La obligación de poner un MFA

La autenticación multifactor (MFA) proporciona un elemento extra en todas las capas de seguridad del negocio, al exigir al usuario que valide sus credenciales a través de dos o más métodos de autenticación. El hecho de no disponer de este tipo de seguridad podría implicar unas consecuencias muy negativas para tu negocio.

Quizás, si hubiese escrito este artículo antes de enero no sería tan tajante. Si bien es cierto que era más recomendable tener MFA que no tenerlo, sobre todo para servicios Cloud como tu correo electrónico o cualquier servicio del que se hiciera uso de forma pública, ahora es imprescindible.

MFA en entorno de teletrabajo

¿Por qué? Obviando esos servicios públicos, lo más común era ir a nuestra oficina a trabajar. Entorno que suele ser, de estar bien construido, bastante más seguro que nuestras redes domésticas. Además, la mayoría de los servicios que podíamos usar con nuestro portátil conectado al dominio de nuestra empresa están ofrecidos por servidores (SMB para ficheros, perfiles de usuario de Windows, servidores de impresión, site con intranet interna, etc) que en general no son visibles desde internet. Es decir, operan en redes privadas difícilmente accesibles desde el exterior. Asimismo, los servidores que autentican nuestras credenciales de acceso a esos recursos tampoco solían salir de esa red privada.

¿Y qué ha pasado? El COVID-9 ha traído el teletrabajo. Y, de repente, esa red que era totalmente privada ya no puede serlo. Necesitamos acceder cada día y de forma continua a los recursos que estaban encerrados en esa red desde nuestra casa. ¿Qué utilizamos para ello? Una VPN. La VPN que nos conecta a esos recursos teóricamente privados. Y justo aquí, empieza a ser totalmente obligatorio disponer de sistemas alternativos de seguridad. De no hacerlo, «bastaría» con obtener las credenciales VPN de un usuario para acceder a la red privada. Y, si tenemos la mala suerte de que nuestros usuarios VPN son los mismos que en nuestro Active Directory, ya tenemos el lio completo.

Autenticación con doble factor, más necesaria que nunca

Desde ICM, intentamos reducir al máximo la posibilidad de que eso suceda. ¿Cómo?. Protegiendo cada punto de entrada que pueda tener una empresa con autenticación de doble factor. Y, de hecho, podemos implementar varios sistemas de autenticación para llegar a tu red privada. Por ejemplo, podemos configurar un acceso VPN para utilizar usuarios totalmente diferenciados de sus usuarios on-premise. Y, además, añadir un doble factor de autenticación a cada uno de ellos.

Ejemplo caso «real»

Imaginemos que una empresa necesita que sus trabajadores accedan a un entorno laboral ofrecido mediante una granja RDP que no está abierta al público. Con el montaje que nosotros proponemos, el usuario deberá cada mañana encender su máquina*, conectarse a una VPN proporcionada por ICM que pedirá al usuario un doble factor de autenticación. Generalmente se ejecuta a través de una aplicación en el teléfono móvil del empleado con la que éste aprobará o declinará el acceso.

Al aceptarlo, el usuario deberá conectarse a la granja RDP mediante el método que toque en cada caso. Y esa conexión RDP también exigirá que introduzca sus credenciales del dominio al que se conecta. Una vez validadas esas credenciales contra el controlador de dominio correspondiente, la conexión RDP permanecerá a la espera hasta que, nuevamente, el usuario valide mediante la aplicación de móvil la entrada en la granja RDP.

*Sobre las máquinas cliente de los usuarios, sería bueno también manejarlas con algún mecanismo de MDM. Desde ICM aconsejamos el uso de Microsoft Intune para llevar a cabo esa tarea. De esa forma, podremos aplicar políticas de seguridad, de credenciales fuertes y controlar el estado de actualización de Microsoft Defender. También ver reportes de accesos e intentos de login. En definitiva, podemos ampliar la seguridad de la conexión al entorno de trabajo hasta la propia máquina que está en casa del trabajador. Y que en principio, sólo debería utilizarse para conectar a nuestro entorno laboral.

Contraseñas y MFA

Con un sistema así, podríamos incluso llegar al punto crítico en el que a un empleado le podrían robar las dos contraseñas, la de la VPN y la de la granja RDP. Y, aun así, el atacante no sería capaz de acceder si no dispone también del dispositivo móvil del empleado para realizar en cada login la autenticación de doble factor.

Pensemos siempre que las contraseñas son un arma de doble filo. Deben ser los bastante complejas para no poder ser adivinadas por un atacante de forma sencilla, pero lo bastante sencillas para que el usuario sea capaz de recordarla. Además, si tenemos un período de rotación de passwords relativamente corto (cosa muy aconsejable) es posible que nuestros usuarios al final se vuelvan locos y acaben apuntando los passwords en sitios tales como: un posit, una nota en la cartera, una entrada en cualquier aplicación de su teléfono, etc. Por lo que MFA nos ayuda a subsanar este problema, permitiéndonos aumentar la frecuencia de rotación de passwords haciendo uso de contraseñas sencillas pero reforzadas por doble factor de autenticación en cada fase del acceso al entorno de trabajo.