Es probable que no hayas escuchado el término “Gestión de Identidades” dentro del ámbito de la ciberseguridad, en este artículo veremos qué es y su gran relevancia.
¿Qué es la Gestión de Identidades?
La gestión de identidades, también conocida como GDI, es un conjunto de procesos, políticas y tecnologías diseñadas para administrar y proteger a los usuarios. Este concepto abarca desde un usuario de un ordenador personal, hasta organizaciones más extensas, como empresas que buscan administrar y gestionar los usuarios de sus empleados.
En términos sencillos, podríamos compararla con un portero virtual que asegura que solo las personas autorizadas acceden a un lugar en internet, o a un recurso en específico.
Debido a que se encuentra entre los usuarios y los activos empresariales críticos, la gestión de identidades y accesos es un componente fundamental de cualquier programa de seguridad empresarial. Ayuda a proteger contra credenciales de usuario comprometidas y contraseñas fáciles de descifrar que son puntos de entrada de red comunes para piratas informáticos criminales que desean plantar ransomware o robar datos.
No debemos olvidar que la administración de las identidades determinará si un usuario tiene acceso a los sistemas, pero también establece el nivel de acceso y los permisos que tiene un usuario en un sistema en particular. Por ejemplo, un usuario puede tener autorización para acceder a un sistema, pero estar restringido en algunos de sus componentes.
¿Y cómo conseguimos esta seguridad?
Aunque no relaciones la Gestión de Identidades con tu vida cotidiana, es algo que como usuario utilizas todos los días. Los factores de autenticación forman parte de muchos de los procesos que realizamos. Y te preguntarás, ¿qué es un factor de autenticación? Los segmentamos en 3 tipos:
Algo que sé:
- Contraseña
- PIN
- Fecha de nacimiento
Algo que tengo
- SMS con un código de 6 dígitos
- Tarjetas de identificación
- Aplicaciones que generan códigos (Ej. Microsoft Authenticator, Google Authenticator)
Algo que soy
- Huella dactilar
- FaceID
Buenas prácticas, la mejor manera de ayudarnos de la GDI
Pese que siempre configuremos un factor “algo que sé” (como contraseñas y PIN), los avances en ataques para obtener información confidencial hacen que esto no sea suficiente. Con recurrencia se producen ataques con filtraciones masivas de datos, que incluyen información sensible como nuestras contraseñas. Una práctica de “hacking” muy habitual consiste en simular páginas web de confianza (nuestro banco, redes sociales), para que nosotros introduzcamos nuestras credenciales y así tener acceso a nuestras cuentas.
En este punto es donde la GDI nos ayuda como usuarios, las buenas prácticas siempre indican que debemos tener al menos 2 factores de autenticación distintos. Varios ejemplos:
- Quieres entrar a Facebook con tu contraseña (algo que sé), y te pide un segundo factor, en este caso has configurado el SMS con un código de 6 dígitos.
- Quieren realizar una operativa después de obtener tus credenciales bancarias, pero has configurado el doble factor y esto impide que finalicen la operación.
- Quieres entrar a Outlook Online para el correo de la empresa. Introduces tu correo y contraseña, y para confirmar que eres tú te pide confirmar a través de la aplicación de Microsoft Authenticator.
Para finalizar, quiero aconsejarte que recuerdes que las contraseñas conllevan varias debilidades. Es importante destacar que estas incluyen ser fáciles de adivinar, ser fáciles de descifrar, ser fáciles de phishing y repetirse constantemente. Las contraseñas repetidas permiten a los piratas informáticos ingresar a múltiples servidores, bases de datos y redes. Por lo tanto, la construcción de una mayor autenticación en torno a las contraseñas debe convertirse en una consideración clave para tu seguridad.
