El pasado martes, Devoteam estuvo en el evento G Suite Madrid Security Talk de Google Cloud acompañado a sus clientes para enseñar las características de seguridad más destacadas de G Suite actuales y futuras.
Las Titan Keys son unas de las novedades más destacadas del Q4 en roadmap de Google, ofreciendo la mayor seguridad hasta la fecha en prevención contra el robo de identidades mediante el “phishing”. Todos los empleados de Google utilizan estas llaves desde hace meses y desde su implantación, ningún empleado de la compañía ha visto sus cuentas comprometidas.
Veamos los métodos de seguridad que tenemos disponibles en Google, los vectores de ataque que utilizan los delincuentes y cómo podemos prevenirlos.
Vectores de ataque:
En lo relativo a autenticación de usuarios, destacamos los dos vectores de ataques más comunes:
Phishing: Se trata de una suplantación de identidad, por el cual el atacante se hace pasar por una persona o entidad y convence al usuario para introducir sus credenciales y por tanto poder robarlos.
Credential stuffing: Consiste en el uso de contraseñas robadas en un servicio de un tercero que haya sido comprometido. Famosos son el robo de contraseñas a servicios populares como Dropbox y LinkedIn. El atacante asume que el usuario podría haber reutilizado la misma contraseña y prueba si puede acceder.
Usuario + Contraseña
Este es el método tradicional que usan casi todas las empresas y que es vulnerable tanto a phishing como a al credential stuffing. Aún así, Google ofrece distintos mecanismos de seguridad para intentar mitigar estos ataques.
Por un lado, todos los enlaces que se reciben por G Suite son analizados para detectar indicios de phishing. Si es detectado, el mensaje es trasladado a la carpeta de SPAM, para prevenir que el usuario haga click en él.
Por otro lado, Google comprueba las bases de contraseñas robadas, si detecta que un usuario ha tenido su cuenta comprometida, la bloquea y requiere al usuario probar su identidad con pasos adicionales. Al mismo tiempo, también realiza un análisis de comportamiento, para detectar acciones que solo los delincuentes utilizan.
Estas médidas solo mitigan estos ataques. Si queremos una seguridad más avanzada, debemos activar otros mecanismos de seguridad. Veamos cuales:
Usuario + Contraseña + 2SV
Para poder prevenir el “credential stuffing”, podemos activar el segundo paso de verificación (2SV). En este caso, el usuario deberá introducir un código adicional para poder acceder a su cuenta. Este código es aleatorio y cambia cada pocos segundos. Este tipo de verificación es muy habitual a la hora de hacer pagos con tarjeta de crédito.
Un atacante que pudiera tener las credenciales del usuario, por un robo anterior a otra web, no podría pasar esta segunda capa de seguridad de manera automática.
Sin embargo, el 2SV no protege contra el phishing más avanzado, en el que la página web solicitará ese segundo paso de verificación también. Además del phishing, si el atacante cuenta con los credenciales, también puede optar por el clonado de la tarjeta SIM del usuario, algo muy habitual recientemente.
Para prevenir este tipo de ataques, tenemos el 2FA que veremos a continuación.
Usuario + Contraseña + 2FA (con keys)
En este modelo, utilizamos algo que sabemos, una contraseña y algo que tenemos, una llave. Aquí obtenemos la máxima protección posible. Los ataques por medio de phishing desde un dominio de un tercero, no son posibles, ya que la llave detectará que el dominio es incorrecto y no activará la autenticación, protegiendo tanto contra el phishing como el reuso de contraseñas por parte de los usuarios.
Las llaves utilizan el estándar FIDO y son compatibles con el explorador Google Chrome a través de USB y con dispositivos móviles a través de Bluetooth y NFC.
Devoteam y la seguridad
La seguridad es la principal prioridad tanto para Google como para Devoteam. Google crea productos seguros mientras que Devoteam colabora en la implantación de los mismos en sus clientes con las mejores prácticas, para evitar que no hay una configuración incorrecta.
Devoteam también ofrece la gestión completa de las consolas de G Suite y su soporte, con administradores certificados en la plataforma y analistas de seguridad para prevenir e implantar mejores prácticas. Además cuenta con instructores especializados en seguridad, para poder formar a tu equipo a detectar, prevenir y mitigar ataques.