SIEM: Security Information Events Manager. Herramientas para la Gestión de Información y Eventos de Seguridad. Termino con el que se describe las capacidades de los productos especializados en la recopilación, análisis y presentación de información emitida por dispositivos de red, los dispositivos de seguridad, las aplicaciones de gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de política de cumplimiento, sistema operativo, base de datos y registros de aplicaciones.

SIEM

Security Information Events Manager. Son herramientas software para la Gestión de Información y Eventos de Seguridad. Algunos fabricantes también los presentan en modo “appliance” en una combinación hardware y software.

En la práctica estos programas hacen correlación de log. Es decir recopilan los datos y generan informes en base a unos criterios predefinidos. En este caso, la correlación está centrada en los sucesos que tienen que ver con la seguridad, por lo que los fabricantes ya incluyen de serie algunos de los filtros más habituales que se necesitan para la administración y otros que son exigibles por distintos estándares y reglamentaciones. Facilitan a los administradores de sistemas obtener está información de forma directa y sin necesidad de dedicar mucho tiempo y esfuerzo. Es decir, lo mismo puede hacerlo un programa de correlación de log genérico, pero exigen un nivel de configuración mayor que sólo puede estar al alcance de técnicos cualificados. Los programas SIEM requieren de un periodo corto de capacitación.

Estos programas pueden detectar intentos de accesos no autorizados, como los ataques de fuerza bruta o de diccionario. También pueden identificar brechas en la definición de la autorización, consecuencia de complejos sistemas de asignación de permisos y jerarquías de los elementos a los que se da autorización y que de otro modo es difícil descubrir. Y accesos que no se deberían producir, como permisos de conexión por VPN revocados o modificados. Los informes y por ende la información que pueden  proporcionar estos programas  deberían incluirse dentro de la estrategia de cualquier organización para su proceso de seguridad, en lo que tiene que ver con autenticación y autorización.

Estudio o ataque de ingeniería social

Un estudio realizado en Suecia demostró que 2 de cada 3 personas revelan su contraseña a cambio de una chocolatina si se dice que es para un estudio, hace algunos años lo hacía un 90 % a cambio de un bolígrafo. (La chocolatina y el bolígrafo era para que resultara más creíble lo del estudio).

No obstante, para cubrir esta necesidad no es imprescindible recurrir a este tipo de programas que, según que entornos, pueden resultar ampulosos y de difícil justificación. Para ocuparse del registro, verificación y reporte de cuestiones puntuales como es el acceso a una base de datos, del directorio activo o un determinado servicio, es posible recurrir a programas que realizan ese registro y auditoria puntual. No es necesario presupuestar un programa complejo. Además estos programas suelen presentarse en un formato modular en donde distintos módulos especializados se integran en una consola de gestión para proporcionar una configuración ajustada a cada necesidad. Así, un sistema que necesita auditar el acceso al directorio activo y a las base de datos, sólo debe preocuparse de presupuestar esos dos módulos. No tiene que “cargar” con el de auditoria de web, cuando no lo necesita.

En los test de intrusión, sería conveniente verificar si un atacante tendría opción a identificar el sistema de log y se debería comprobar si podría modificar los registros.

Los eventos son importantes para detectar un posible intrusión y determinar su autoría, tanto para perseguirla legalmente como para corregir los posibles fallos que la posibilitaron.

La necesidad de disponer de herramientas de auditoría para el acceso de usuario es fundamental para verificar la implementación de la seguridad diseñada y según qué entornos una obligación ineludible por regulación. Para implementar esta funcionalidad, lo mejor es acudir a programas especializados, bien con carácter general en programas tipo SIEM o en programas específicos que auditan servicios concretos.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
¡Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *