Cómo establecer un ancla de confianza (O: Incorporación digital para empleados remotos)

 Image by Romain Dancre <https://unsplash.com/@romaindancre> via <https://unsplash.com/photos/doplSDELX7E>

El siguiente escenario resultará familiar para la mayoría de los lectores que tuvieron que trabajar desde casa durante la reciente pandemia.

El día comienza y te sientas frente a tu ordenador de trabajo. Lo enciendes y se te solicitan tus credenciales. Alguna forma de autenticación multifactor (MFA) más o menos sofisticada ayuda a garantizar que eres quien dices ser. De esta manera, tu empresa se asegura de que sólo las personas autorizadas pueden acceder a los recursos corporativos.

Dejando a un lado los muchos retos que este escenario conlleva bajo el capó, lo cierto es que sabemos bastante bien cómo solucionarlos. Sabemos qué métodos, tecnologías y prácticas se pueden emplear y cuáles no se puede o no se debe.

Sin embargo, la reciente pandemia ha descubierto una debilidad fundamental, común a la mayoría de las organizaciones. Antes de 2020, el proceso típico sería el siguiente.

  1. Tengo la intención de teletrabajar, por lo que necesitaré tener acceso a la red o a los sistemas de la empresa desde mi casa.
  2. Para hacer esto, tendré que proporcionar alguna garantía adicional, además de mi contraseña (de lo contrario, cualquiera que haya robado mi contraseña podrá acceder). Este proceso se conoce como MFA. Podría ser un código enviado a mi teléfono, por ejemplo.
  3. Para hacer esto, necesitaré configurar mi teléfono de manera segura para que sea este factor adicional (de lo contrario, quien haya robado mi contraseña podría configurar su propio teléfono y ser capaz de acceder). Por lo general, hacemos esto permitiendo que solo se configure un nuevo teléfono si ya está conectado a la red de la empresa.
  4. Para hacer esto, antes de que pueda conectarme desde casa, debo haber configurado mi teléfono estando en la oficina en persona, lo que solo pueden hacer los empleados (de lo contrario, quienquiera que haya robado mi contraseña tendría una forma de configurar su propio teléfono, y podría acceder). Normalmente hacemos esto restringiendo el acceso a la red de la empresa tanto física como técnicamente.

(Desde luego, existen variaciones a este proceso. Algunas organizaciones envían códigos de un solo uso a la dirección de correo electrónico del empleado... lo cual es aún peor, ya que robar la contraseña a menudo implica tener acceso al correo electrónico. Para fines educativos, el escenario anterior es lo suficientemente genérico)

Y entonces llegó la pandemia del COVID-19. Ahora, estar en la oficina no era ya una opción, por lo que la presencia física no podía usarse para verificar la identidad de uno. De cualquier manera, nunca debiera haberse hecho.

Durante más de un año, los profesionales de IAM, Seguridad y IT han estado hablando sobre la autenticación de los empleados remotos que ya conocemos. Nuestra fuerza laboral actual. Pero, ¿qué hay de aquellos que aún no conocíamos? En una situación de teletrabajo tan prolongada como la que hemos tenido, la mayoría de las organizaciones han contratado nuevos trabajadores, que no han puesto un pie en la oficina durante mucho tiempo. Por lo tanto, el paso #4 anterior no es siquiera una opción. Lo mismo ocurre cuando mi teléfono se estropea y necesito comprar uno nuevo... ¿Quiere decir esto que me quedo aislado, ya que no puedo ir a la oficina para configurar mi nuevo teléfono como factor de autenticación?

Efectivamente, esta es una debilidad de nuestro proceso. Pero no es la debilidad que mencionamos al principio de este artículo. Sigamos adelante y encontrémosla.

¿Qué hacemos cuando acabamos de contratar a un tal John Smith al otro lado del mundo o cuando necesito configurar un nuevo teléfono para MFA? Normalmente, abrimos un ticket con el (heróico) equipo de soporte de TI. Pero... ¿qué pueden hacer ellos? ¿Cómo pueden ayudar en realidad? El problema no estécnico en absoluto, sino de confianza. La cuestión es que no tenemos forma de saber que John Smith es realmente quien dice ser. Podría ser un atacante que ha robado las credenciales de John y está intentando configurar un acceso remoto para acceder a nuestro entorno. Lo mismo es cierto para quien robó mi contraseña e intenta configurar su teléfono para acceder a nuestra red / sistemas.

Centrémonos en el caso más complejo (el de John, un nuevo empleado), que engloba al otro (restablecimiento de MFA). ¿Cómo podemos asegurarnos de que John (a quien nunca hemos conocido en persona) será el que reciba los medios para acceder de forma remota?

Podemos enviar un código de configuración de un solo uso al correo electrónico de trabajo. Con él, los empleados pueden configurar su teléfono para MFA.

No. Como vimos antes, esto no funciona, ya que quien robó su contraseña también puede acceder a su correo de trabajo.

