8 abr. 2020

Menos contraseñas y más biometría: la receta para proteger hospitales de ciberataques

Un artículo publicado en la web del Foro Económico Mundial aboga por un mundo con menos contraseñas para defender mejor a infraestructuras críticas de ciberataques. De hecho, un informe de la entidad destaca que el sector sanitario en EEUU fue uno de los que más dinero perdió en 2019 —antes de la pandemia de coronavirus— por incidentes de ciberseguridad.

Los ciberataques a hospitales se han sucedido en las últimas semanas en distintos países europeos. Solo en España, y en el contexto de la pandemia de coronavirus, la Policía Nacional detectó un intento de ataque con un ransomware, Netwalker, a un hospital. No hubiese sido la primera vez: ya a finales del año pasado hospitales privados de Vithas sufrieron otro asalto informático.

Los ciberataques con ransomware lo que hacen es infectar un ordenador y propagar dicha infección a todos los dispositivos de la red, procediendo así a cifrar los archivos. Es en ese momento en el que las mafias organizadas de ciberdelincuentes exigen un rescate —un ransom, en inglés— para que las víctimas puedan descifrar y volver a acceder a sus archivos.

En el contexto de crisis provocada por la COVID-19 la preocupación para los ciberexpertos es todavía más redundante. No es lo mismo atacar a una gran empresa que hacerlo a un hospital, cuyos archivos informáticos son mucho más sensibles. Los médicos y empleados de un centro sanitario acceden mediante sus ordenadores al historial médico de sus pacientes, a pruebas diagnósticas, o incluso a las pantallas con las que facilitan sus operaciones quirúrgicas.

Aunque un ciberataque con ransomware no requiere necesariamente de robar contraseñas —basta con engañar a un empleado para que pinche en un enlace en el que no debiera, y así descargar el programa malicioso—, lo cierto es que el Foro Económico Mundial lo tiene bastante claro. Un mundo con menos contraseñas facilitaría la defensa de hospitales e infraestructuras críticas en situaciones de emergencia.

Lo ha hecho en un post en su página web, en el que citan un informe de enero de este año. El documento al que refieren recuerda cómo las contraseñas son uno de los principales agujeros de la ciberseguridad.

El asunto no es menor. Un informe de IBM Security sobre el coste por sectores de las brechas de ciberseguridad detectaba que en los primeros 6 meses del año pasado solo el sector sanitario perdió más de 6,45 millones de dólares por incidentes de ciberseguridad. Más que otras industrias o sectores como el financiero (5,86 millones), la energía (5,6) o el sector farmacéutico (5,20 millones).

"Las contraseñas se inventaron en los 60 y nunca tuvieron la intención de proteger cuentas bancarias, registros médicos, correos electrónicos, etc", destacan los autores del artículo: Ori Eisen, el fundador y CEO de Trusona —una forma especializada en ciberseguridad y contraseñas— y William Dixon, el jefe de Operaciones del Centro de Ciberseguridad del Foro Económico Mundial.
Cómo sería un mundo con menos contraseñas

Un mundo con menos contraseñas, detallan Eisen y Dixon, significaría que se ha alcanzado la posibilidad de verificar de forma acertada y segura la identidad de los usuarios “sin el uso de nombres de usuarios, contraseñas, SMS” o nada para lo que sea necesario “teclear”. “Supondría la adopción de nuevas tecnologías, como las biométricas, análisis de comportamientos y otras características en nuestros dispositivos, que validarían nuestra identidad sin necesidad de introducir contraseñas”.

El informe del Foro Económico, fechado a enero de este año, abunda en que para 2022 el 60% de las grandes empresas y el 90% de las firmas medianas habrán implementado este tipo de métodos de identificación. Para ello, da 4 claves: mejorarían la seguridad, fomentarían la transformación digital, reducirían costes, y ampliaría las posibilidades de uso de los terminales móviles que hoy usamos.

Los seres humanos somos más que predecibles para las máquinas. Así lo demostraron, por ejemplo, dos hackers e investigadores españoles en una ponencia que celebraron el año pasado, en el evento del CCN-CERT, el Equipo de Respuesta a Incidentes de Ciberseguridad del Centro Criptológico Nacional.

En su charla, Jaime Sánchez y Pablo Caro explicaban cómo habían desarrollado una herramienta cuya función era reunir y acceder a repositorios de palabras y a sus hashes —códigos cifrados— análogos. De este modo, el programa era capaz de reventar contraseñas por la fuerza bruta de una forma mucho más sofisticada.

Ya no es solo cuestión de que los usuarios desatiendan la seguridad de sus contraseñas —suelen emplear la misma para distintos servicios, no incluyen caracteres extraños, muchas veces son sólo minúsculas…—: es que el programa de estos 2 hackers españoles era capaz de anticiparse a los cambios que los internautas puedan hacer a palabras comunes para poder reventar sus contraseñas. Por ejemplo: convertir la palabra banana en b4n4n4!.

Con todo, todavía queda para que la identificación por biométrica sea una realidad absoluta que se ha impuesto a las contraseñas tecleadas. Todavía afrontan muchos riesgos: desde que te roben tu propia huella dactilar hasta que se consiga reemplazar tu voz mediante programas que modulen tonos.

Fuente: TicBeat

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!