Entrevista Con Julia O’Toole, Directora Ejecutiva Y Cofundadora De MyCena Security Solutions
En una entrevista reciente con SafetyDetectives , Julia O'Toole, directora ejecutiva de MyCena Security Solutions, habló sobre su trayectoria y la motivación fundamental detrás de su enfoque innovador para la seguridad de contraseñas. La lucha personal de O'Toole con la gestión de contraseñas la llevó a desarrollar una tecnología innovadora inspirada en antiguas prácticas de seguridad. MyCena ofrece soluciones SEAM, que permiten a las empresas administrar contraseñas cifradas como claves, eliminando la necesidad de que los empleados conozcan las contraseñas. O'Toole también abordó las alarmantes tendencias de ciberseguridad, los impactos ocultos de las infracciones y cómo la filosofía "Zero Trust" se alinea con el futuro de la seguridad de las contraseñas. Destacó la importancia de adaptarse a los desafíos del trabajo remoto a través de medidas de seguridad avanzadas como las que ofrece MyCena.
¿Puedes hablar sobre tu trayectoria y qué te motivó a establecer MyCena Security Solutions?
Durante décadas tuve pesadillas con las contraseñas y pude encontrar una manera de resolver mi problema. Todas las soluciones del mercado, como los libros de contraseñas o los administradores de contraseñas, no eran seguras porque tenían puntos únicos de fallo. Si pierde su libro o pierde su contraseña maestra, habrá perdido todas las claves de su vida digital. Después de años de investigación en matemáticas, neurociencia y tecnología, fue un viaje en el tiempo lo que desencadenó la solución.
Estaba deambulando entre las ruinas de la antigua ciudad griega de Micenas, de 3.000 años de antigüedad, cuando observé cómo los antiguos micénicos habían utilizado la arquitectura de la ciudad para proteger sus bienes. Habiendo construido murallas concéntricas alrededor de la ciudad, había que pasar una primera puerta, llamada Puerta de los Leones, para entrar a la ciudad, luego una segunda para acceder a la guarnición y luego una tercera para acceder al palacio del rey. Allí tuve una epifanía: “Una contraseña es sólo una clave. Nadie corta las llaves para llegar a casa. Cogemos la llave correcta para abrir la puerta correcta. De la misma manera, nadie necesita saber ninguna contraseña, solo necesitas usar la contraseña correcta para cada cuenta”.
Inspirándonos en la seguridad de la antigua ciudad de Micenas, ideamos el Método de Acceso a Datos Estructurados Almacenados y desarrollamos una tecnología de última generación que facilita la gestión de claves cifradas. Permite a las empresas generar y distribuir fácilmente contraseñas cifradas de alta seguridad para cada sistema en tiempo real a los empleados, quienes luego las usan como claves. En consecuencia, los empleados nunca conocen ninguna contraseña y, aun así, pueden abrir todas las puertas digitales.
¿Cuáles son los principales servicios que ofrece MyCena?
MyCena proporciona soluciones SEAM (Gestión de acceso cifrado segmentado). Desde una consola y sin cambios de infraestructura, las empresas pueden gestionar y distribuir contraseñas cifradas de cada sistema a los usuarios, que las utilizan como claves. Las empresas también pueden controlar quién ha accedido a qué y cuándo en tiempo real desde la consola.
¿Cuáles son las tendencias más alarmantes que ha notado en las amenazas cibernéticas relacionadas con las contraseñas en los últimos años?
La tendencia más alarmante es que los empleados conozcan las contraseñas de la empresa. Es responsable del 95% de las infracciones. Hoy en día, la mayoría de las organizaciones permiten que sus empleados creen sus propias contraseñas para acceder a sus sistemas y datos. Esto es como dejar que sus empleados traigan sus propias llaves para acceder a la oficina o a las fábricas. Como las contraseñas se pueden compartir, robar, vender, reutilizar y diseñar socialmente, esto es un 10/10 en el sistema de puntuación CVSS. Todo lo que se necesita es que un delincuente inicie sesión con una contraseña o identidad comprometida y todas las inversiones en ciberseguridad se vuelven inútiles. Eso explica por qué se gastan miles de millones de dólares en ciberseguridad y, sin embargo, las empresas siguen sufriendo incumplimientos.
