La Alianza Fast Identity Online (FIDO) tiene como objetivo eliminar el uso de contraseñas para acceder a las cuentas en línea. El grupo incluye gigantes tecnológicos como Microsoft, Apple y Google, y tiene la intención de dejar de usar contraseñas, en lugar de utilizar PIN, biometría y técnicas de identificación telefónica. Pero este enfoque podría ser defectuoso. Julia O'Toole, fundadora y directora ejecutiva de MyCena Security Solutions, destaca la naturaleza equivocada del enfoque de FIDO. “En el mundo físico, la diferencia en las aplicaciones es sencilla. Tu identidad se usa para identificarte a ti mismo… solo valida que eres quien dices ser”. Ella agrega, “Por el contrario, su puerta de entrada no reconoce su identidad; en cambio, usa sus llaves para desbloquear el acceso”. Al mezclar los dos y usar un solo punto de acceso, el enfoque de FIDO podría significar que un usuario pierda todos sus accesos a la vez y esté expuesto a robos fáciles.
La Unión Europea (UE) ha acordado nuevas reglas destinadas a abordar el delito cibernético. El anuncio, realizado el 13 de mayo, se produjo tras largas consultas sobre el contenido del acuerdo. La legislación actualizada se conocerá como NIS2 y tiene como objetivo aumentar la cooperación y la resistencia a los ataques cibernéticos en los estados miembros de la UE. También existen obligaciones actualizadas de reporte de incidentes, especialmente para los sectores bancario y de servicios esenciales. Esta es una actualización de las reglas anteriores, donde los países podían elegir lo que clasificaban como "esencial" al informar incidentes. En cambio, la nueva legislación aclara las reglas, asignando la responsabilidad a cada sector crítico para proteger, informar y actualizar a las autoridades en cada paso.
La unidad de ciberseguridad de Gran Bretaña enfrentó una cantidad récord de estafas en 2021, según reveló un informe . El Centro Nacional de Seguridad Cibernética (NCSC) informó un total de 2,7 millones de casos de intento de fraude. Entre ellos, eran comunes varios intentos de phishing e ingeniería social, respaldos falsos de celebridades y correos electrónicos de extorsión. El objetivo de la gran mayoría de estas estafas era obtener credenciales o descargar malware. Una estafa en particular experimentó un gran aumento en las cifras: la cantidad de correos electrónicos falsos que afirmaban provenir del Servicio Nacional de Salud (NHS) aumentó en un 1,100 %, lo que refleja el programa de vacunación contra el COVID-19. El NCSC tiene la intención de realizar una campaña de concientización pública diseñada para informar al público sobre los peligros al usar Internet.
El nuevo gobierno costarricense está al borde del colapso luego de un ataque masivo de ransomware. Una pandilla de ransomware que se infiltró en los sistemas de Costa Rica y obtuvo datos confidenciales ahora ha dicho que tiene la intención de derrocar al gobierno. El presidente Rodrigo Chaves acaba de llegar al poder, quizás aumentando la confianza de los atacantes. La pandilla Conti, con sede en Rusia, responsable de una serie de ataques de alto impacto, elevó su demanda de rescate a $20 millones en un esfuerzo por asustar a Costa Rica para que entre en acción. Chaves anunció que Costa Rica ahora está “en guerra”, y ha declarado el estado de emergencia nacional. Se cree que la pandilla tiene acceso a al menos 27 bases de datos del gobierno y advirtió que intensificará el ataque si no se realiza el pago pronto.
Un experto en ciberseguridad ha advertidoque las pandillas de ransomware están invirtiendo sus ganancias mal habidas para hacer que los ataques sean más peligrosos. Mikko Hyppönen, Chief Research Officer de WithSecure, declaró que, hasta ahora, los equipos de ciberseguridad contaban con la ayuda de sistemas de inteligencia artificial diseñados para prevenir ataques. Ahora, sin embargo, dice que los delincuentes podrían estar reinvirtiendo sus ganancias de rescate para contratar sus propios expertos. “Algunos de estos grupos tienen tanto efectivo, o bitcoin, más bien, que ahora podrían competir potencialmente con firmas de seguridad legítimas por talento en inteligencia artificial y aprendizaje automático”, agregó. La pandilla de piratas informáticos Conti, por ejemplo, ganó alrededor de $ 180 millones en rescates de criptomonedas en 2021. Algunas de estas ganancias ahora se están invirtiendo en experiencia en IA, exploits de día cero y probadores de penetración de élite. Según Hyppönen, esto podría crear la amenaza de seguridad más importante en años.
Las contraseñas no son tan seguras como muchos piensan, y es mejor si ni siquiera las conocemos. En un podcast reciente, Julia O'Toole cubrió las debilidades inherentes a las contraseñas, como la pérdida o el robo, y los pasos que las instituciones deben tomar para mejorar sus defensas. “Hay una gran confusión en los negocios en general, entre la autenticación y la identificación”, dijo O'Toole, “pero la confusión realmente ha creado una falta de coincidencia de soluciones, lo que amplifica el problema de la inseguridad de acceso. Entonces, cuando se trata de la autenticación en sí, la idea errónea sobre las contraseñas es que en realidad necesitas conocerlas”. Al segmentar los sistemas, quitar la administración de contraseñas de las manos de los usuarios y usar la autenticación adecuada, las empresas pueden defenderse de las desastrosas consecuencias de la pérdida de contraseñas. “Nadie necesita saber una contraseña nunca”, concluyó O'Toole.
