Aprenda a reforzar su MFA contra los ataques de fuerza bruta.

I. Introducción

Introducción: ¿Sus puertas digitales están lo suficientemente bien cerradas?

Piense en sus cuentas digitales como las puertas de entrada a sus activos más valiosos. ¿Su contraseña? Se trata de un único candado, útil, pero que puede ser manipulado fácilmente por un delincuente astuto equipado con las herramientas adecuadas. Imagine proteger sus puertas con varias cerraduras robustas que necesitan una llave diferente, o incluso su huella dactilar, para abrirse. Esto es exactamente lo que hace la autenticación multifactor (MFA): reforzar su seguridad digital añadiendo capas adicionales de verificación.

Pero este es el problema: Al igual que los ladrones pueden mejorar sus habilidades para forzar cerraduras, los ciberatacantes se están volviendo más listos y utilizan cada vez más tácticas de fuerza bruta para ingresar incluso en los más sofisticados entornos de MFA. Ya no basta con tener una MFA, necesita una MFA reforzada contra estos ataques incesantes.

En este e-book descubrirá estrategias prácticas y procesables para reforzar sus defensas de MFA. Desde comprender las sutiles diferencias entre los métodos de MFA hasta identificar vulnerabilidades que ni siquiera sabía que existían, aprenderá a reforzar sus puertas digitales para que sean prácticamente impenetrables. ¿Está preparado para garantizar que su fortaleza digital resista incluso a los intrusos más decididos? Empecemos.

Entendiendo la MFA

¿Qué es exactamente la MFA? (Definición y ventajas clave)

La MFA es un proceso de seguridad avanzado que requiere que los usuarios verifiquen su identidad mediante dos o más métodos antes de obtener acceso a recursos como aplicaciones o cuentas en línea. A diferencia de ingresar simplemente un nombre de usuario y una contraseña, la MFA solicitará a los usuarios que ingresen un código enviado por correo electrónico o mensaje de texto, respondan a una pregunta de seguridad, escaneen sus huellas digitales o inserten un token de hardware. Los métodos habituales de MFA incluyen el envío de una contraseña de un solo uso basada en el tiempo (TOTP), las notificaciones emergentes y la verificación biométrica como el reconocimiento facial o el escaneo de huellas dactilares.

La principal ventaja de la MFA es su capacidad para reducir significativamente el riesgo de ataques cibernéticos. Incluso si los atacantes roban una contraseña, las capas de seguridad adicionales suponen un reto formidable para el acceso no autorizado. La MFA es diferente de la autenticación de dos factores (2FA) o de la verificación en dos pasos; por lo general, la 2FA implica exactamente dos pasos de verificación, mientras que la MFA implica dos o más. A medida que crecen los entornos en nube y los usuarios acceden cada vez más a datos confidenciales desde diversos lugares y dispositivos, la identidad se ha convertido en la piedra angular de la seguridad digital, lo que convierte a la MFA en una medida fundamental.

Explorando distintos tipos de factores de MFA (conocimiento, posesión, herencia y localización)

Normalmente, la MFA emplea cuatro tipos de factores de autenticación:

• Factores de conocimiento: Información que sólo conoce el usuario, como contraseñas, PIN, preguntas de seguridad o un TOTP de una aplicación autenticadora.
• Factores de posesión: Elementos en posesión física del usuario, como smartphones que reciben códigos SMS o notificaciones emergentes, tokens de hardware, claves de seguridad o tarjetas inteligentes.
• Factores de herencia: Características biológicas o de comportamiento únicas del usuario, como huellas dactilares, escaneos faciales, patrones de voz o comportamiento al teclear.
• Factores de localización: Verificación basada en la ubicación física o de red del usuario. Las ubicaciones de confianza podrían facilitar el acceso, mientras que las inusuales activan los pasos de verificación adicionales, lo que pone de relieve la creciente sofisticación de la seguridad sensible al contexto.

II. Métodos populares de MFA y sus consideraciones

Los distintos métodos de MFA tienen debilidades únicas y posibles vulnerabilidades:

