Machine Identity o el reto de la identidad de las máquinas

La llegada de paradigmas tecnológicos como el de Internet de las Cosas (IoT) y su adopción generalizada en múltiples sectores están transformando las realidades que les rodean, tanto a nivel de procesos y tecnologías como de gestión o consumo por parte de las personas. En el caso concreto de la gestión de identidades y accesos, está forzando el comienzo de la gestión no solo de la identidad de las personas, sino también la de todo tipo de dispositivos inteligentes. Imaginemos que si la asignación de la identidad a una persona es un reto, saber cómo identificar, autenticar y autorizar a las máquinas presenta un desafío casi mayor. Además, a medida que se han adoptado nuevas tecnologías, la definición de máquinas se ha expandido, desde máquinas físicas, como servidores y PCs, hasta dispositivos móviles, aplicaciones, instancias en la nube, contenedores, microservicios, clústeres, API y algoritmos inteligentes.

Esta importancia se refleja en el consenso por parte de los analistas. Forrester estima que las identidades de las máquinas están creciendo al doble de la tasa de las identidades humanas. Gartner, por su lado, ha reconocido la gestión de identidades de máquinas como una nueva categoría dentro de la gestión de identidades y accesos, incluyéndolas entre las ocho principales tendencias de seguridad en 2021.

Cuando las organizaciones no logran mantenerse al día con el volumen y la variedad de identidades de máquinas que necesitan, las consecuencias pueden ser nefastas

Al igual que las identidades humanas en las que confiamos para acceder a aplicaciones y dispositivos que usamos todos los días (por ejemplo, contraseñas, multifactor, biometría, etc.), las máquinas requieren un conjunto de credenciales para identificarse y autenticarse de forma segura a la hora de conectarse con otros dispositivos y aplicaciones en la red. Estas credenciales son, en su mayoría, claves criptográficas y certificados digitales. Los tipos más comunes de identidades de máquinas son los certificados TLS / SSL, pero hay más, como las claves SSH y los certificados de firma de código. Toda organización necesita esas identidades para decidir si permite o niega el acceso y su gestión está suponiendo un reto para las organizaciones.

Una nueva frontera para las empresas
Navegar por este enorme volumen de identidades de máquinas se dificulta aún más por el hecho de que los ciclos de vida de estas identidades se están acortando. Los certificados digitales solían tener una validez de tres a cinco años, pero debido a que estas identidades son tan críticas para la seguridad los fabricantes de navegadores están exigiendo una vida útil más corta. En 2020 los ciclos de vida de los certificados TLS se redujeron a un año y Venafi espera que éstos se reduzcan a seis meses con relativa rapidez.

Los ciberataques que aprovechan las identidades de máquinas comprometidas o mal administradas son cada vez más comunes

Como resultado, las empresas necesitan más recursos solo para administrar la misma cantidad de identidades de máquinas. Para muchas empresas, la necesidad se ve agravada por las iniciativas de transformación digital, como la migración a la nube y la expansión de los procesos de DevOps (desarrollo de software y operaciones). Cuando las organizaciones no logran mantenerse al día con el volumen y la variedad de identidades de máquinas que necesitan, las consecuencias pueden ser nefastas.

Los ciberataques que aprovechan las identidades de máquinas comprometidas o mal administradas son cada vez más comunes. Este tipo de ciberataques aumentó en más de un 430% entre 2018 y 2019, mientras que las amenazas persistentes avanzadas (APT) que se aprovecharon de las identidades de las máquinas mal gestionadas aumentaron en un 150% en el mismo periodo, según un informe de la empresa Venafi de 2020. A modo de muestra sirvan ejemplos de ataques como el sufrido por un conocido fabricante, en el que los delincuentes atacaron la fuente del software en su raíz, de forma que el software compilado fue certificado por el propio fabricante y luego suministrado inadvertidamente al resto de empresas comprometiendo así sin sospechas la cadena de suministro de software.

Los atacantes pueden aprovechar las identidades de máquinas desprotegidas para obtener acceso a las redes y pivotar una vez dentro a través de múltiples sistemas. Los certificados TLS robados también se utilizan en ataques ‘man in the middle’ y exfiltración de datos. Dado que permiten a los atacantes hacerse pasar por entidades legítimas, los certificados fraudulentos también les permiten evadir los mecanismos de defensa existentes.

Menos preocupantes que los ciberataques, pero sin dejar de ser un riesgo económico y operativo para las organizaciones, son las interrupciones del servicio que pueden surgir cuando caducan los certificados digitales.

En general, se puede decir que el coste de este tipo de ataques no es menor y, de hecho, así lo confirma un informe publicado el año pasado por la firma de investigación Air Worldwide, que encontró que las identidades de máquinas desprotegidas causaron pérdidas económicas globales de entre 51 mil millones y 72 mil millones de dólares al año.

Principales consejos: visibilidad, identificación y agilidad
Llegados a este punto una cosa está clara: la gestión de identidades de las máquinas debe formar parte sí o sí de cualquier programa o plan de seguridad de todas las organizaciones. Ahora hay que ver de qué manera.

Los atacantes pueden aprovechar las identidades de máquinas desprotegidas para obtener acceso a las redes y pivotar una vez dentro a través de múltiples sistemas

Un buen punto de comienzo es tener visibilidad sobre el uso que se hace sobre ellas, ya que, como se suele decir, ‘no puedes gestionar lo que no puedes identificar’. En este ámbito hay diferentes herramientas para descubrir identidades, claves, secretos o certificados, las cuales son tremendamente útiles para poder tener un mapa claro en la organización y definir las correspondientes políticas sobre ellas. Un ejemplo claro de ello son los certificados. Habitualmente, el número existente dentro y fuera de la organización es mucho mayor de lo que los propios administradores esperan, de ahí que una correcta gestión de ellos sea clave para la seguridad de las infraestructuras IT. Hay múltiples maneras de hacerlo, pero desde Telefónica Tech hemos creado una herramienta propia (con nombre en clave Kalkán) que permite automatizar y gestionar los certificados descubiertos.

Una vez obtenida toda la información sobre la visualización, debemos avanzar hacia la automatización de todo el ciclo de vida de la identidad, permitiéndoles establecer autenticaciones sólidas y robustas, y ahí Telefónica Tech, desde el área de innovación, presenta una solución ideal para estos entornos, IDoT. Consiste en una pila de soluciones tecnológicas y servicios que, en su conjunto, proporcionan unas capacidades que permiten identificar claramente tanto el dispositivo que se usa como el usuario del mismo.

Por supuesto, no debemos olvidar la criptoagilidad, es decir, comprender qué aplicaciones usan criptografía, cómo identificar y reemplazar claves o algoritmos vulnerables, y preparar planes detallados y actualizados de respuesta a incidentes cripto-ágiles. Recordemos que las máquinas no son solo físicas, sino también lógicas; de ahí su importancia.

Respuesta a incidentes cripto-ágiles

Tal y como cita Gartner, la preparación ante estas situaciones implica fundamentalmente tres puntos:

1. Incluir por diseño la cripto-agilidad en el desarrollo de aplicaciones o en el flujo de trabajo de adquisición de aplicaciones a terceros.
2. Inventariar las aplicaciones que utilizan criptografía e identificar y evaluar su dependencia de los algoritmos.
3. Incluir alternativas criptográficas y un procedimiento de intercambio de algoritmos en tus planes de respuesta a incidente.