¿Necesita su organización un inicio de sesión único?
Los responsables de TI operan en un sector marcado por el cambio constante. Las nuevas tecnologías traen consigo tanto oportunidades como riesgos y amplían las capacidades de los departamentos de TI de las empresas a cada paso. Mantenerse al tanto de estos cambios debería ser primordial para todo líder tecnológico: con los hackers en constante búsqueda de nuevas vulnerabilidades que explotar, tomar las decisiones correctas en torno a la seguridad de su pila tecnológica es primordial tanto para el futuro de su empresa como para el suyo propio.
La complejidad de una pila de TI moderna habría sido inimaginable para un CTO hace solo unos años: en 2000, la empresa promedio usaba solo 4 o 5 soluciones de software empresarial, todas las cuales se mantenían en los propios servidores de la empresa. En 2019, según el Wall Street Journal, la gran empresa media desplegó unas 129 apps-un aumento del 68% en solo cuatro años-, mientras que las empresas más pequeñas despliegan alrededor de 73 soluciones tecnológicas diferentes. Y la mayoría de esas aplicaciones son soluciones SaaS basadas en la nube, lo que aumenta enormemente tanto la complejidad como la seguridad de la pila.
En este contexto, no es de extrañar que muchas empresas hayan empezado a explorar el inicio de sesión único (SSO) como posible solución para aumentar la seguridad. Siga leyendo para saber por qué el SSO debería formar parte de los protocolos de seguridad informática de su organización.
¿Qué es el inicio de sesión único?
El inicio de sesión único (SSO) es un mecanismo de autenticación seguro basado en web. Comparte identidades entre organizaciones y aplicaciones y tiene el potencial de eliminar la necesidad de que las personas recuerden información de inicio de sesión separada para cada una de las aplicaciones y servicios que utilizan a diario. En su lugar, los usuarios inician sesión en el entorno empresarial de su empresa y automáticamente se conectan a cualquier aplicación dentro de la pila tecnológica de la empresa a la que el administrador de TI les haya proporcionado acceso.
Por qué las contraseñas son un problema
Aunque las buenas prácticas de higiene de seguridad recomiendan utilizar un nombre de usuario y una contraseña únicos para cada aplicación o servicio, un artículo de TechRepublic de 2019 señalaba que el empleado medio cambia entre una media de 35 aplicaciones diferentes más de 1000 veces al día. Esta proliferación de nombres de usuario y contraseñas no estandarizados hace que sea casi imposible que los empleados practiquen una higiene de seguridad eficaz: muchos recurren a prácticas no recomendadas, como anotar los datos de inicio de sesión, o simplemente repetir las credenciales en diferentes servicios.
Además, esta proliferación de contraseñas también provoca la frustración de los usuarios y genera problemas de productividad, tanto en la función de TI, que debe hacer frente al aumento de solicitudes de asistencia y restablecimiento de contraseñas, como en el conjunto de la empresa, ya que los empleados también pierden un tiempo valioso ocupándose de la gestión de contraseñas.
¿Qué ventajas ofrece el SSO?
Entre las principales ventajas del SSO figuran la mejora de la seguridad y la productividad y el ahorro de costes en toda la organización.
Seguridad mejorada
En los últimos años, varios hackeos de gran repercusión en grandes empresas han dejado al descubierto datos confidenciales de millones de clientes. Estas brechas cuestan a las empresas tiempo, reputación y miles de millones de dólares en multas, indemnizaciones y pérdida de ingresos. (Para ver un ejemplo, consulte el estudio de caso de Equifax, más abajo).
Si bien el SSO no evitará que los hackers busquen vulnerabilidades para explotar, puede restringir la fuente más común de infracciones relacionadas con la piratería informática. Según el 2019 de Verizon sobre investigaciones de filtraciones de datos (https://www.verizon.com/business/resources/reports/dbir/), los ataques en los que las credenciales habían sido pirateadas o suplantadas fueron la fuente más común de filtración de datos, representando el 52% de todas las filtraciones.
Sin embargo, aunque grandes empresas como Capital One y Equifax acaparen los titulares, las empresas más pequeñas también corren peligro. Como indica el informe de Verizon, el 43% de las filtraciones afectan a pequeñas empresas.
Ahorro de costes y aumento de la productividad
Según Gartner Group, hasta el 50% de las llamadas al servicio de asistencia de una empresa son para restablecer contraseñas, un coste directo que afecta a casi todas las empresas, por no mencionar una fuente de fricción que lastra la productividad de los trabajadores individuales y del servicio de asistencia en su conjunto.
Como ya se ha comentado, cuantas más aplicaciones tenga que iniciar sesión un empleado, mayor será el riesgo de que reutilice contraseñas (creando un riesgo para la seguridad) u olvide sus credenciales, lo que se traduce en una llamada al servicio de asistencia y en la pérdida de valiosos minutos y horas.
Además de ayudar a reducir estos costes financieros y de productividad en el día a día, el SSO también ofrece a los responsables de TI la oportunidad de conceder o revocar el acceso a múltiples aplicaciones simultáneamente. Esto puede ayudar a mejorar la eficiencia de los procesos de incorporación de nuevos empleados a la empresa, controlar el acceso de empleados remotos y contratistas, y también aumentar la seguridad cuando un empleado abandona la organización.
¿Qué es SAML?
Para que el SSO funcione, las partes implicadas deben poder autenticarse mutuamente y autorizar el acceso. Actualmente, los dos estándares principales son SAML 2.0 (Security Assertion Markup Language) y OpenID Connect.