• TOTP: Las aplicaciones de autenticación (por ejemplo, Google Authenticator o Authy) generan códigos temporales que se actualizan aproximadamente cada 30 segundos. Aunque son intuitivos, los TOTP pueden volverse vulnerables si se implementan mal; por ejemplo, sin un límite de intentos, los atacantes podrían explotar los códigos utilizando la fuerza bruta.
• Notificaciones emergentes: Cómodo para los usuarios, este método envía las solicitudes de inicio de sesión directamente a los smartphones, de modo que los usuarios sólo tienen que pulsar "aprobar" o "denegar". Sin embargo, las notificaciones emergentes se enfrentan a ataques de fatiga de MFA, en los que los atacantes inundan a los usuarios con solicitudes repetidas, esperando que finalmente aprueben una.
• Biometría: Aprovechando rasgos físicos únicos como las huellas dactilares o los escaneos faciales, la biometría ofrece una gran seguridad debido a la dificultad para reproducirla. Sin embargo, los métodos biométricos requieren un hardware especializado, y aún existen preocupaciones sobre el almacenamiento seguro de los datos biométricos y la posible suplantación de identidad por parte de atacantes avanzados.
• OTP por SMS y correo electrónico: Ampliamente accesibles, estos métodos envían códigos de verificación temporales a través de mensajes de texto o correos electrónicos. Aunque son fáciles y cómodos, los OTP por SMS se enfrentan a amenazas como los ataques de intercambio de SIM, mientras que los OTP por correo electrónico se vuelven arriesgadas si una cuenta de correo electrónico se ve comprometida.
• Tokens de hardware: Los dispositivos físicos parecidos a llaveros o memorias USB generan códigos protegidos directamente. Los tokens de hardware proporcionan una sólida protección contra el phishing, pero pueden ser inconvenientes para los usuarios debido a los problemas de portabilidad o a los requisitos de compatibilidad de los dispositivos.

Métodos comunes de MFA: Consideraciones sobre seguridad y usabilidad

III. La creciente amenaza de los ataques de fuerza bruta contra la MFA

Los ataques de fuerza bruta, en el contexto de la MFA, implican que los atacantes intenten adivinar el segundo factor de autenticación o los siguientes después de haber comprometido potencialmente el primer factor, como la contraseña del usuario. Estos ataques no se limitan a un único método de MFA y pueden dirigirse a varias formas de autenticación secundaria, incluyendo OTP, notificaciones emergentes e incluso la verificación biométrica en determinados escenarios. El objetivo sigue siendo el mismo que el de los ataques tradicionales de fuerza bruta contra las contraseñas: obtener un acceso no autorizado probando sistemáticamente diferentes combinaciones hasta encontrar la correcta.

Técnicas comunes de ataque

Los atacantes emplean varias técnicas comunes para las implementaciones de MFA:

Pulverización de contraseñas: Este tipo de ataque de fuerza bruta se centra en intentar utilizar un pequeño número de contraseñas de uso común contra un gran número de cuentas. El objetivo es explotar la realidad de que muchos usuarios eligen contraseñas débiles o fáciles de adivinar y, al probar sólo unas pocas contraseñas por cuenta, los atacantes pretenden evitar que se disparen los mecanismos de bloqueo de cuentas que suelen activarse tras varios intentos fallidos de inicio de sesión en una misma cuenta. A menudo se describe como una técnica "baja y lenta", diseñada para eludir la detección durante largos periodos.

Los atacantes suelen obtener listas de nombres de usuario a través de diversos medios, como información disponible públicamente o violaciones de la seguridad de los datos, y luego utilizan bases de datos de contraseñas comunes para intentar iniciar sesión. El éxito de la pulverización de contraseñas depende en gran medida de que los usuarios utilicen contraseñas débiles o predeterminadas en varias cuentas, lo que destaca la necesidad crítica de que las organizaciones apliquen directivas de contraseñas seguras y únicas.

Relleno de credenciales: Esta técnica de ataque consiste en utilizar combinaciones robadas de nombre de usuario y contraseña, que a menudo se obtienen de anteriores violaciones de la seguridad de los datos, para intentar iniciar sesión en varias plataformas y servicios. La idea de fondo es que muchos usuarios reutilizan las mismas credenciales en varias cuentas en línea. Los atacantes adquieren bases de datos masivas de credenciales comprometidas desde fuentes como la web oscura y utilizan herramientas automatizadas, como bots, para intentar iniciar sesión a gran escala en varios sitios web y aplicaciones.

A diferencia de la pulverización de contraseñas, el relleno de credenciales suele ser un método "rápido y eficaz". La efectividad de esta técnica subraya la importancia de que los usuarios adopten contraseñas únicas para cada cuenta en línea y permanezcan atentos a los riesgos asociados a las violaciones de los datos.

Fatiga de MFA, bombardeo de MFA: Este ataque de ingeniería social explota la posibilidad de que el usuario se sienta abrumado por las repetidas solicitudes de MFA. Los atacantes, que probablemente ya han obtenido las credenciales principales del usuario a través de una táctica como el phishing, inician un aluvión de notificaciones emergentes de MFA u otros avisos de autenticación en los dispositivos registrados del usuario. El objetivo es fatigar al usuario para que acabe aprobando una de las solicitudes, ya sea accidental o intencionadamente, para detener el flujo constante de notificaciones, concediendo así al atacante un acceso no autorizado.

Esta técnica aprovecha la tendencia humana a priorizar la comodidad sobre la seguridad cuando se enfrenta a avisos persistentes y molestos. Algunos ejemplos notables del mundo real de ataques de fatiga de MFA exitosos incluyen brechas contra Uber, Cisco y Twilio, lo que demuestra que incluso los métodos de MFA aparentemente seguros son vulnerables a las tácticas de ingeniería social que se centran en el comportamiento del usuario.

Explotar las debilidades en las implementaciones específicas de MFA (por ejemplo, AuthQuake): Los atacantes suelen buscar vulnerabilidades en el diseño o la configuración de métodos o plataformas específicos de MFA. Un ejemplo claro es la vulnerabilidad de AuthQuake descubierta en la implementación de MFA en Microsoft. Este fallo permitía a los atacantes eludir la protección aprovechando la falta de un límite para los intentos fallidos de inicio de sesión y un intervalo de tiempo prolongado durante el cual los códigos TOTP seguían siendo válidos. La ventana de validez ampliada, pensada para abordar las posibles discrepancias horarias y retrasos, proporcionó inadvertidamente a los atacantes un mayor margen de tiempo para generar y probar rápidamente numerosas combinaciones de OTP.

Este incidente pone de relieve que la seguridad de la MFA no viene determinada únicamente por la fuerza inherente del propio método de autenticación, sino que también depende de forma crítica de su implementación correcta y segura, incluyendo la implementación del límite de intentos y los tiempos de espera adecuados.

IV. Mejores prácticas esenciales para reforzar la MFA

Para defenderse eficazmente contra los ataques de fuerza bruta dirigidos a la MFA, las organizaciones deben implementar una serie de buenas prácticas:

1. Implementar un límite para los intentos de inicio de sesión y MFA

Una medida fundamental para evitar los ataques automatizados de fuerza bruta es limitar el número de intentos fallidos de inicio de sesión y de desafíos de MFA que se pueden iniciar dentro de un periodo de tiempo específico. Esto implica configurar umbrales tanto para los primeros intentos de inicio de sesión con nombre de usuario y contraseña como para los pasos posteriores de verificación con MFA. Establecer ventanas de tiempo apropiadas para estos límites, como permitir sólo un cierto número de intentos por minuto u hora, puede impedir significativamente que los atacantes intenten adivinar rápidamente las credenciales o los códigos de MFA.

Implementar el límite de intentos es crucial para mitigar tanto los ataques de pulverización de contraseñas, que se basan en probar contraseñas comunes contra muchas cuentas, como los ataques directos de fuerza bruta contra el propio factor de MFA, como los intentos de adivinar los códigos de OTP.

2. Establecer directivas efectivas de bloqueo de cuentas

Bloquear temporalmente las cuentas de usuario tras un cierto número de intentos de autenticación fallidos consecutivos es otra medida de seguridad esencial. Esto evita que los atacantes prueben continuamente diferentes combinaciones de contraseñas o códigos de MFA. Las organizaciones deben definir un umbral de bloqueo claro, especificando el número de intentos fallidos que dispararán el bloqueo. Además, se debe tener en cuenta la duración del bloqueo, que determina cuánto tiempo permanece inaccesible la cuenta. Algunos sistemas también incorporan una ventana de observación, que es el plazo dentro del cual se contabilizan los intentos fallidos.

Es importante encontrar un equilibrio entre el umbral y la duración mínima para disuadir a los atacantes y evitar al mismo tiempo los bloqueos accidentales para los usuarios legítimos que podrían teclear mal sus credenciales.

3. Monitoreo exhaustivo y alertas para la actividad sospechosa de MFA

Implementar sistemas de monitoreo robustos es vital para detectar y responder a patrones inusuales en el uso de la MFA que podrían indicar un ataque en curso. Los equipos de seguridad deben monitorear varios indicadores, como un alto volumen de intentos fallidos de inicio de sesión, sobre todo si se reparten entre varias cuentas de usuario, lo que podría ser un signo de pulverización de contraseñas. Los lugares de inicio de sesión inusuales o las horas que se desvían del comportamiento normal de un usuario también deberían disparar las alertas. Los rechazos repetidos de la MFA por parte de un usuario podrían indicar un ataque de fatiga de MFA o una cuenta comprometida. Supervisar las tasas de inscripción y uso de la MFA puede ayudar a identificar las lagunas en la implementación.

