El botín de las identidades no humanas

La ciberseguridad es una de las áreas que evolucionan más tecnológicamente por la sencilla razón de que los delincuentes siempre están a la vanguardia para poder sortear a las autoridades. En los últimos años, una de las amenazas más extendidas vienen asociadas a lo que se ha denominado las ‘identidades no humanas’ (NHI, por sus siglas en inglés). Simplificando el concepto, podríamos decir que las aplicaciones, los sensores, tokens (código de autenticación para verificar la identidad), los entornos de desarrollo, etc. precisan de accesos acreditados para operar y, para brindar ese acceso es necesario otorgar previamente una identidad digital.

Un reciente informe de la consultora Enterprise Strategy Group (ESG) revela que, de media, las empresas tienen que gestionar 20 veces más identidades no humanas que humanas, lo que da una idea de la complejidad; probablemente son más, puesto que en demasiadas ocasiones no se es consciente del número real de NHI que hay en la organización. De hecho, otros estudios llegan a afirmar que por cada identidad humana hay 92 NHI. Y va a más, dado que más de la mitad de las empresas (52%) creen que el número de esas NHI aumentará más de un 20% en los próximos doce meses.

Este mismo informe de ESG advierte que más de una de cada cinco de estas identidades no humanas no están suficientemente protegidas, lo que significa que la superficie de ataque y los riesgos se están disparando en las empresas. Casi la mitad (46%) de los encuestados afirma que su organización ha sufrido una violación de identidades no humanas, y otro 26 % sospecha que sus cuentas o credenciales de NHI han sido comprometidas. ¿Por qué sucede esto?

En ciberseguridad, se denomina ‘secreto’ al objeto que contiene una pequeña cantidad de datos sensibles, como puede ser una contraseña, un token o una clave. Pues bien, se estima que cerca del 40% de todos los secretos de una organización están inactivos, es decir, no son utilizados por ninguna aplicación. Sin embargo, son secretos reales y válidos que pueden ser aprovechados por el ciberdelincuente que quiebre la seguridad de la empresa. Uno de los casos más habituales es el de tokens de exempleados activos, es decir, códigos que dan acceso sin necesidad de introducir usuario y contraseña. Como guinda de ese pastel tóxico, en demasiadas ocasiones estos secretos están duplicados y almacenados en múltiples ubicaciones.

Las identidades no humanas son un filón para los actores maliciosos porque en prácticamente la totalidad de los casos se les han otorgado privilegios de acceso muy por encima de lo que realmente era necesario, abriendo puertas de par en par a realizar acciones no autorizadas dentro del sistema. Otro de los errores más comunes en las empresas es que una misma NHI es utilizada por más de una aplicación lo que, en caso de verse comprometida, amplifica los problemas. Se puede producir un efecto dominó fatal, puesto que una NHI vulnerada puede dar acceso a sistemas críticos, permitir explotar otras NHI y hacer más y más grande la bola de nieve.

¿Cuál es el resultado de este escenario? Que tal y como advierte IBM en una de sus investigaciones, el segundo tipo de ataque más frecuente y devastador para las organizaciones es, precisamente, el dirigido a las identidades no humanas. IBM calcula que, de media, contener un ataque de este tipo una vez detectado puede llevar más de 64 días y eso no es lo peor; la mala noticia es que el tiempo medio para identificar credenciales comprometidas es de 292 días. Por si esto no fuera poco, la llega de la Inteligencia Artificial generativa (GenAI, por su acrónimo en inglés) ha empeorado el panorama de manera muy significativa, puesto que para poder operar y automatizar los flujos de trabajo con estos sistemas es necesario crear más conjuntos de NHI. La compañía Pillar Security acaba de publicar un estudio en el que alerta de cómo los actores maliciosos precisan únicamente 42 segundos para completar un ataque, requiriendo únicamente cinco interacciones para conseguirlo. Además, el 90% de los ataques exitosos terminan por permitir la filtración de datos confidenciales, ya sea información comercial o datos personales identificativos.

La conclusión es obvia: ¿cómo no va a ser el responsable de ciberseguridad uno de los perfiles que sufre más estrés en las empresas? Hace unas semanas alertaba en este espacio de cómo los propios profesionales denunciaban que falta personal y presupuesto en sus departamentos. Pues bien, ahora otro estudio de PwC pone de manifiesto cómo menos de la mitad de los responsables mide el riesgo cibernético de manera efectiva y solo el 15% mide su impacto financiero. Los hallazgos del informe no llaman al optimismo, puesto que los encargados de velar por la seguridad informática en las organizaciones reconocen que precisamente las cuatro amenazas que les resultan más preocupantes hoy en día, como son las vulnerabilidades relacionadas con la nube, los ataques de hackers y la fuga de información, las infracciones de terceros o los ataques a los sistemas conectados (NHI) son para las que se sienten menos preparados.

Precisamente en el momento en el que es más necesario, da la sensación de que las empresas escatiman en ciberseguridad, menospreciándola mientras todo va bien. Cuando el ataque se consuma, en cambio, el enfoque cambia, pero ya es tarde, hasta el punto de que según PwC, sólo el 2% de las empresas ha implementado acciones de resiliencia cibernética. Claro que, ¿cómo lo van a hacer si hoy en día menos de la mitad de responsables de seguridad están involucrados en la planificación estratégica, los informes a la junta de dirección y la supervisión de las implementaciones de tecnología?