Otra tendencia muy alarmante es utilizar la identidad de las personas para acceder. Las identidades son únicas. La cara, la voz y las huellas dactilares de cada persona no se pueden cambiar. La biometría son sólo datos, que son una serie de ceros y unos. Eso significa que si es robado, el daño es irreversible, la persona está muerta digitalmente y su identidad puede usarse indefinidamente para cometer fraude sin que lo sepa. La biometría tampoco es información secreta, ya que las voces y los rostros se pueden recuperar a partir de fotos, vídeos y grabaciones y, gracias a la inteligencia artificial, reutilizarse fácilmente para crear falsificaciones profundas.
Otra tendencia alarmante es el entrenamiento de contraseñas. No importa qué tan capacitado esté, si crea y conoce la contraseña, los delincuentes pueden robársela y usarla para iniciar sesión. Dado que 2FA es tan fácil de robar, la combinación de entrenamiento de contraseñas y 2FA son una protección muy débil y crean una falsa sensación de seguridad. Para evitar tales riesgos, los empleados no deben crear acceso a su empresa ni conocerlos.
Más allá de los costos financieros inmediatos, ¿cuáles son los impactos menos obvios de una violación de la seguridad relacionada con una contraseña en una empresa?
Una violación de la seguridad relacionada con la contraseña es similar a que alguien robe la clave de un sitio. Si el delincuente encuentra un acceso privilegiado que le otorga comando y control de parte de toda la red, esto puede provocar interrupción del negocio, ransomware, pérdida de datos, robo de identidad, espionaje, demandas, demandas colectivas, costos de reparación y recuperación, pérdida de reputación y incluso quiebra.
Más allá de los costos operativos, el impacto en el futuro, a veces años después de la infracción, puede ser el procesamiento de directores y funcionarios, lo que puede derivar en fuertes multas y prisión.
Una vez en la red, los delincuentes también pueden dejar puertas traseras para poder volver más tarde para otra ronda.
“Zero Trust” es una palabra de moda en ciberseguridad. ¿Cómo se alinea esta filosofía con el futuro de la seguridad de las contraseñas?
“Confianza Cero” es una palabra de moda, pero la filosofía de no confiar en las personas porque cometen errores es un sonido. Los errores son exactamente lo que evita la gestión de acceso cifrado segmentado. Al asegurarse de que las personas no conozcan las contraseñas de su organización, ya no podrán cometer errores. Este es el futuro de la seguridad de las contraseñas.
Con el auge del trabajo remoto, ¿ha notado un cambio en las amenazas cibernéticas relacionadas con las contraseñas? Si es así, ¿cómo pueden adaptarse las empresas?
Con el aumento del trabajo remoto, la superficie de ataque de los delincuentes se ha ampliado y pueden atacar más fácilmente a personas en su propia casa. Como las personas suelen utilizar contraseñas iguales o similares para cuentas personales y laborales, se puede utilizar una contraseña de phishing o ingeniería social de cualquier cuenta personal o profesional para acceder a la red de la empresa y viceversa.
Las empresas pueden adaptarse muy rápidamente asegurándose de que sus empleados nunca creen ni conozcan sus contraseñas. Como no se requiere ningún cambio de infraestructura, las soluciones MyCena SEAM (Gestión de acceso cifrado segmentado) se pueden implementar para todos sus accesos (RDP, SSH, aplicaciones web, aplicaciones locales, IAM, PAM, SSO, sistemas heredados…). Esto pone fin a los ataques de phishing, reutilización, intercambio, escritura, navegador en navegador o MiTM de contraseñas, y detiene el 95% de las infracciones antes de que ocurran.
Las empresas también pueden utilizar las funciones de restricción de IP y restricción de dispositivos en MyCena para asegurarse de que los empleados solo puedan acceder a las aplicaciones y datos de su empresa desde ciertas ubicaciones utilizando únicamente dispositivos autorizados y evitar que guarden las contraseñas de la empresa en su navegador.