Utilizar un sistema para la gestión de eventos e información de seguridad (SIEM) puede mejorar en gran medida estas funciones al proporcionar un monitoreo en tiempo real, la correlación de eventos de diversas fuentes y alertas automatizadas sobre actividades sospechosas. El monitoreo proactivo es crucial para detectar oportunamente los ataques de fuerza bruta dirigidos a la MFA, lo que permite intervenir a tiempo y mitigar los posibles daños.

4. Educar a los usuarios sobre la seguridad de la MFA y los vectores de ataque

Una capa crítica de defensa contra los ataques dirigidos a la MFA es una base de usuarios bien informada. Las organizaciones deben llevar a cabo sesiones de formación periódicas para concienciar a los empleados sobre la importancia de la MFA y los diferentes tipos de ataques a los que pueden enfrentarse, como la fatiga de MFA. Se debe educar a los usuarios para que reconozcan y notifiquen cualquier solicitud sospechosa de MFA, especialmente las que no hayan iniciado ellos.

Es crucial hacer hincapié en los peligros de aprobar notificaciones emergentes inesperadas sin verificar su legitimidad. Los usuarios también deben ser educados sobre la importancia de no compartir OTP u otros códigos de MFA con nadie. La concienciación de los usuarios desempeña un rol vital a la hora de prevenir los ataques de ingeniería social que pretenden eludir incluso los controles técnicos de seguridad más estrictos.

5. Evitar métodos de MFA menos seguros (por ejemplo, OTP basados en SMS)

La seguridad del método de MFA elegido repercute directamente en la resiliencia general de una organización frente a los ataques de fuerza bruta. Deberían dar prioridad al uso de factores de MFA más fuertes y resistentes frente a los que se sabe que presentan vulnerabilidades significativas. Por ejemplo, los OTP basados en SMS, aunque son ampliamente accesibles, son susceptibles de sufrir ataques de intercambio de SIM y, en general, se consideran una opción menos segura.

Las organizaciones deberían eliminar progresivamente o complementar los OTP basados en SMS con alternativas más seguras, como las aplicaciones de autenticación, la autenticación biométrica o los tokens de seguridad de hardware.

6. Combinar la MFA con directivas de contraseñas seguras y únicas

Aunque la MFA añade una sólida segunda capa de seguridad, no debe sustituir una buena higiene de contraseñas. La primera línea de defensa siguen siendo las contraseñas seguras y únicas. Las organizaciones deben aplicar requisitos de complejidad para las contraseñas, incluida una longitud mínima y el uso de una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales. Se debe prohibir el uso de contraseñas comunes o fáciles de adivinar. Fomentar o incluso exigir el uso de frases de contraseña (que son más largas y fáciles de recordar, pero más difíciles de descifrar) también puede mejorar la seguridad.

Además, se debe evitar estrictamente reutilizar las contraseñas. Las organizaciones también deberían considerar la posibilidad de integrar servicios como Have I Been Pwned para evitar automáticamente que los usuarios utilicen contraseñas que hayan sido previamente comprometidas en violaciones de la seguridad de los datos. Una contraseña débil, incluso con la MFA activada, sigue representando una vulnerabilidad potencial que los atacantes podrían intentar explotar.

V. Medidas de seguridad avanzadas para la MFA para mejorar la protección

Autenticación contextual (dispositivo, ubicación, hora)

Este enfoque aprovecha la información sobre el intento de inicio de sesión del usuario para evaluar el riesgo asociado y ajustar dinámicamente los requisitos de autenticación. Por ejemplo, si un intento de inicio de sesión se origina en un dispositivo o lugar que el usuario nunca ha utilizado antes, o si el inicio de sesión se produce en un momento inusual, el sistema podría requerir una forma de MFA más estricta o pasos adicionales de verificación. Implementar el geoperimetraje para restringir el acceso desde ubicaciones geográficas específicas también puede ser una forma efectiva de mitigar el riesgo. La autenticación contextual añade una capa de inteligencia al proceso de MFA, haciéndolo más adaptable y sensible a las amenazas potenciales.

Autenticación basada en el riesgo (MFA adaptable)

Esta técnica avanzada lleva la autenticación contextual un paso más allá al ajustar dinámicamente el nivel de autenticación requerido en función de la puntuación de riesgo calculada que se asigna a cada intento de inicio de sesión. La puntuación de riesgo se suele determinar analizando diversos factores, como la ubicación del usuario, el dispositivo que utiliza, su comportamiento histórico y la sensibilidad del recurso al que accede. Los inicios de sesión que se consideran de alto riesgo podrían disparar los factores de autenticación adicionales o incluso ser bloqueados directamente, mientras que los inicios de sesión de bajo riesgo podrían proceder con la MFA estándar o incluso con menos factores. La autenticación basada en el riesgo proporciona un equilibrio entre la seguridad y la experiencia del usuario, ya que sólo aumenta la autenticación cuando el riesgo lo justifica.

