Los últimos avances de Microsoft Entra fortalecen la seguridad de la identidad

Vendedor que completa la autenticación multifactor a través del reconocimiento facial en un teléfono móvil desde Microsoft Entra antes de trabajar desde casa.

Por: Joy Chik presidente de Identidad y acceso de red.

Si leen más allá de los titulares que llaman la atención, la mayoría de las técnicas novedosas de ciberataques se basan en identidades comprometidas.1 De hecho, de todas las formas en que un atacante puede ingresar a su patrimonio digital, el compromiso de identidad se mantiene como la más común.2 Esto convierte a la identidad en su primera línea de defensa.

En muchas organizaciones, sin embargo, demasiadas identidades no solo carecen de protecciones fundamentales, sino que también terminan con demasiados permisos de acceso que conservan durante demasiado tiempo. Nuestro nuevo Informe sobre el estado de los riesgos de los permisos en la nube, revela algunas estadísticas aleccionadoras que resaltan la importancia de proteger y administrar de manera cuidadosa sus identidades para reducir tanto el riesgo, como las oportunidades para los ciberdelincuentes.

En la multinube, más de la mitad de todas las identidades son identidades de administración y carga de trabajo que tienen todos los derechos de acceso y todos los permisos para los recursos de la nube. Esto es peligroso porque, en general, las identidades usan solo el 1 por ciento de los permisos que se les otorgan. Algunos no usan sus permisos en absoluto. De hecho, más del 60 por ciento de todas las identidades con permisos para los recursos de la nube están completamente inactivas. Con un 80%, la proporción de identidades de carga de trabajo inactivas es aún mayor, y las identidades de carga de trabajo superan en número a las identidades humanas 10 a 1.

Si bien este informe resume los problemas con los permisos de la nube, vemos problemas similares para los usuarios comerciales.

En el evento reciente de Microsoft Secure, compartí formas de fortalecer sus defensas de identidad a través de las últimas innovaciones que ofrecemos en Microsoft Entra. Estas incluyen nuevos controles de gobierno y protecciones de acceso en tiempo real para ayudarlos a proteger las identidades y los recursos a los que acceden.

Una nueva y más rápida forma de incorporarse con Microsoft Entra Identity Governance y Microsoft Entra Verified ID

Las buenas prácticas de identidad comienzan durante la incorporación, un proceso que a menudo frustra tanto a los administradores de TI como a los usuarios.

El objetivo de la incorporación es brindar a los nuevos usuarios el acceso correcto a los recursos correctos durante la cantidad de tiempo correcta, a través de respetar el principio Zero Trust (Confianza Cero) de «acceso con privilegios mínimos», desde el primer día. Sin embargo, la incorporación tradicional aún requiere una gran cantidad de papeleo redundante y formularios en línea que requieren revisión y aprobación manual antes de que los nuevos usuarios puedan comenzar a trabajar y obtener acceso a los recursos. Esto puede retrasar la contratación y aumentar el tiempo de preparación.

El ochenta y dos por ciento de las organizaciones encuestadas por Microsoft quieren una forma mejor y menos manual de realizar la verificación de identidad, y ahora tienen una.3 Microsoft Entra Identity Governance y Microsoft Entra Verified ID ahora trabajan juntos para simplificar la incorporación. En lugar de pasar semanas en recopilar y verificar documentación previa a la contratación, como certificaciones de educación e industria, las organizaciones pueden validar todo de manera digital, a través de la utilización de credenciales de identificación verificadas, emitidas por autoridades de confianza.

Cuando utilizan la administración de derechos en Identity Governance para crear un paquete de acceso con aplicaciones específicas y configuraciones de caducidad, ahora pueden solicitar una identificación verificada como parte del flujo de trabajo de aprobación.4 Con la administración de derechos, pueden hacer que el proceso de incorporación sea digital y autónomo, sin requerir de un administrador.5 Los nuevos usuarios reciben un correo electrónico de bienvenida automatizado con un enlace al portal My Access. Una vez que comparten la identificación verificada requerida y su gerente aprueba su solicitud de acceso, obtienen todos los permisos de acceso a su lugar de trabajo a la vez. Cuando caducan sus permisos, pueden volver a probar de manera sencilla su identidad a través de su identificación verificada sin pasar por un largo proceso de renovación.

