El SSO es una gran herramienta de productividad y seguridad, pero deja lagunas de seguridad relacionadas con las contraseñas.

Las soluciones de inicio de sesión único (SSO) estaban aumentando rápidamente su popularidad incluso antes de que la pandemia del COVID-19 provocara una loca carrera hacia la nube. Ahora, el SSO es más popular que nunca debido a la comodidad y los beneficios de seguridad que proporciona a las organizaciones con fuerzas de trabajo distribuidas, incluyendo:

  • Una sola contraseña que los empleados deben recordar. La eliminación de la «fatiga de la contraseña» es uno de los mayores impulsores de la adopción del SSO. En lugar de una contraseña diferente para cada aplicación y servicio, los empleados sólo tienen que memorizar su contraseña de inicio de sesión único.
  • Sólo hay que introducir una contraseña, una vez al día. Además de no tener que recordar varias contraseñas, los empleados no necesitan introducir varias contraseñas a lo largo de la jornada laboral. Introducen su contraseña SSO una vez, al comienzo de su jornada laboral, eliminando la pérdida de tiempo tecleando contraseñas a lo largo de la jornada laboral.
  • Reduzca a la mitad los tickets del servicio de asistencia. El Grupo Gartner estima que el restablecimiento de contraseñas representa hasta el 50% de las incidencias del servicio de asistencia. El SSO promete eliminar prácticamente estos tickets, permitiendo a los empleados de soporte dedicar más tiempo a ayudar a los usuarios finales con problemas más complejos.
  • Despliegue más sencillo del acceso y gestión de identidades (IAM). El SSO reduce la complejidad de configurar la autenticación y los controles de acceso, lo que permite un despliegue más rápido y sencillo de las soluciones IAM, así como y un camino más rápido hacia un entorno de confianza cero.
  • Informes de cumplimiento más sencillos. Muchos marcos de cumplimiento habituales exigen registros de auditoría de los datos de inicio de sesión de los usuarios. SSO facilita la inclusión de estos datos en los informes de cumplimiento.

El defecto del SSO: Lagunas de seguridad relacionadas con las contraseñas

El propósito del SSO es facilitar el acceso a los recursos. Eso es estupendo para la productividad, pero no desde el punto de vista de la seguridad:

  • Una única contraseña equivale a un único punto de fallo. Si un empleado pierde u olvida la contraseña de una sola cuenta, queda bloqueado en esa cuenta. Si olvidan la contraseña de su SSO, se quedan fuera de todas sus cuentas. Y lo que es aún más preocupante, si un ciberdelincuente se hace con una contraseña de SSO, puede entrar en todas las cuentas relacionadas con el trabajo del empleado. Verizon estima que más del 80% de las violaciones de datos que tienen éxito se deben a contraseñas comprometidas, lo que supone un enorme inconveniente.
  • Las aplicaciones heredadas de la línea de negocio (LOB) no son compatibles con el SSO. A pesar de que la pandemia del COVID-19 ha acelerado varios años los esfuerzos de transformación digital, la mayoría de las organizaciones siguen utilizando al menos unas cuantas aplicaciones LOB heredadas que no son compatibles con el SSO. Como son tan antiguas, modernizarlas no es realista; como son tan altamente especializadas, sustituirlas tampoco es factible.
  • No todas las aplicaciones modernas soportan SSO. Las aplicaciones heredadas no son el único escollo. Muchas aplicaciones y servicios modernos tampoco son compatibles con el SSO, sobre todo las aplicaciones de escritorio. Es raro que el despliegue de SSO de una organización cubra todas las aplicaciones que utilizan sus empleados, especialmente en las grandes empresas, donde pueden estar en uso literalmente cientos de aplicaciones.
  • Diferentes aplicaciones pueden utilizar diferentes protocolos SSO. Es posible que sus empleados necesiten utilizar aplicaciones que empleen un protocolo diferente al que utiliza el proveedor de identidades (IdP) de su organización. Por ejemplo, si su IdP utiliza el protocolo SAML, su solución SSO no será compatible con las apps que utilicen OAuth.
  • No hay control sobre los hábitos de contraseña de los usuarios. Las implantaciones de SSO no proporcionan ninguna visibilidad sobre las malas prácticas de seguridad de las contraseñas. Los empleados pueden elegir una contraseña débil o previamente comprometida para su inicio de sesión SSO, o pueden reutilizar una contraseña que están usando en múltiples cuentas adicionales. Pueden hacer lo mismo para todas las aplicaciones que su despliegue SSO no soporta. También pueden compartir sus contraseñas con terceros no autorizados.
  • No hay protecciones para usuarios o sesiones privilegiados. Normalmente, los usuarios deben introducir credenciales separadas para acceder a sistemas y datos especialmente sensibles, pero el propósito del SSO es dar a los usuarios un pase de acceso total con una única autenticación.