Biometría del comportamiento

Este sofisticado método de autenticación analiza los patrones únicos de interacción de un usuario con su dispositivo, como su velocidad de tecleo, los movimientos del mouse y los patrones de desplazamiento, para verificar su identidad. La biometría del comportamiento se puede utilizar como un factor de autenticación adicional junto a los métodos tradicionales de MFA o incluso como una forma de autenticación continua, monitoreando pasivamente el comportamiento del usuario a lo largo de una sesión. Este enfoque ofrece una forma de autenticación potencialmente más segura, ya que es difícil para los atacantes replicar los patrones de comportamiento genuinos de un usuario legítimo.

MFA resistente al phishing (FIDO2/WebAuthn)

Se trata de métodos de autenticación diseñados específicamente para resistir los ataques de phishing, una táctica habitual utilizada para robar credenciales. FIDO2 y el estándar WebAuthn subyacente utilizan protocolos criptográficos y claves de seguridad respaldadas por hardware para garantizar que el proceso de autenticación está vinculado de forma segura al sitio web o aplicación legítimos a los que se accede. Esto impide que los atacantes intercepten o reproduzcan los factores de autenticación, incluso si consiguen engañar a un usuario para que visite una página de inicio de sesión falsa. La MFA resistente al phishing se considera el estándar de oro en la industria para protegerse contra el robo de credenciales y se debe priorizar para los usuarios de alto riesgo y los recursos sensibles.

VI. Reforzar la MFA con ManageEngine AD360

Cómo pueden los equipos de seguridad reforzar la seguridad de su identidad con ManageEngine AD360

La creciente sofisticación de los ataques cibernéticos requiere un enfoque sólido para proteger el acceso a los recursos sensibles. La MFA es una capa de seguridad crítica, que exige a los usuarios proporcionar múltiples factores de verificación para obtener acceso. Sin embargo, incluso la MFA es susceptible de sufrir ataques de fuerza bruta, en los que atacantes malintencionados intentan obtener acceso no autorizado probando sistemáticamente varias posibilidades de autenticación.

Los equipos de seguridad pueden aprovechar ManageEngine AD360, una solución integral de gestión de accesos e identidades (IAM), para implementar una serie de buenas prácticas destinadas a reforzar sus implementaciones de MFA contra estas amenazas persistentes. Al proporcionar funciones que incluyen la limitación del número de intentos, las directivas de bloqueo de cuentas, el monitoreo integral, el soporte para métodos de autenticación seguros y la integración con directivas de contraseñas robustas, AD360 ofrece una base segura para construir un marco de MFA resiliente.

Aprovechar el límite de intentos en AD360

La limitación del número de intentos es una técnica de seguridad fundamental que se usa para mitigar los ataques automatizados de fuerza bruta al imponer restricciones al número de intentos de inicio de sesión y MFA permitidos dentro de un periodo específico. Este enfoque supone un obstáculo importante para los atacantes, que confían en la velocidad y el volumen de las herramientas automatizadas para probar rápidamente varias combinaciones de autenticación. Al limitar la velocidad a la que se pueden realizar los intentos, las organizaciones pueden aumentar de forma efectiva el tiempo y los recursos necesarios para que un ataque de fuerza bruta tenga éxito, haciéndolo menos práctico y con más probabilidades de ser detectado.

AD360 proporciona mecanismos para implementar un límite para los intentos de inicio de sesión. La plataforma permite a los administradores configurar directivas de bloqueo de cuentas que bloquean automáticamente las cuentas de los usuarios tras un número predefinido de intentos consecutivos de inicio de sesión no válidos. Esta funcionalidad impide a los atacantes realizar un número ilimitado de intentos de inicio de sesión en un corto periodo de tiempo. Por ejemplo, establecer una directiva para bloquear una cuenta después de cinco intentos fallidos en un plazo de 15 minutos limita intrínsecamente la tasa de inicios de sesión fallidos.

Para la MFA sin conexión, AD360 permite a los administradores establecer el número de veces que un usuario puede realizar la autenticación sin conexión en función del número de intentos o del número de días, tras los cuales deberá conectarse en línea para una nueva autenticación. Esto evita el posible abuso de la MFA sin conexión en escenarios en los que un atacante podría haber obtenido acceso a un dispositivo. Del mismo modo, los administradores pueden configurar límites para las acciones de autoservicio de restablecimiento de contraseña y desbloqueo de cuenta, que a menudo implican la MFA como paso de verificación. Al restringir el número de veces que se pueden realizar estas acciones en un plazo determinado, la plataforma limita indirectamente la velocidad a la que puede dispararse la MFA para estas operaciones sensibles.