Este proceso de incorporación simplificado es más rápido, más seguro y requiere menos recursos. Las organizaciones pasarán menos tiempo en la validación de credenciales en papel y en la aprobación manual de solicitudes de acceso, y más tiempo en colaboración e innovación. Además, otras características de Identity Governance, como la automatización de las tareas rutinarias de entrada, salida y traslado, ayudan a mantener los permisos en el tamaño adecuado a lo largo del tiempo.

Nuevas protecciones para ayudar a asegurar el acceso

Una vez que un nuevo usuario está a bordo, Microsoft Entra lo ayuda a asegurar su acceso. Esto comienza con controles proactivos, como hacer cumplir la autenticación multifactor.

Las sólidas defensas de inicio de sesión lo hacen menos atractivo y menos vulnerable para la mayoría de los atacantes, que no tienen la destreza técnica, la financiación o los recursos de grupos más sofisticados. Los ataques de credenciales son los más comunes porque cuestan poco, pero ustedes pueden interrumpirlos con la autenticación multifactor.6 Nuestros datos muestran que más del 99.9 % de las cuentas comprometidas no tienen habilitada la autenticación multifactor.

Sin embargo, los atacantes sofisticados tratan de evitar la autenticación multifactor con técnicas como el secuestro de SIM y los ataques de fatiga de autenticación multifactor. Para contrarrestar estas técnicas, Microsoft Entra admite métodos de autenticación multifactor resistentes al phishing. Estos incluyen opciones sin contraseña como Windows Hello for Business y claves de seguridad FIDO2. La autenticación basada en certificados también está disponible para organizaciones estandarizadas en ella.

Cuando habiliten la autenticación multifactor, por supuesto, busquen adoptar los métodos más fuertes. Los métodos más antiguos, como los SMS y las llamadas de voz, son menos seguros.

Las funciones resistentes al phishing en Microsoft Authenticator fortalecen aún más sus defensas de autenticación multifactor.7 La coincidencia de números requiere que los usuarios ingresen un número que se muestra en la pantalla de inicio de sesión, lo que dificulta la aprobación accidental de una solicitud. Para ayudar a los usuarios a confirmar que aprueban una solicitud de acceso realizada por ellos (y no por un atacante), el contexto de la aplicación les muestra en qué aplicación inician sesión, mientras que el contexto de la ubicación muestra su ubicación de inicio de sesión según la dirección IP de su dispositivo.

Y ahora, con las fortalezas de la autenticación de acceso condicional, los administradores pueden establecer una política según la fortaleza de la autenticación multifactor requerida, y basar esa política en la confidencialidad de las aplicaciones y los recursos a los que un usuario intenta acceder.8 En conjunto, ampliamos la autenticación multifactor resistente a phishing a más escenarios. Por ejemplo, pueden solicitar una autenticación multifactor resistente al phishing para las máquinas virtuales de Microsoft Azure a fin de proteger los inicios de sesión remotos y brindar una cobertura integral para los entornos de desarrollo, prueba y producción. También pueden requerirlo para usuarios externos y para usuarios que tienen que moverse entre diferentes instancias de nube de Microsoft para colaborar, por ejemplo, entre nubes gubernamentales y comerciales.9

Además, con el acceso condicional para acciones de alto riesgo, ahora pueden solicitar autenticación multifactor resistente al phishing para acciones confidenciales, como modificar políticas de acceso y, más adelante, agregar una nueva credencial a una aplicación o cambiar la configuración de confianza federada. También pueden restringir las acciones de alto riesgo según el cumplimiento del dispositivo o la ubicación.

Nuevas contramedidas para ayudar a prevenir el movimiento lateral

Una vez que un nuevo usuario ha iniciado sesión, Microsoft Entra lo ayuda a adoptar una postura proactiva de «asumir incumplimiento» para proteger sus credenciales y evitar el movimiento lateral. Esto es esencial porque los ataques posteriores a la autenticación, como el robo de tokens a través de malware, la extracción de registros mal configurados y el compromiso de la infraestructura de enrutamiento, están en aumento.10

Los atacantes reproducen tokens robados para hacerse pasar por un usuario autenticado. Así como los ladrones copian el número de una tarjeta de crédito o leen su código RFID y luego van de compras hasta que el banco se da cuenta y congela la tarjeta, los atacantes roban tokens para acceder a sus recursos digitales, y causan mucho daño, hasta que ese token caduca.

Dos nuevas capacidades en Microsoft Entra cierran la ventana de reproducción del token.

