Una investigación del Departamento de Servicios Financieros del Estado de Nueva York, acerca del hackeo de Twitter este verano, ha puesto de manifiesto la facilidad con la que esta red social se ha dejado engañar por una técnica de ingeniería social simple. En el informe, el NYSDFS señala la rapidez con la que las empresas de criptomonedas reguladas actuaron para evitar que los piratas informáticos de Twitter estafaran a más personas, argumentando que esto demuestra que la innovación tecnológica y la regulación no son mutuamente excluyentes.

También hacen hincapié en que las grandes plataformas de redes sociales tienen un enorme poder social (con todo el riesgo que ello conlleva asociado al consumidor), pero carecen de responsabilidades reguladas para proteger a los usuarios.

El informe del NYSDFS sobre el hackeo de Twitter resume la lucha que tienen muchas organizaciones hoy en día acerca de cómo proteger mejor la creciente cantidad de identidades que requieren acceso a sistemas y datos confidenciales. Como se describe en el informe, Twitter no ha podido evitar que los piratas informáticos accedieran a las poderosas herramientas internas utilizadas para administrar las cuentas. El informe también destaca la falta de “controles de acceso adecuados y gestión de identidad”, pero lo que es más importante, apunta a que fue un fallo respecto a entender el concepto de acceso privilegiado y asegurarlo en toda la organización. Dado que las contraseñas se ponen en peligro tan fácilmente, se hace necesario recordar a las organizaciones que deben adoptar, totalmente, la confianza cero y la biometría como componentes esenciales de la autorización de acceso remoto.

Según la acción que se está tomando, cada usuario puede tener privilegios en cualquier momento, y es ese acceso el que los atacantes buscan constantemente para ejecutar sus estrategias. Lo hemos visto en numerosas ocasiones: los atacantes encuentran el punto más fácil para entrar a un sistema y, una vez dentro, buscan oportunidades para escalar a una cuenta privilegiada para, posteriormente, utilizar dicho privilegio para interrumpir u obtener ganancias financieras. A medida que el acceso privilegiado continúa proliferando en toda la empresa, las organizaciones pueden esperar más ataques de esta naturaleza, que aprovechan que algunos empleados, a quienes se les han otorgado privilegios más allá de sus necesidades, están desprevenidos

About Author

Avatar

director técnico en EMEA de CyberArk

Deja un comentario