Configuración del límite de intentos en AD360:

Implementar directivas de bloqueo de cuentas con AD360

Las directivas de bloqueo de cuenta sirven como un mecanismo de defensa crítico contra los ataques de fuerza bruta al deshabilitar temporalmente las cuentas de usuario tras un número determinado de intentos fallidos de autenticación. Esta medida perjudica significativamente a los atacantes al obligarles a retrasar sus intentos, lo que hace que los ataques de adivinación exhaustiva sean poco prácticos y aumenta la probabilidad de detección.

Los parámetros clave de una directiva efectiva de bloqueo de cuenta incluyen el umbral de bloqueo, que define el número de intentos fallidos que disparan el bloqueo; la duración del bloqueo, que especifica cuánto tiempo permanece deshabilitada la cuenta; y el contador para restablecer el bloqueo, que determina el tiempo tras el cual se restablece el contador de intentos fallidos.

AD360 ofrece sólidas funciones para establecer y gestionar directivas de bloqueo de cuenta, especialmente relevantes en el contexto de la MFA. La plataforma reconoce que el bloqueo de cuenta es importante como una de las principales defensas contra los ataques de fuerza bruta. AD360 ofrece una función de bloqueo de usuario que funciona de forma similar a la directiva de bloqueo de cuenta de Active Directory. Los administradores pueden configurar el número máximo de intentos de verificación de identidad no válidos permitidos en un periodo de tiempo determinado y especificar la duración durante la cual los usuarios deben ser bloqueados al superar este umbral. Esta funcionalidad se extiende a los casos en los que los usuarios no superan los retos de MFA durante los intentos de inicio de sesión o de autoservicio de restablecimiento de contraseña.

Con AD360, se pueden aplicar directivas basadas en unidades organizativas (OU) y grupos, lo que permite establecer un bloqueo personalizado para diferentes poblaciones de usuarios según la sensibilidad en materia de seguridad. Por ejemplo, se podrían aplicar directivas de bloqueo más estrictas con umbrales más bajos y duraciones más largas a las cuentas privilegiadas en comparación con las cuentas de usuarios estándar.

A la hora de configurar las directivas de bloqueo de cuenta para la MFA, es fundamental encontrar un equilibrio entre la seguridad y la comodidad del usuario. Establecer un umbral de bloqueo demasiado bajo puede hacer que los bloqueos accidentales sean más frecuentes, aumentando la carga de trabajo de la mesa de ayuda, mientras que establecerlo demasiado alto podría proporcionar a los atacantes demasiadas oportunidades de adivinar las credenciales.

Las mejores prácticas recomendadas sugieren establecer un bloqueo que dure entre 30 y 60 minutos y un umbral de bloqueo de entre 15 y 50 intentos. Además, considerar distintos niveles de seguridad para varios grupos de usuarios e implementar directivas de contraseñas preconfiguradas puede mejorar aún más la efectividad del bloqueo de cuenta en un entorno de MFA.

Ajustes de la directiva de bloqueo de cuentas en AD360 para MFA/h3>

Ajustes	Descripción	Opciones de configuración
Máximo de intentos no válidos	Número de intentos fallidos de inicio de sesión/verificación antes del bloqueo	Número configurable de intentos
Bloquear usuario	Duración del bloqueo de la cuenta de usuario tras superar los intentos	Periodo de tiempo preestablecido (minutos)
Directiva de autoservicio	Aplicar directivas de autoservicio para usuarios y grupos específicos.	Directivas basadas en grupos y OU
Integración con el bloqueo de AD	Aplicar directivas de bloqueo de cuenta para evitar accesos no autorizados tras múltiples intentos fallidos de inicio de sesión	Umbral del bloqueo y duración del bloqueo

Monitoreo exhaustivo y alertas para la actividad sospechosa de MFA

Garantizar la seguridad contra los ataques de fuerza bruta a la MFA requiere no sólo medidas preventivas, sino también la capacidad de detectar y responder a la actividad maliciosa en tiempo real a través de un monitoreo y alerta exhaustivos. Monitorear los inicios de sesión y los eventos de MFA puede ayudar a identificar patrones de ataque, como un alto volumen de intentos fallidos de MFA, intentos de inicio de sesión originados desde ubicaciones geográficas inusuales o dispositivos desconocidos, o patrones atípicos en el uso de MFA.

AD360 proporciona una serie de funciones para monitorear y alertar sobre actividades sospechosas de MFA. La plataforma puede supervisar los intentos de inicio de sesión e identificar los altos volúmenes de inicios de sesión fallidos desde una única dirección IP, ubicación o que están dirigidos a una cuenta específica en un breve espacio de tiempo.

Aprovechando sus funciones de análisis del comportamiento de los usuarios (UBA), AD360 puede establecer líneas de base de la actividad normal de los usuarios y detectar anomalías, incluidos fallos inusuales en el inicio de sesión que podrían indicar un intento de fuerza bruta. Los administradores pueden configurar perfiles de alerta dentro de AD360 para recibir notificaciones al instante por correo electrónico y SMS cuando se detecten actividades sospechosas, lo que permite responder a tiempo a las amenazas potenciales.

Las funciones de MFA adaptable de AD360 mejoran aún más el monitoreo al evaluar factores de riesgo como el número de fallos consecutivos en el inicio de sesión, la geolocalización del usuario que solicita el acceso, el tipo de dispositivo que se está utilizando y la dirección IP, lo que permite identificar cuentas potencialmente comprometidas o atacantes que intentan obtener acceso. Además, AD360 ofrece funcionalidades para monitorear el acceso y alertar en tiempo real, proporcionando a los administradores una visibilidad inmediata de las actividades de los usuarios y de los intentos de acceso.

Los equipos de seguridad también pueden aprovechar las funciones de informes y auditoría de AD360 para investigar eventos sospechosos de MFA e identificar posibles brechas de seguridad. Pueden generar varios informes relacionados con MFA, incluyendo el Informe de fallos de MFA y el informe de auditoría de uso de MFA, que pueden ofrecer información valiosa sobre las tasas de éxito y fracaso de los intentos de MFA. Estos informes pueden ayudar a identificar a los usuarios que experimentan problemas con la MFA, así como posibles objetivos de ataques de fuerza bruta. Además, las funciones de auditoría de AD360 permiten examinar los logs de eventos para rastrear el origen de los bloqueos de cuentas y otras actividades sospechosas. Disponer de logs de auditoría e informes detallados específicos de los eventos de MFA es crucial para el análisis posterior al incidente, ya que permite a los equipos de seguridad comprender el vector del ataque, identificar las cuentas comprometidas y perfeccionar sus medidas de seguridad para prevenir futuros incidentes.

Métodos de MFA seguros compatibles con AD360

AD360 admite diversos métodos de MFA, lo que proporciona a las organizaciones flexibilidad a la hora de elegir opciones que se ajusten a sus requisitos de seguridad y a la comodidad del usuario. Estos métodos incluyen la autenticación biométrica, como el reconocimiento facial y de huellas dactilares; TOTP generados por aplicaciones de autenticación como Google Authenticator, Microsoft Authenticator y Zoho OneAuth; claves de acceso FIDO; tokens de hardware YubiKey; tarjetas inteligentes; notificaciones emergentes enviadas a dispositivos de confianza; códigos de verificación por correo electrónico; códigos de verificación por SMS; y mucho más. Esta amplia selección permite a las organizaciones implementar la MFA en varios puntos de acceso, como inicios de sesión en equipos, conexiones de VPN, aplicaciones web y portales de autoservicio.

A la hora de reforzar la MFA contra los ataques de fuerza bruta, es crucial priorizar la implementación de métodos de MFA más seguros y evitar opciones menos seguras como los OTP basados en SMS. Aunque AD360 admite la verificación por SMS, los equipos de seguridad deben ser conscientes de las vulnerabilidades inherentes asociadas a este método, como el riesgo de intercambio e interceptación de la SIM.

En su lugar, los métodos de MFA más potentes, como las claves de acceso FIDO y la autenticación biométrica, ofrecen una mayor seguridad y resistencia al phishing. Las claves de acceso FIDO, que utilizan criptografía de clave pública, proporcionan una experiencia de autenticación sin contraseña muy resistente a los ataques de phishing y a los ataques manipulator-in-the-middle. La autenticación biométrica, que aprovecha las huellas dactilares o el reconocimiento facial, ofrece un método cómodo y seguro que vincula la autenticación a los rasgos biológicos únicos del usuario. Los autenticadores con TOTP, aunque requieren una aplicación independiente, ofrecen un buen equilibrio entre seguridad y facilidad de uso al generar códigos temporales que resultan difíciles de interceptar o reutilizar para los atacantes. La compatibilidad de AD360 con estos métodos de autenticación más robustos empodera a las organizaciones para ir más allá de las opciones menos seguras y construir una infraestructura de MFA más resiliente.