En primer lugar, la aplicación estricta de las políticas de ubicación permite a los proveedores de recursos utilizar la evaluación de acceso continuo (Continuous Access Evaluation – CAE, por sus siglas en inglés) para revocar de inmediato los tokens que no cumplen con las políticas de ubicación. Hasta ahora, un token robado podía permanecer válido durante una hora o más, incluso si un atacante intentaba reproducirlo fuera del rango de ubicación permitido por la política.

Exchange Online, SharePoint y Microsoft Graph ahora pueden responder a eventos de cambio de red al revocar tokens casi en tiempo real. Dado que CAE es parte de la plataforma de identidad de Microsoft, cientos de aplicaciones lo han adoptado para beneficiarse de la aplicación de políticas de ubicación y otros eventos de CAE. Esto incluye aplicaciones de Microsoft 365 como Outlook, Microsoft Teams y OneDrive, así como la aplicación de correo integrada en Mac, iPhone y iPad. Las aplicaciones de terceros pueden adoptar CAE a través de la biblioteca de autenticación de servicios de Microsoft.11

Si bien cerrar la ventana de reproducción del token es un gran paso adelante, también trabajamos para asegurarnos de que nunca se abra en primer lugar a través de una nueva capacidad llamada Protección de token.12 Esto agrega una clave criptográfica a los tokens emitidos que impide que los atacantes los reproduzcan en un dispositivo diferente, que es como tener una tarjeta de crédito que se desactiva de manera instantánea si alguien se las roba de la billetera.

Como primer paso, agregamos esta capacidad para sesiones de inicio de sesión en Windows (versión 10 o posterior). Más adelante, ampliaremos esta capacidad a otras plataformas y abordaremos más escenarios de Windows, como sesiones de aplicaciones y cookies de carga de trabajo.

Un nuevo tablero para ayudar a cerrar las brechas en las políticas

Las nuevas protecciones de identidad descritas antes son solo una parte de lo que está disponible para crear políticas granulares de acceso condicional. Para ayudarlos a encontrar áreas vulnerables en su entorno, hemos agregado un panel de información general a la hoja de acceso condicional de Microsoft Azure Active Directory que resume su postura de política, identifica usuarios y aplicaciones desprotegidos, brinda información y recomendaciones sobre la cobertura de acceso condicional según la actividad de inicio de sesión y les ayuda a investigar el impacto de políticas individuales. Esto los ayudará a identificar de manera más rápida dónde necesitan aplicar mejor los principios de Zero Trust, para que puedan fortalecer sus defensas.

La buena gobernanza de permisos y la protección contra el compromiso de la identidad son estrategias esenciales para mantener seguros a su personal y sus recursos.

Conozcan más

Conozcan más sobre Microsoft Entra.

Para obtener más información sobre las nuevas capacidades de gobierno y protección de identidad descritas en esta publicación de blog, consulten estas sesiones de Microsoft Secure. Para revisar todas las nuevas innovaciones anunciadas en Microsoft Secure, lean la publicación de blog de Vasu Jakkal.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y Twitter (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.


12023 tendencias y soluciones de seguridad de identidad de Microsoft, Alex Weinert. 26 de enero de 2023.

2Informe de investigaciones de violación de datos de Verizon 2022. 2022.

3Encuesta de Microsoft a 3 mil empresas con sede en Estados Unidos con más de 500 usuarios. 2021.

4Agreguen un requisito de identificación verificada (versión preliminar), Microsoft Learn. 24 de enero de 2023.

5¿Qué es la gestión de derechos? Microsoft Learn. 9 de marzo de 2023.

6Navegar por el panorama de autenticación en constante evolución, Pamela Dingle. 10 de enero de 2023.

7Defiendan a sus usuarios de los ataques de fatiga de MFA, Alex Weinert. 28 de septiembre de 2022.

8Fuerza de autenticación de acceso condicional, Microsoft Learn. 29 de enero de 2023.

9Configuren los ajustes de la nube de Microsoft para la colaboración B2B, Microsoft Learn. 9 de marzo de 2023.

10Tácticas de tokens: cómo prevenir, detectar y responder al robo de tokens en la nube, expertos en seguridad de Microsoft y respuesta ante incidentes de Microsoft. 16 de noviembre de 2022.

11Cómo usar las API habilitadas para la evaluación de acceso continuo en sus aplicaciones, Microsoft Learn. 2 de marzo de 2023.

12Acceso condicional: protección de token, Microsoft Learn. 8 de marzo de 2023.

Tags: , , ,

Publicaciones Relacionadas