Doodle utiliza SAML 2.0 para la autenticación y autorización. La principal ventaja de SAML 2.0 es que, durante el inicio de sesión, almacena los datos de autenticación del usuario como una firma XML segura. Esta firma puede transmitirse entre proveedores de confianza, lo que permite al usuario acceder a cualquier aplicación que acepte las credenciales sin tener que iniciar sesión de nuevo.
Estudio de caso: Equifax
En 2017, Equifax, una de las mayores agencias de control de crédito del mundo, fue hackeada por un grupo que robó la información personal de 147,7 millones de estadounidenses, más de la mitad de la población adulta de Estados Unidos.
Según un de la Oficina de Rendición de Cuentas del Gobierno (GAO) de 2018 (https://www.gao.gov/products/gao-18-371sp), los piratas informáticos descubrieron una vulnerabilidad conocida en el portal de disputas en línea de Equifax, y la explotaron de varias maneras, incluso para descubrir "nombres de usuario y contraseñas sin cifrar que podrían proporcionar a los atacantes acceso a varias otras bases de datos de Equifax". Según el Director de Seguridad interino de Equifax, los atacantes fueron capaces de aprovechar estas credenciales para ampliar su acceso más allá de las 3 bases de datos asociadas con el portal de disputas en línea, para incluir otras 48 bases de datos no relacionadas."
El hackeo tuvo graves consecuencias tanto para Equifax como corporación como para los empleados que se habían encargado de la seguridad de Equifax. En septiembre de 2017, una semana después de que Equifax hiciera público el hackeo, tanto su CIO como su Chief Security Officer se retiraron. Mientras tanto, al menos otros dos empleados de alto nivel han pasado tiempo en la cárcel por uso de información privilegiada relacionada con el hackeo: ambos vendieron acciones de la compañía después de que el hackeo se conociera internamente, pero antes de que se hubiera anunciado al público.
En julio de 2019, Equifax llegó a un acuerdo con la FTC para pagar entre 575 y 700 millones de dólares en multas y proporcionar compensación y monitoreo de crédito gratuito para las personas afectadas en el hackeo. Si Equifax hubiera contado con una sólida implementación de SSO, bien podría haber evitado las multas, la pérdida de confianza y reputación, y otros costes en los que incurrió como resultado directo del hackeo.
¿Cómo se exponen las contraseñas?
Los piratas informáticos pueden acceder a una contraseña de muchas maneras. He aquí algunos de los métodos más comunes:
Hacking - Como se vio en el caso de Equifax, el hacking implica que un usuario no autorizado obtenga acceso a uno o más registros de ID de usuario y contraseñas, normalmente explotando debilidades de seguridad.
**Cracking - Muchos usuarios, sobre todo de aplicaciones empresariales, tienden a utilizar contraseñas predecibles. El cracking implica el uso de software para iterar rápidamente a través de múltiples variaciones de las contraseñas más comunes en un intento de encontrar una coincidencia.
**Phishing - Las estafas de phishing suelen consistir en el envío por parte de un hacker de un correo electrónico que dirige a un usuario desprevenido a una página de inicio de sesión falsa y convincente que se ha configurado para capturar las credenciales de inicio de sesión.
**Registro de pulsaciones de teclas - El registro de pulsaciones de teclas consiste en un programa malicioso, descargado por el usuario sin saberlo o implantado por un tercero, que lee las pulsaciones de teclas del usuario y las almacena para que un pirata informático pueda acceder a ellas.
¿Es el inicio de sesión único adecuado para usted?
No hay duda de que el inicio de sesión único elimina muchos de los riesgos y puntos débiles de las organizaciones con pilas tecnológicas complejas. La capacidad de eliminar la falta de higiene de las contraseñas como factor de riesgo reduce en gran medida la exposición a todos los ataques de piratas informáticos, excepto los más dedicados y sofisticados. Y, al reducir el número de puntos débiles en la infraestructura de seguridad de la organización, los responsables de tecnología pueden pasar del modo reactivo (solucionar las vulnerabilidades a medida que salen a la luz) a destinar recursos a la supervisión y comprobación proactivas de la seguridad de su organización.
Reconociendo sus beneficios para la seguridad, la productividad y la comodidad, muchas de las soluciones SaaS corporativas más conocidas ofrecen la integración de SSO como parte de su servicio. Como tal, la integración de SSO en la estrategia de TI de su organización es probablemente el camino a seguir si se encuentra con cualquiera de los siguientes criterios:
Por supuesto, ninguna solución puede eliminar completamente el riesgo, y es importante ser consciente de que el SSO puede no ser apropiado en todos los escenarios. Por ejemplo, en organizaciones en las que muchos usuarios comparten o pueden acceder a los mismos dispositivos o terminales, existe un mayor riesgo de que usuarios no autorizados accedan a las aplicaciones y datos de otros usuarios.
¿Qué más debo saber?
Aunque las posibilidades de ser pirateado son significativamente menores con el SSO, el pirateo de un único usuario le daría acceso ilimitado a todos los datos almacenados en cualquiera de las aplicaciones a las que el usuario tuviera acceso. Por ello, los líderes que opten por el SSO como solución pueden reducir aún más su riesgo adoptando los siguientes protocolos:
Para obtener más información sobre cómo Doodle se integra con los proveedores de inicio de sesión único, ponte en contacto con nosotros.