Métodos de MFA compatibles con AD360 y consideraciones de seguridad

Aplicar directivas de contraseñas seguras con AD360 para mejorar la seguridad de la MFA

Aunque la MFA añade una capa de seguridad crucial, esta capa se vuelve significativamente más fuerte cuando se combina con directivas de contraseñas sólidas y únicas. Incluso con la MFA habilitada, las contraseñas débiles o comprometidas pueden seguir siendo explotadas por los atacantes. Una contraseña segura actúa como barrera inicial, haciendo que sea más difícil para los atacantes obtener acceso con los intentos iniciales. Al hacer más difícil adivinar o descifrar la contraseña principal, las organizaciones reducen la probabilidad de que los atacantes lleguen siquiera a la etapa de MFA del proceso de autenticación.

El controlador de la directiva de contraseña de AD360 proporciona funciones completas para establecer y aplicar directivas de contraseñas seguras. Esta función permite a los administradores definir reglas personalizadas para la complejidad de la contraseña, incluyendo la longitud mínima de la contraseña y la mezcla de letras mayúsculas y minúsculas, números y caracteres especiales que se requieren. Además, permite prohibir las contraseñas débiles o filtradas, incluyendo palabras comunes de diccionario, secuencias de teclado, palíndromos y contraseñas que fueron encontradas en violaciones de la seguridad de los datos conocidas mediante la integración con servicios como Have I Been Pwned.

Los administradores también pueden restringir la repetición consecutiva de caracteres y aplicar el historial de contraseñas para evitar que los usuarios reutilicen contraseñas usadas recientemente. Una ventaja clave del controlador de la directiva de contraseña de AD360 es su granularidad, que permite crear y aplicar diferentes reglas de contraseñas a OU y grupos específicos en función de sus requisitos de seguridad únicos. Esto garantiza que los usuarios de alto riesgo, como los administradores, puedan estar sujetos a directivas de contraseñas más estrictas al tiempo que se mantiene un equilibrio de usabilidad para los demás usuarios.

Al aplicar estas sólidas directivas de contraseñas, AD360 reduce significativamente la superficie de ataque para los intentos de fuerza bruta, lo que hace que para los atacantes sea considerablemente más difícil comprometer la contraseña inicial y posteriormente intentar eludir la MFA.

Funciones de la directiva de contraseñas de AD360 que mejoran la MFA

VII. Reforzar su postura de seguridad con una estrategia de MFA resiliente

La creciente sofisticación de los ataques de fuerza bruta dirigidos a la MFA hace que sea necesario adoptar un enfoque proactivo e integral para reforzar estas implementaciones. Las mejores prácticas clave incluyen implementar un sólido límite para los intentos de inicio de sesión y de MFA, establecer directivas efectivas de bloqueo de cuenta, garantizar un monitoreo y alerta exhaustivos de la actividad sospechosa de MFA, y educar a los usuarios sobre la seguridad de la MFA y los posibles vectores de ataque. Las organizaciones también deben priorizar el uso de métodos de MFA más potentes y combinarlos con directivas estrictas en materia de contraseñas.

Además, las medidas de seguridad avanzadas de la MFA, como la autenticación contextual, la autenticación basada en el riesgo, la biometría del comportamiento y la MFA resistente al phishing, ofrecen una mayor protección contra las amenazas en evolución.

AD360 proporciona un conjunto completo de funciones para implementar y gestionar una estrategia de MFA resiliente. Su compatibilidad con una amplia gama de métodos de autenticación, sus funciones de MFA adaptable, su sólida aplicación de las directivas de contraseñas, y sus completas herramientas de auditoría y elaboración de informes empoderan a los equipos de seguridad para prevenir eficazmente los ataques de fuerza bruta y reforzar su postura general de seguridad. Al implementar diligentemente estas estrategias y aprovechar las tecnologías disponibles, su organización puede mejorar significativamente su resiliencia frente a los ataques basados en credenciales, y salvaguardar sus valiosos datos y recursos.

Acerca de AD360

ManageEngine AD360 es una plataforma de identidad unificada que conecta de manera eficiente a las personas, la tecnología y las experiencias, al tiempo que ofrece a las empresas una visibilidad y un control totales sobre su infraestructura de identidad. Ofrece gestión automatizada del ciclo de vida; SSO seguro; MFA adaptable; y gobernanza, auditoría, cumplimiento y análisis de identidades que se basan en los riesgos, todo ello desde una única consola intuitiva. Con amplias integraciones out-of-the-box y compatibilidad con conectores personalizados, AD360 se integra fácilmente en los ecosistemas de TI existentes para mejorar la seguridad y optimizar las operaciones de identidad. Con la confianza de empresas líderes en los sectores de la salud, las finanzas, la educación y el gobierno, AD360 simplifica la gestión de identidades, refuerza la seguridad y garantiza el cumplimiento de las normas reglamentarias en constante evolución. Para más información, visite https://www.manageengine.com/latam/active-directory-360/.