Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nombre del pilar: protección de identidades y secretos
Nombre de patrón: MFA resistente a la suplantación de identidad (phishing)
La autenticación multifactor resistente a la suplantación de identidad (MFA) forma parte del pilar de protección de identidades y secretos de secure Future Initiative (SFI), que se centra en la protección de la autenticación, la eliminación de credenciales no administradas, la aplicación de principios de confianza cero y la protección de claves criptográficas. Garantiza que la identidad sea verificable, el acceso es responsable y los secretos se defienden con rigor en todo el patrimonio digital.
Contexto y problema
Los métodos de MFA tradicionales, como los códigos SMS, los OTP basados en correo electrónico y las notificaciones push, son cada vez menos eficaces contra los atacantes actuales. Las campañas sofisticadas de suplantación de identidad han demostrado que se pueden interceptar o suplantar. Los atacantes ahora aprovechan la ingeniería social, las tácticas de tipo "man in the middle" y la fatiga del usuario (por ejemplo, el bombardeo de MFA) para omitir estos mecanismos. Estos riesgos se amplifican en organizaciones distribuidas y primero en la nube con recursos híbridos y ecosistemas de dispositivos variados.
MFA tradicional ya no es suficiente: MFA resistente a la suplantación de identidad es la nueva línea base.
Solución
Para abordar estos desafíos, Microsoft lanzó el objetivo de MFA resistente a la suplantación de identidad (phishing) en la iniciativa Secure Future. El objetivo: impulsar un cambio en toda la empresa a MFA resistente a la suplantación de identidad (phishing), con 100% de cuentas de usuario protegidas con autenticación multifactor resistente a suplantación de identidad administrada de forma segura.
Esta transformación se implementó a través de un lanzamiento por fases basado en:
- Uso de claves de acceso (incluidos, entre otros, las claves de seguridad FIDO2, la aplicación Microsoft Authenticator, Windows Hello para empresas, el enclave seguro de SSO de la plataforma macOS, etc.)
- Cumplimiento del acceso condicional en inquilinos propiedad y afiliados
- Identificación y migración de la automatización basada en el usuario (cuentas de servicio) a identidades de carga de trabajo, en función del escenario y los requisitos
- Protecciones de incorporación sólidas, incluido el pase de acceso temporal (TAP) y la comprobación de identidad basada en vídeo alineadas con NIST SP 800-63-4
Microsoft también incorporó MFA resistente a la suplantación de identidad en todas las fases del ciclo de vida de los empleados, lo insertó en los flujos de trabajo de incorporación, transiciones y desactivación, lo que da lugar a:
- 92% de las cuentas de productividad de los empleados están protegidos por métodos de autenticación resistentes a la suplantación de identidad (phishing)
- El acceso de usuario externo se protege a través de credenciales resistentes a la suplantación de identidad (phishing).
- La incorporación remota a escala se logra con la corrección de identidades de alta garantía.
Orientación
Las organizaciones pueden adoptar un patrón similar mediante las siguientes prácticas accionables:
| Caso de uso | Acción recomendada | Recurso |
|---|---|---|
| Identidades de carga de trabajo | Identifique y migre la automatización basada en el usuario (cuentas de servicio) a identidades de carga de trabajo, o considere la posibilidad de usar la autenticación basada en certificados. | ¿Qué son las identidades de carga de trabajo? |
| Credenciales enlazadas a tiempo | Use pases de acceso temporal (TAP) para proteger la incorporación y recuperación con credenciales enlazadas con tiempo. | Configurar el pase de acceso temporal |
| Incorporación segura | Use la comprobación de vídeo y la detección de liveness para evitar el acceso fraudulento. | Detección de vivacidad facial |
| Métodos de autenticación más seguros | Dé prioridad a los métodos de autenticación que no se pueden usar o phishing mediante la implementación de soluciones FIDO2 o passkey. |
¿Qué es FIDO2? Guía de implementación sin contraseña |
| Acceso condicional | Alinee las directivas de inicio de sesión en todos los inquilinos y entornos mediante directivas de acceso condicional. | Plantillas de directiva de acceso condicional |
| Flujos de trabajo del ciclo de vida del usuario | Implemente flujos de trabajo de ciclo de vida de usuario para registrar credenciales resistentes a los ataques de suplantación de identidad (phishing). | ¿Qué son los flujos de trabajo del ciclo de vida? |
| Genere credenciales tap basadas en la lógica personalizada. Asegúrese de que el registro y la desactivación de MFA seguros se producen en cada fase de usuario. | Tareas integradas del flujo de trabajo del ciclo de vida |
Ventajas
- Defensa fuerte contra la suplantación de identidad (phishing): elimina los vectores de riesgo más comunes.
- Interacción reducida del usuario: las claves criptográficas simplifican el acceso y reducen la fatiga.
- Seguridad de identidad escalable: funciona entre plataformas, tipos de usuario y zonas geográficas.
- Recuperación y compatibilidad mejoradas: la comprobación de TAP y la ejecución garantizan la reautenticación segura.
- Línea base con privilegios elevados para los inquilinos: las directivas de acceso condicional coherentes generan seguridad para identidades internas y externas por igual.
Ventajas y desventajas
- Complejidad del aprovisionamiento de dispositivos: las claves de hardware y las claves de acceso deben distribuirse tanto a usuarios locales como remotos.
- Disparidades de plataforma: la compatibilidad nativa limitada con las claves de acceso en algunos sistemas operativos puede requerir soluciones alternativas de ingeniería.
- Ajuste de la experiencia del usuario: el cambio de comportamientos requiere entrenamiento y comunicación para garantizar la adopción.
- Mayor esfuerzo de implementación: la modernización de la infraestructura de identidad, las directivas condicionales y la compatibilidad con implementaciones segmentadas agregan ámbito de proyecto.
Factores clave de éxito
Para realizar un seguimiento del éxito, mida lo siguiente:
- Porcentaje de usuarios protegidos con MFA resistente a la suplantación de identidad (phishing)
- Porcentaje de inicios de sesión que requieren métodos resistentes a la suplantación de identidad (phishing)
- Porcentaje de cuentas incorporadas con flujos de trabajo de corrección seguros (por ejemplo, TAP + liveness)
- Cobertura de cumplimiento del acceso condicional entre inquilinos
- Disminución de incidencias de soporte técnico relacionadas con la fatiga o los bloqueos de MFA
- Tiempo medio para adoptar nuevas credenciales de forma segura después del incidente
- Inventario de aplicaciones y migración de aplicaciones para usar Entra para la autenticación
Resumen
MFA resistente a la suplantación de identidad (MFA) ya no es opcional; es esencial para reducir el riesgo de ataques basados en credenciales. Al reemplazar los métodos de MFA vulnerables por soluciones resistentes a la suplantación de identidad, Microsoft está avanzando tanto en la seguridad de la identidad como en la confianza del usuario. Las organizaciones pueden replicar este modelo para proteger sus propios entornos frente a las amenazas de identidad más comunes de hoy en día.
Al implementar MFA resistente a la suplantación de identidad (phishing), puede reducir la exposición de su organización a ataques basados en credenciales.