4 formas de colmar las lagunas de seguridad relacionadas con las contraseñas que deja el SSO

password decryption

A pesar de estos riesgos, las organizaciones preocupadas por la seguridad no deberían desechar sus despliegues de SSO. Ninguna solución de seguridad es una panacea. Si emparejan sus soluciones SSO con tecnologías complementarias, las organizaciones pueden apuntalar las lagunas de seguridad relacionadas con las contraseñas y, al mismo tiempo, conservar las ventajas de productividad y facilidad de uso del SSO.

#1. Implantar un control de acceso basado en roles (RBAC) con acceso de mínimo privilegio para todos los usuarios

El principio del mínimo privilegio, que dicta que los usuarios deben tener acceso sólo al nivel mínimo de privilegios del sistema para hacer su trabajo y no más, es fundamental para reducir la superficie de ataque potencial de una organización. Introduzca RBAC, que simplifica la asignación y gestión de los niveles de control de acceso.

Para que la asignación de funciones RBAC sea más manejable, evite asignar funciones directamente a los usuarios. En su lugar, cree grupos, asigne privilegios a los grupos y añada usuarios a los grupos en consecuencia. Además de minimizar el número de asignaciones de roles, esta práctica ahorra tiempo si es necesario realizar un cambio de privilegios a cada usuario dentro de un grupo. Asegúrese de que sus grupos son reutilizables y evite crear demasiados roles personalizados.

#2. Implemente la Gestión de Acceso Privilegiado (PAM) con la Gestión de Sesión Privilegiada (PSM) para usuarios privilegiados

A diferencia del SSO, que se centra en facilitar al máximo el acceso, PAM se centra en restringir el acceso a los sistemas y datos más sensibles de una empresa. Las organizaciones utilizan PAM para restringir y supervisar el acceso a sus sistemas más críticos y sensibles. Los usuarios con privilegios suelen ser personas internas de alto nivel de la empresa, como administradores de TI y seguridad y ejecutivos de nivel C, aunque los proveedores y socios de confianza también pueden entrar en esta categoría.

PAM y PSM van de la mano. Mientras que PAM controla el acceso de los usuarios a los recursos sensibles, PSM evita que los usuarios privilegiados abusen de ese acceso mediante el control, la supervisión y la grabación de las sesiones de los usuarios privilegiados. La monitorización y grabación típicas de PSM son muy granulares e incluyen pulsaciones de teclas, movimientos del ratón y capturas de pantalla. Además de garantizar la seguridad, los registros de auditoría de PSM son requeridos por varios marcos de cumplimiento, incluyendo HIPAA, PCI DSS, FISMA y SOX.

#3. Implemente la autenticación multifactor en todas las aplicaciones y servicios que la admitan

La autenticación multifactor (2FA) es una de las defensas más poderosas contra las contraseñas comprometidas. Incluso si un ciberdelincuente compromete una contraseña, no podrá utilizarla sin el segundo factor de autenticación. el 2FA protege a todos los usuarios, desde los que tienen un acceso mínimo a los sistemas hasta los usuarios más privilegiados de la empresa. Mejora la confianza cero al permitir a las organizaciones autenticar las identidades de los usuarios.

Algunas organizaciones dudan en implantar el 2FA por miedo a que impida la productividad al obligar a los empleados a dar pasos adicionales para iniciar sesión. Este problema se subsana fácilmente emparejando la 2FA con una solución moderna de seguridad de contraseñas que permita a los usuarios almacenar sus credenciales 2FA junto con sus contraseñas.

#4. Implemente una plataforma empresarial de seguridad y cifrado de contraseñas en toda la empresa

La plataforma de seguridad y cifrado de contraseñas permite a los empleados almacenar de forma segura todas sus credenciales de inicio de sesión en un repositorio centralizado, privado y cifrado. Al igual que el SSO, los usuarios sólo memorizan una «contraseña maestra», que se utiliza para acceder a todas las credenciales de su repositorio digital.

A diferencia del SSO, una buena plataforma empresarial de seguridad y cifrado de contraseñas está diseñada para funcionar con todos los servicios y aplicaciones, incluidas las aplicaciones heredadas; incluyen funciones adicionales, como generadores automáticos de contraseñas seguras y herramientas de autorrelleno. También ofrecen a los administradores de TI una visibilidad completa de los hábitos de contraseña de los usuarios y aplican políticas de seguridad de contraseñas. Asegúrese de implantar una plataforma de seguridad y cifrado de contraseñas de nivel empresarial que se integre a la perfección con su implantación de SSO existente y que ofrezca compatibilidad con RBAC, 2FA, auditoría e informes de eventos.

El SSO plantea riesgos de seguridad sólo si las organizaciones lo ven como una solución independiente. Si reconocen las lagunas de seguridad relacionadas con las contraseñas inherentes al SSO y las compensan implantando tecnologías complementarias, como 2FA, RBAC, PAM/PSM y una plataforma de seguridad y cifrado de contraseñas, las organizaciones pueden aumentar la eficacia, mejorar la experiencia del usuario final y protegerse contra los ciberataques relacionados con las contraseñas.

Escrito por Teresa Rothaar