De acuerdo. Podemos enviar un código de configuración de un solo uso al correo electrónico personal. Con él, los empleados pueden configurar su teléfono para MFA.

No. Esto tampoco funciona. ¿Cómo podemos estar seguros de que esta dirección de correo electrónico es en realidad la de John y no la del atacante? ¿Qué canal ha usado este supuesto John para revelarnos esta dirección?

Vale. John puede simplemente proporcionar su dirección de correo electrónico personal al firmar su contrato, entonces.

De acuerdo... ¿Y cómo sabemos que fue John quien firmó su contrato? Esto ya no se hizo en persona, sino de forma remota, como todo lo demás. ¿Cómo sabemos que el atacante no inició ya el ataque al establecer ese ancla de confianza inicial? Sería el único individuo que habríamos conocido, falseando su identidad desde el principio, y a quien le daríamos los mismos privilegios que a cualquier otro empleado (y recordemos que algunos empleados necesitan MUCHOS privilegios). Nunca fue realmente John Smith, simplemente. Podría haber falsificado todo el proceso de contratación para lograr robar datos financieros o de clientes, por ejemplo.

¡Por el amor de...! ¡¡Pero sí que proporcionó una copia de su documento de identidad oficial!!

¡Ajá! Y aquí está esa debilidad fundamental de la que hablábamos antes... ¿Está nuestra organización validando la autenticidad de esos documentos? ¿Somos siquiera capaces de hacerlo? ¿Tenemos personas en nuestro departamento de Recursos Humanos que sean expertos en identificar un pasaporte brasileño falso de 1981? ¿O simplemente estamos recibiendo documentación personal ciegamente y almacenándola sin ni siquiera abrirla? (Lo cual tiene sentido, ya que ni siquiera sabemos qué buscar). Hemos vivido con el engaño de que nuestro proceso de selección de RR.HH. era lo suficientemente sólido como para garantizar la identidad de nuestros empleados.

Esta debilidad en el procedimiento podía ser una preocupación menor en el mundo anterior al COVID, cuando teníamos medidas compensatorias adicionales (aunque también débiles) para hacer que los nuevos empleados se mostraran, en persona, en la oficina, antes de poder acceder de forma remota. Era muy poco probable que se tomaran la molestia de hacerse pasar por un nuevo empleado. Pero en un mundo en el que es posible que nunca veamos a algunos de nuestros colegas en una oficina (lo que significa que necesitan acceso remoto), este defecto será mucho más explotable por ávidos atacantes que nunca necesitarán salir a la luz. Solo necesitan embarcarse en algunos procesos de reclutamiento con un currículum muy adecuado y falso, un pasaporte igualmente adecuado y falso, y esperar a que uno de ellos funcione lo suficientemente bien como para darles una oportunidad. De hecho, pueden hacer cientos de esos procesos en paralelo, para decenas de empresas. Tarde o temprano, tendrán éxito.

¿Y qué hacemos al respecto, entonces?

No desesperemos. El futuro se presenta bastante halagüeño por las oportunidades que trae. En este momento, existen empresas con visión de futuro que aprovechan una combinación de Machine Learning e investigación humana para detectar si un documento emitido por el gobierno es legítimo o no. Una vez que esto ya se sabe, y para asegurarse de que no haya sido robado simplemente por un desaprensivo con suficiente parecido físico, también requerirán reconocimiento facial en video, haciendo que el candidato mueva la cara de una manera particular y pronuncie ciertas palabras para asegurarse de que sea la misma persona que en el documento proporcionado. En ese momento, ya tenemos un ancla de confianza muy fuerte, demostrando que el candidato es quien dice ser, y podemos solicitar en este momento el mecanismo para configurar MFA (dirección de correo electrónico personal, número de teléfono, datos biométricos, etc.)

Lo más interesante es que este tipo de proceso se puede consumir como un servicio, eliminando la necesidad de que nuestra organización maneje verificaciones para las que no estamos equipados. Por lo tanto, separamos el proceso de verificación de identidad, que el proveedor realizará independientemente del empleador, y consumimos la identidad digital resultante.

Es importante recordar que todo el flujo, desde se contrata a un usuario hasta que se le da acceso para aprobar pagos, es una cadena de confianza; cada enlace sujeto al anterior, hasta que todo se afianza a ese ancla de confianza; ese dato fundamental que consideramos cierto por encima de todo. Sabemos perfectamente que cualquier eslabón débil comprometerá la cadena. Pero un ancla débil hará que todo se venga abajo, incluso cuando todos los enlaces permanezcan intactos.

Comentarios

Entradas populares de este blog

Por qué es importante tener un sistema centralizado de Gestión de Acceso (O: “Autorización-como-Servicio”)

No hay que preocuparse por los usuarios privilegiados (O: Controlando acciones, no personas)

La importancia de la gramática en IAM (AKA: Un permiso es un verbo)