En LACNIC 41 presentamos una actualización del sistema de autenticación de doble factor o 2FA con el objetivo de concientizar a los asociados de LACNIC sobre la importancia de su utilización.
¿Por qué nos preocupa? Porque detectamos que hay más de 574 credenciales de acceso a los distintos sistemas de LACNIC a la venta en distintos mercados negros.
Además a principios de este año detectamos 120 logins exitosospor terceros no autorizados a MiLACNIC (plataforma de acceso para los asociados de LACNIC) e inmediatamente creamos un grupo de trabajo para gestionar el incidente de forma adecuada.
(Acceso libre, no requiere suscripción)
Cuentas comprometidas
De esas 574 cuentas comprometidas que detectamos casi 80% utilizan contraseñas débiles o muy débiles.
Por tanto, además de robustecer nuestras contraseñas, es fundamental acompañar el proceso de autenticación con otro factor de autenticación.
Incorporar múltiples factores de autenticación para demostrar la identidad del usuario añade una capa adicional de seguridad.
Cuentas comprometidas
De esas 574 cuentas comprometidas que detectamos casi 80% utilizan contraseñas débiles o muy débiles.
Por tanto, además de robustecer nuestras contraseñas, es fundamental acompañar el proceso de autenticación con otro factor de autenticación.
Incorporar múltiples factores de autenticación para demostrar la identidad del usuario añade una capa adicional de seguridad.
A continuación compartimos algunas buenas prácticas para proteger los accesos a sus cuentas.
No utilicen la misma clave en distintas plataformas
No compartan credenciales
Utilicen manejadores de contraseña
Mantengan los sistemas actualizados
Utilicen sólo aplicaciones oficiales
Monitoreen el compromiso de las credenciales
Utilicen contraseñas robustas e Implementar 2FA
Nuestro llamado a la acción es que utilicen contraseñas robustas y un segundo factor de autenticación.
¿Qué hizo LACNIC para contener el incidente?
En el caso del incidente de seguridad ninguna de las cuentas afectadas contaba con el segundo factor de autenticación en el acceso a MiLACNIC.
De los 120 logins afectados, 20 fueron en cuentas que administran recursos. Esto significa que tuvimos un riesgo muy alto de sufrir un incidente similar al de Orange en España (la compañía de telecomunicaciones experimentó problemas con su conexión a Internet por un acceso indebido).
Para contener el incidente, desde LACNIC realizamos distintas acciones inmediatas:
Bloqueamos las cuentas comprometidas
Contactamos a cada organización para restablecer el acceso
Iniciamos una investigación y enviamos un comunicado a todos los asociados instando a habilitar 2FA por la actividad sospechosa.
El resultado de la investigación sobre el incidente concluyó que no existió ataque de fuerza bruta, ningún sistema de LACNIC fue vulnerado y observamos que el ataque se debió́ a compromiso de credenciales en venta en el mercado negro.
¿Por qué implementar el 2FA?
Consideramos fundamental su activación inmediata porque varios servicios pueden verse afectados en caso de una vulneración de la seguridad. Por ejemplo, eliminar o crear ROAs, modificar delegaciones del DNS reverso, modificar datos de geolocalización, subasignaciones, transferencias IP, entre otros.
Plan de acción de LACNIC
Dado la situación, desde LACNIC decidimos implementar un plan de acción.
En primer lugar se hará una encuesta a los asociados para intentar entender por qué uno de cada cinco de los habilitados no utiliza el 2FA.
Luego, si de esa encuesta no surgen impedimentos justificados, avanzaremos con un plan de obligatoriedad en etapas. El 2FA obligatorio abarcaría en una primera etapa a los grandes asociados y luego en una segunda instancia a medianos y pequeños asociados.
En paralelo estamos trabajando para sistematizar un sistema de alertas cuándo detectamos que las contraseñas están a la venta en el mercado negro.
Los invitamos a ver un video donde se explica en dos minutos cómo habilitar el segundo factor y lo simple que es.
Como mensaje final nos gustaría solicitarles que informen de esta situación a sus organizaciones y colaboren en este proceso de concientización. Es importante que protejamos nuestras credenciales de acceso y más todavía cuándo manejamos activos de información muy valiosos de nuestras organizaciones.
