Los ataques son más difíciles cuando un ciber delincuente necesita comprometer múltiples elementos, en lugar de sólo uno, como puede ser una contraseña. La autenticación MFA puede incorporar algo que sabes (una contraseña o PIN), algo que tienes (un token de hardware físico o un dispositivo móvil) o algo que eres (una huella dactilar).
Algunas de las plataformas en la nube más populares tienen MFA como un elemento básico de seguridad sin coste adicional. Es importante verificar que está activado. Microsoft también ha lanzado recientemente una función que permite a las organizaciones vincular una sesión de MFA a un solo dispositivo, lo que protege aún más contra los muchos ataques posibles para evadir el MFA.
Puede encontrar más información sobre la amenaza del robo de credenciales aquí.
Para los usuarios con más privilegios, como los administradores globales, la mejor opción son los tokens MFA físicos. Las claves MFA resistentes al phishing, como las Yubikeys, garantizan que la información sensible de inicio de sesión nunca abandona el dispositivo del usuario y no se almacena en un servidor. Esta es la única MFA que nuestro equipo aún no ha visto eludida.Sydonie WilliamsFocus Group Leader - ROW - Cyber Risks - Underwriters
Una organización de tamaño medio recibió la factura mensual de sus servicios en la nube. Ese mes superó los 400.000 dólares, unas seis veces su coste habitual. Notificaron a Beazley el incidente: un ataque a su entorno en la nube Azure y les ayudamos a coordinar la investigación forense.
La investigación determinó que los ciberdelincuentes accedieron a una cuenta en la nube, explotaron ciertos permisos laxos para escalar privilegios y crearon cientos de nuevos servidores virtuales para minar criptomoneda. Los ciberdelincuentes habían evitado intencionadamente realizar cambios en los recursos existentes para no hacer ruido y evitar ser detectados. Desde Beazley les ofrecimos además orientación sobre cómo proteger mejor las cuentas en la nube e implementar alertas de presupuesto o facturación para ayudar a identificar rápidamente futuros impactos financieros.
La información contenida en este sitio web pretende ser información general sobre gestión de riesgos. Beazley no presta servicios o asesoramiento jurídico ninguno con dicha información. No debe interpretarse como asesoramiento jurídico y no pretende sustituir la consulta con un abogado o experto jurídico. Aunque se ha tenido un cuidado razonable en la preparación de la información expuesta en esta comunicación, Beazley no acepta responsabilidad alguna por los errores que pueda contener ni por las pérdidas presuntamente atribuibles a esta información. Los productos y servicios no relacionados con seguros son proporcionados por filiales de Beazley que no son compañías de seguros y por terceros independientes. Pueden aplicarse términos y condiciones independientes.