Lo que comenzó con un inicio de sesión de usuario simple ha evolucionado a contraseñas, luego a contraseñas complejas y luego a la autorización por múltiples factores (MFA).
Por un tiempo, parecía que estábamos destinados a permanecer empantanados en un número infinito de contraseñas imposibles de adivinar, pero también imposibles de recordar, hasta que aparecieron los administradores de contraseñas. La mayoría de las empresas utilizan tanto software, procesos y almacenamiento basados en la nube que la autenticación se ha convertido en una necesidad absoluta para sus negocios; de lo contrario, cualquiera podría colarse en sus sistemas y saquear información patentada.
Pero la autenticación es solo la mitad del puzzle. El solo hecho de asegurarse de que solamente usuarios específicos puedan acceder a un sistema es genial, pero no garantiza la seguridad total de tu sistema. La pieza que falta en el puzzle se llama autorización y especifica lo que un usuario puede y no puede hacer una vez que ha autenticado su identidad. Para mostrar la diferencia entre los dos, eche un vistazo a uno de los casos de violación de datos más sonados de todos los tiempos: el robo del número de tarjeta de crédito de Target.
Error de autorización de Target
Era diciembre del 2013, la época previa a la navidad en la que la tienda Target está en auge de ventas. Pero el 19 de diciembre, la compañía tuvo que dar una muy mala noticia a sus accionistas y clientes: un pirata informático había robado millones de números de tarjetas de crédito de clientes a través de una filtración de datos. A cada persona que había comprado en una tienda Target entre el 27 de noviembre y el 15 de diciembre le robaron la información de su tarjeta de crédito.
Después de una intensa investigación, la explicación fue a la vez extraña y reveladora. Los piratas informáticos habían ingresado con credenciales robadas a uno de los proveedores externos de Target. El proveedor en cuestión era la empresa que suministró a Target unidades de refrigeración y congelación para sus departamentos de comestibles. El proveedor tenía credenciales de inicio de sesión para archivar sus facturas en el sistema de contabilidad de la empresa. Pero ese inicio de sesión también le dio a cualquiera que tuviese estos datos de inicio acceso a cada parte del mainframe de Target, si sabían cómo acceder a él. Los hackers que robaron las credenciales lo sabían y lo explotaron durante días y días antes de ser expulsados.
Lección aprendida
Si alguien consigue un trabajo pintando una casa, el propietario no solo le da una llave y le dice que cierre la llave cuando haya terminado. Se aseguran de que haya alguien en casa para garantizar un trabajo honesto y no fisgonear. El departamento de TI de Target perdió por completo la noción de autorización y el acceso a un punto en su servidor significaba acceso a todos los puntos.
Además de un muy importante daño a la marca, el error le costó a la compañía $20 millones en una demanda a nivel nacional y provocó el despido de varios ejecutivos de alto nivel. La protección en línea lo es todo para tu negocio. Debes asegurarte de que tu sistema de autenticación tenga un socio en el factor de autorización. Deben existir controles que garanticen que los usuarios sólo puedan acceder a la información para la que están autorizados, y así evitar lo que le sucedió a Target.
...){kind=link}