Maksim Kabakou - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La fuerte autenticación de dos factores debe ser un objetivo para 2019

Al cierre de 2018, los contribuyentes de CW Security Think Tank nombraron una cosa predicha para 2018 que no sucedió, una cosa que no se predijo pero sí sucedió, y otra que debería suceder en 2019, pero que probablemente no sucederá.

Una cosa predicha para 2018 que no sucedió

A finales de 2017 y en 2018, hubo muchas especulaciones sobre la introducción del Reglamento General de Protección de Datos (GDPR) de la UE el 25 de mayo de 2018 y el tamaño de las multas que se impondrían, de hasta el 4% de del volumen anual de negocios.

Muchos pensaron y predijeron que las grandes compañías tecnológicas serían atacadas de inmediato con altas multas. Alphabet, compañía matriz de Google, fue amenazada con una multa de 3.800 millones de libras esterlinas, pero esto se relacionó con una infracción de las reglas de la competencia debido a la preinstalación del buscador de Google en dispositivos Android vendidos en Europa. Sin embargo, está muy cerca de la multa máxima del 4% de la facturación de Alphabet.

La Autoridad de Protección de Datos de Austria emitió una multa de 4.800 euros contra una compañía que colocó una cámara de CCTV frente a su edificio, que también cubrió una gran parte del pavimento. El GDPR no permite el monitoreo a gran escala de los espacios públicos.

Claramente hay peces más grandes que freír y otras acciones en la ruta.

En el Reino Unido, por ejemplo, relacionado con el escándalo de Cambridge Analytica, la Oficina del Comisionado de Información (ICO) ha emitido un aviso a la compañía canadiense AggregateIQ Data Services, como parte de su investigación en curso sobre el uso de datos personales para análisis y publicidad. El ICO le ha dicho a la compañía que deje de usar los datos personales de los ciudadanos de la UE para análisis y publicidad. Si no lo hace, podría enfrentar una multa significativa bajo GDPR.

Las ruedas legales muelen lentamente y las violaciones de datos antes del 25 de mayo no están cubiertas, por lo que quizás no sea tan sorprendente que no haya más procesamientos. Sin embargo, hay muchos por ahí que todavía no cumplen con todos los detalles. Bajo GDPR, debería ser tan fácil retirar los permisos como otorgarlos, pero casi nunca es así. Además, las casillas de verificación no deben estar en"de acuerdo" por defecto, pero en algunos casos todavía lo están.

Estoy seguro de que veremos algunas multas grandes en 2019, pero probablemente también muchas más pequeñas.

Una cosa que sucedió en 2018 que no se predijo

Las autoridades del Reino Unido siempre se han mostrado renuentes a atribuir específicamente los ataques cibernéticos y acusar a otros países por sus acciones. Esto es comprensible debido a las dificultades de atribución y la necesidad de certeza y de poner evidencia de respaldo en el dominio público para contrarrestar las negativas predecibles.

Si bien hubo indicios de un cambio de política en diciembre de 2017, la Oficina de Asuntos Exteriores dijo que era "muy probable" que el Grupo Lazarus con base en Corea del Norte hubiera estado detrás del ataque de WannaCry a principios de ese año, y luego en febrero de 2018 con el National El Centro de seguridad cibernética (NCSC, por sus siglas en inglés) dijo que “el ejército ruso fue casi seguramente responsable” del ataque cibernético NotPetya de junio de 2017.

Sin embargo, el acusar a Rusia y los anuncios conjuntos de EE.UU. y el Reino Unido sobre Rusia y, en particular, el GRU, con un apoyo probatorio innegable, llevaron las cosas a un nuevo nivel. Las apuestas se volvieron a aumentar con el ataque de GRU hacia la OPCW [Organización para la Prohibición de las Armas Químicas] en La Haya, cuando se volvió a elevar el listón con el nivel de detalle publicado sobre la acción conjunta del Reino Unido, Estados Unidos y Holanda que frustra el GRU ataque.

Estos eventos han demostrado algo de la capacidad del NCSC para rastrear estos ataques. La pregunta es: ¿Cuánto más veremos en 2019?

Una cosa que debería suceder en 2019, pero probablemente no sucederá

La autenticación de dos factores (2FA) ha sido aclamada como mucho más segura que usar solo una contraseña. Sin embargo, la forma más común de 2FA es un código de autenticación enviado por mensaje de texto, a pesar de que se sabe que este método es inseguro desde hace muchos años. Por lo tanto, el uso de 2FA basado en texto simple debe detenerse lo antes posible y adoptar métodos más sólidos. Sin embargo, probablemente no será así, porque es barato y fácil.

La idea de 2FA es que hay algo que sabes (una contraseña, por ejemplo) y algo que tienes (un teléfono, por ejemplo). Esto está bien, pero se cae cuando se usan mensajes de texto para distribuir códigos. Esto se debe a que es posible que un delincuente tome el control de un número de teléfono móvil y reciba el texto. Por lo tanto, no es el teléfono del usuario específico el segundo factor, sino el número de teléfono al que se envía el texto, que puede ser fácilmente comprometido.

Las soluciones alternativas que ahora se están utilizando incluyen la "toma de huellas digitales" del dispositivo de un usuario para que pueda identificarse de manera única y si el inicio de sesión proviene de otro dispositivo, se pueden realizar verificaciones de autenticación adicionales. Esto también se puede usar en la PC de un usuario para asociarlo con un número de teléfono para fortalecer la autenticación basada en texto, pero generalmente no lo es. Por lo tanto, este enfoque se puede utilizar para proporcionar un segundo factor de forma casi transparente para el usuario.

Las organizaciones como Google y Amazon ahora también ofrecen soluciones 2FA mucho más sólidas utilizando tokens de terceros que implementan los protocolos Universal 2 Factor (U2F), y otras están comenzando a abandonar la autenticación basada en texto en favor de Google Authenticator. Sin embargo, algunas organizaciones, incluidas las instituciones financieras, continúan confiando en los mensajes de texto. Esto seguramente debería terminar en 2019, pero dudo que lo haga. 

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close