La respuesta de OptimumTIC a la COVID-19. Más información

Blog

Acceso condicional y MFA

Publicado 16 de abril de 2021
Acceso condicional y MFA

Acceso condicional y MFA

Las contraseñas robustas ya no son suficiente, incrementa la seguridad de las cuentas empleando MFA.

Ser o no ser, esa es la cuestión que está totalmente en auge actualmente… y entre otros que se plantea Azure AD (Microsoft 365), que somos Partner,  cada vez que un usuario intenta iniciar sesión. Hoy en día, establecer una contraseña robusta no es suficiente debido a que desgraciadamente la mayoría de las personas tienden a reutilizar sus contraseñas.

Debemos añadir que cada vez más a menudo aparecen nuevos casos de filtraciones de usuarios y contraseñas, o campañas de phishing, cuya principal finalidad es obtener los datos de acceso de los usuarios y/o realizar accesos indebidos no tan sencillo de demostrar.

En el momento que un atacante consigue dicha información, no hay ningún otro impedimento que le permita el acceso a todos los datos para una potencial acción de ciberdelincuencia.

Para incrementar la seguridad, entre otras medidas y en este blog hablamos de las de autenticación o la identificación, los métodos de autentificación modernos pueden solicitar más información al usuario. Los datos que se suelen solicitar son:

  • Algo que el usuario conoce: Una contraseña, PIN, …
  • Algo que el usuario tiene: Un teléfono, una llave de seguridad FIDO2, …
  • Algo que el usuario es: Huella dactilar, lector de iris, reconocimiento de voz, …
  • Basado en la ubicación: Validar la conexión sólo desde determinadas ubicaciones IP o por GPS, …

El Acceso Condicional es la herramienta que emplea Azure Active Directory para identificar las señales, tomar decisiones y aplicar las directivas definidas por la organización.

De esta manera, si un atacante obtiene los datos de acceso, después de introducir la contraseña, MFA solicitará la aceptación del inicio de sesión que aparecerá en el teléfono, o enviará un código SMS.

A partir de este momento, si el usuario recibe esta información en su teléfono y no se encuentra realizando el acceso al sistema, significará que sus datos de acceso se han visto comprometidos y deberá comunicarse urgentemente con su equipo IT para que revoque los accesos de todos los dispositivos y cambie la contraseña de inmediato. Además, si esos datos de acceso se estaban empleando en otros servicios, también se deberán cambiar las contraseñas.

Para intentar encontrar un equilibrio entre la seguridad y la usabilidad, empleamos el Acceso Condicional. De este modo, por ejemplo, si un usuario se conecta desde un dispositivo de la empresa, desde una ubicación válida, en una hora habitual, no sería necesario establecer un segundo factor de autentificación, o en su defecto, no solicitarlo tan a menudo. Si algunos de estos parámetros no coinciden, como por ejemplo el usuario se encuentra de viaje, se le solicitará MFA para confirmar que es quien dice ser, y no un atacante que ha conseguido los datos de acceso.

Y ya para concluir, no sólo es necesario proteger nuestro acceso a los datos corporativos. Recomendamos que siempre que sea posible se habilite el doble factor de autentificación (2FA) en todas las cuentas. Imagina que sucedería si un atacante obtiene los datos de inicio de las cuenta de Amazon, PayPal, Twitter, Instagram, …

La herramienta que emplearemos para proteger la cuenta de corporativa y las cuentas particulares se denomina Microsoft Authenticator y está disponible en la Play Store y la App Store. Referente a las cuentas de empresa, no será necesario recibir SMS e introducir el código, sino que la propia aplicación solicita la validación empleando una notificación push que deberemos confirmar.

En cuanto a las cuentas personales, se deberá introducir un código de 6 dígitos que cambia cada 30 segundos para validar el inicio de sesión.

Resumen y recomendación, para añadir una capa de seguridad a las cuentas, debemos emplear MFA siempre que sea posible y mitigar el riesgo de accesos indebidos o a nuestros datos.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com

OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE