Identidades de máquina, ¿Qué son y cómo se usan?

Las identidades son, sin duda, la superficie de amenazas más vulnerable que existe, con el 79 % de las empresas denunciando infracciones relacionadas con la identidad en los últimos dos años. Pero, sorprendentemente, solo el 26% de las empresas confían plenamente en su capacidad para frustrar un ataque de este tipo. Entonces, ¿cuál es la desconexión entre este reconocimiento de la amenaza y la falta de preparación?

La respuesta puede residir en la distinción entre identidades humanas e identidades mecánicas. Los equipos de TI empresariales y los líderes de seguridad cibernética confían plenamente en que pueden prevenir las violaciones de datos basadas en identidades humanas, credenciales de acceso de usuarios basadas en nombres de usuario y contraseñas. Esta confianza, sin embargo, cae a un impactante 35% cuando se trata de identidades de máquinas.

Veremos en este artículo qué son las identidades de máquina, para qué se usan y qué es la gestión de identidad de máquina.

¿Qué son las identidades de máquina?

Hay dos actores en cada red: humanos y máquinas. Así como las identidades humanas están protegidas con nombres de usuario y contraseñas, las identidades de las máquinas son claves y certificados protegidos. Cada año se gastan miles de millones de dólares en proteger las identidades humanas, mientras que la importancia de administrar las identidades de las máquinas se malinterpreta y se descuida. Los ciberdelincuentes son muy conscientes de esta brecha de seguridad masiva, lo que hace que sea extremadamente lucrativo robar o falsificar identidades de máquinas. Pueden obtener un amplio acceso a los recursos de la red y cubrir sus huellas escondiéndose en túneles encriptados.

En pocas palabras: si no sabes dónde están instaladas las identidades de tu máquina y exactamente quién las está usando, nunca puedes estar seguro de que los ciberdelincuentes no las estén usando indebidamente.

Después del golpe de la pandemia, todo el mundo empresarial aumentó la velocidad a la que desarrollaron nuevas tecnologías. Así, pasaron de procesos de transformación digital a viajes de aceleración digital, de una implementación lenta y constante de tecnología a una adopción rápida e iterativa. La idea es conseguir lo que prometen tanto la transformación digital como la aceleración digital: mayor agilidad empresarial para satisfacer las demandas de la nueva normalidad.

Si bien la aceleración digital es sin duda el camino a seguir hoy en día, no deja de tener sus desafíos. Uno de los más notorios es la ciberseguridad y la amenaza maximizada de ataque en una superficie digital cada vez más grande. En otras palabras, el crecimiento exponencial de las plataformas digitalizadas y las máquinas conectadas multiplica las vulnerabilidades potenciales en cualquier entorno dado. Esa es la razón principal por la que la seguridad cibernética se ha convertido rápidamente en una de las principales preocupaciones de los ejecutivos.

Movidos por esa preocupación, los equipos de desarrollo de software, los ingenieros independientes, los servicios de desarrollo de Python, las empresas de consultoría y muchos otros en la industria del software han comenzado a idear formas de abordar los nuevos desafíos de seguridad. El mayor uso de la autenticación multifactor, el aumento de la seguridad asistida por IA y la adopción generalizada de Zero Trust son todas respuestas al nuevo panorama de ciberseguridad.

Ejecutores de identidad de máquina

Como las máquinas no pueden ingresar un nombre de usuario y contraseña, usan credenciales más adecuadas para configuraciones altamente automatizadas y vinculadas. En su lugar, se utilizan claves y certificados digitales para establecer las identidades de las máquinas. Por otro lado, los certificados y los tipos de claves varían según la máquina, el protocolo de comunicación y el uso.

Los siguientes son algunos certificados y claves de uso común que componen la identidad de la máquina:

  • Certificados y claves SSH: los usuarios, generalmente administradores de sistemas, usan claves SSH para asegurar el acceso privilegiado a sistemas críticos. Dado que las claves SSH se utilizan para autorizar el acceso a importantes sistemas de TI, el protocolo SSH es más seguro que TLS/SSL. Si bien no es una práctica común usar certificados SSH para la autenticación, se recomienda ya que elimina el proceso manual e inseguro de aprobación y distribución de claves.
  • Certificados de firma de código: los certificados de firma de código garantizan que los scripts, los ejecutables y las compilaciones de software sean genuinos y eviten que se alteren. Genera confianza en los usuarios.
  • Claves criptográficas: las claves criptográficas, en particular las claves simétricas, se utilizan para proteger los datos en reposo, los datos en tránsito y el cifrado de tarjetas de crédito y otros datos de PII (información de identificación personal). Sin embargo, las claves simétricas son menos seguras pero más rápidas y eficientes que la criptografía de clave pública.
  • Certificados X.509: Los certificados X.509 son los certificados de identificación de máquinas más utilizados y la columna vertebral de la infraestructura de clave pública (PKI). La autenticación servidor-cliente a través del protocolo HTTPS (basado en el protocolo TLS/SSL), así como la firma digital de aplicaciones fuera de línea, utilizan estos certificados para la autenticación.

¿Cómo se utilizan las identidades de máquina en una red?

Las máquinas utilizan conexiones encriptadas para generar confianza en todo tipo de transacciones digitales. Para ello, las identidades de las máquinas utilizan certificados digitales y claves criptográficas para validar la legitimidad de ambas máquinas comunicantes. Para poner esto en contexto, analicemos cinco formas en que las identidades de las máquinas se utilizan para respaldar una amplia variedad de funciones comerciales vitales en tu organización.

Proteger las transacciones web

Los certificados HTTPS SSL/TLS son fundamentales para la seguridad de las transacciones web, como la banca en línea y el comercio electrónico. Estos certificados crean una conexión cifrada entre un navegador web y un servidor web. Si los ciberdelincuentes obtienen acceso a estas identidades de máquinas críticas, pueden espiar el tráfico cifrado o hacerse pasar por un sistema confiable en un ataque de phishing.

Asegurar el acceso privilegiado

La mayoría de las organizaciones usan SSH para asegurar el acceso del administrador del sistema a la máquina para tareas de rutina. SSH también se utiliza para asegurar la automatización de máquina a máquina de funciones comerciales críticas. Las claves SSH garantizan que solo los usuarios y máquinas de confianza tengan acceso a sistemas y datos de red confidenciales. Sin embargo, si los ciberdelincuentes obtienen acceso a sus claves SSH, pueden usarlas para eludir los controles de seguridad y obtener acceso privilegiado a los recursos y datos de la red interna.

Protección de TI rápida y DevOps

Los equipos de DevOps utilizan entornos de tiempo de ejecución autónomos basados ​​en la nube, conocidos como contenedores o clústeres, para ejecutar módulos individuales denominados microservicios. Cada microservicio y contenedor debe tener un certificado para identificarlo y autenticarlo y admitir el cifrado. Estos certificados sirven como identidades de máquinas válidas que permiten que los contenedores se comuniquen de forma segura con otros contenedores, microservicios, la nube e Internet. En aras de la velocidad de desarrollo, los desarrolladores pueden verse tentados a escatimar en la seguridad de claves y certificados, lo que expone a tu organización a vulnerabilidades de seguridad innecesarias.

Asegurar la comunicación en los dispositivos de los consumidores

Los certificados digitales proporcionan la base para autenticar los dispositivos móviles que acceden a las redes empresariales. También pueden habilitar el acceso a las redes Wi-Fi empresariales y el acceso empresarial remoto mediante VPN SSL e IPSEC. Sin embargo, sin una supervisión central, es difícil proteger estas funciones en los dispositivos móviles. Esto puede resultar en un mal uso cuando los certificados se duplican en varios dispositivos o los empleados anteriores continúan usando certificados no revocados.

Autenticación del código del software

El software generalmente se firma con un certificado para verificar la integridad del software. Cuando se usan correctamente, estos certificados sirven como una identidad de máquina que autentica el software. Sin embargo, si los ciberdelincuentes roban certificados de firma de código de empresas legítimas, pueden usarlos para firmar código malicioso. Debido a que está firmado con un certificado legítimo robado, el código malicioso no activa ninguna advertencia, y los usuarios desprevenidos confiarán erróneamente en que es seguro instalarlo y usarlo.

¿Qué es la gestión de identidad de máquina?

Una clave para mantener bajo control las amenazas a la seguridad es administrar adecuadamente la autenticación en cualquier entorno empresarial determinado. Monitorizar las interacciones entre diferentes máquinas y plataformas digitales en toda tu red es la mejor manera de asegurarte de que no haya intrusos deambulando por ella. El enfoque correcto para esto es mediante el uso de claves criptográficas y certificados digitales como identidades únicas para cada parte interviniente.

En cierto modo, esas identidades únicas son como huellas dactilares, ya que identifican de manera inequívoca una máquina en particular para establecer confianza, realizar procesos de autenticación y encriptar comunicaciones. En este contexto, la gestión de identidades de máquinas implica la evaluación constante de las identidades de las máquinas dentro de una red determinada para proporcionar un esquema de permisos y acceso más sólido.

Administrar las identidades únicas dentro de la red puede garantizar la confidencialidad de los datos que fluyen entre las máquinas autorizadas y, al mismo tiempo, evitar que una máquina no acceda a ellos. Además, la gestión adecuada de la identidad de la máquina también debe estar atenta a las identidades de máquinas falsificadas o robadas.

La gran complejidad de las redes comerciales modernas y el mayor número de dispositivos conectados hacen que sea muy importante para las empresas contar con una administración potente y dinámica que orqueste diferentes políticas, controles y herramientas de seguridad. De eso se trata la gestión de identidades de máquinas.

Por qué necesitas la gestión de identidad de la máquina

Ya se señaló la necesidad de nuevos enfoques de la ciberseguridad dada la creciente digitalización de las empresas y el crecimiento exponencial de los dispositivos interconectados. Ese contexto debería ser suficiente para que las empresas comiencen a utilizar tantas medidas de seguridad como sea posible, incluida la gestión de identidad de la máquina. Pero esa no es la única razón por la que deberías considerar su uso. También hay varios beneficios que vienen con la administración de identidades de máquinas, que incluyen:

Admitir estrategias Zero Trust

Dado que el enfoque Zero Trust implica nunca otorgar confianza automáticamente, necesita una forma de proporcionar control de acceso, privilegios y permisos. La gestión de la identidad de la máquina puede ayudar con eso, ya que puede usar certificados de Infraestructura de clave pública (PKI) y pares de claves criptográficas para llevar a cabo los procesos de verificación que las estrategias de Zero Trust necesitan para funcionar.

Previene el robo de identidad de la maquina

Si alguien puede robar o falsificar tus claves, puede acceder rápidamente a tus sistemas y obtener datos confidenciales de ellos. Con la administración de la identidad de la máquina, tendrás prácticas de control implementadas que reduzcan la probabilidad de que alguien robe tus claves privadas porque nunca se transmiten y no se almacenan de manera centralizada.

Aumenta la visibilidad en todos los alrededores

La aceleración digital y el trabajo remoto multiplicarán la cantidad de dispositivos conectados dentro de tu red. El uso de soluciones de administración de identidades de máquinas puede ayudar a monitorizar cerca de todas ellas, incluidos los dispositivos móviles, en la nube y de IoT.

Refuerza tu seguridad cuando te conectas con identidades de máquinas nuevas o externas

La gestión de identidades de máquinas se puede automatizar fácilmente, lo que puede resultar en un control más estricto de todos los dispositivos conectados, incluidos aquellos que no forman parte de tu ecosistema (como máquinas de proveedores o nuevos dispositivos que ingresan a la infraestructura).

¿Qué factores causan el robo de identidad de la máquina?

Las siguientes son algunas razones que causan el compromiso de la identidad de la máquina:

Compromiso de CA

Las autoridades de certificación (CA) se ven comprometidas cuando los atacantes roban su clave privada, que se utiliza para firmar los certificados emitidos a las empresas. Los atacantes pueden usar estas claves privadas robadas para firmar certificados para aplicaciones maliciosas y engañar a los navegadores haciéndoles creer que son confiables. Estos certificados, conocidos como certificados falsos, son ampliamente utilizados por los atacantes para propagar ataques de phishing y de intermediarios. Y esta CA raíz intermedia falsa puede hacer mal uso de su autoridad y firmar certificados de servidores y aplicaciones fraudulentos.

Interrupciones de certificados

Los certificados emitidos tienen un período de validez asociado. Si un certificado no se renueva antes de que caduque, puede provocar una interrupción relacionada con el certificado en el sistema que admite. Hasta que se instale un nuevo certificado, la interrupción no planificada y el tiempo de inactividad asociado persistirán. Las interrupciones relacionadas con certificados son difíciles de identificar sin saber exactamente dónde está instalado un certificado y quién controla ese sistema.

Ineficiencias operativas

Cada certificado digital que sirve como identificación de una máquina requiere algún tiempo al año para que las organizaciones lo gestionen. Con miles de identidades de máquinas, los gastos generales pueden aumentar rápidamente. Y la administración de estas identidades puede ser más complicada cuando el administrador no está familiarizado con los certificados o almacenes de confianza. Y el tiempo requerido aumentará rápidamente si las operaciones de identidad de la máquina no se ejecutan sin problemas, especialmente cuando hay una infracción o una interrupción.

Certificados revocados desconocidos

A veces, los certificados digitales se revocan antes de su período de validez debido a que su clave privada está comprometida o la aplicación a la que está asociado el certificado ya no está operativa. A veces, los certificados pueden no ser revocados por la autoridad de certificación (CA) o la lista de revocación de certificados (CRL) no se actualiza a tiempo, lo que lleva a reconocer un certificado revocado como válido. Por ejemplo, los atacantes pueden usar un certificado huérfano para ataques de phishing si se ha eliminado una aplicación, pero su certificado no se ha revocado a tiempo.

Desafíos

Los siguientes son algunos desafíos que hacen que la gestión de identidades de máquinas sea crítica:

Visibilidad

Cuando hay una gran cantidad de certificados y claves en una organización, es difícil rastrearlos. Muchas organizaciones ni siquiera saben cuántos certificados y claves tienen, su período de validez y la política que cumplen.

Gobernanza

El siguiente problema es la falta de propiedad y control. En las organizaciones, varios equipos utilizan claves SSH y certificados SSL/TLS. Pero no existe una política consistente de cómo se emiten, quién puede acceder a ellos, rotación de claves, renovación de los certificados, etc.

Protección

Los certificados digitales para las identidades de las máquinas deben ser proporcionados por una autoridad de certificación (CA) de confianza. Las claves privadas deben almacenarse en el Módulo de seguridad de hardware (HSM) y protegerse contra compromisos. No se puede confiar en las identidades de las máquinas a menos que se implementen estas medidas de seguridad.

Automatización

La gestión manual del ciclo de vida del certificado no solo requiere mucho tiempo. Es propenso a errores y muy ineficiente también. La emisión, revocación, renovación y auditoría manual de certificados puede provocar tiempos de inactividad e interrupciones.

Mejores prácticas

Estas son las prácticas recomendadas para la gestión de identidades de máquinas:

Administración centralizada

Debe haber una identidad de máquina centralizada que ayude a optimizar la implementación de políticas en varios dispositivos. Los certificados también se pueden agrupar en función de múltiples parámetros, como fecha de caducidad, criticidad, etc., e implementar una política de grupo, lo que facilita su gestión. Debe haber una gestión de políticas adecuada que evite el acceso no autorizado y permita que las identidades de las máquinas hagan su trabajo de forma segura.

Automatización

El proceso de gestión de la identidad de la máquina se puede automatizar, lo que ayuda a definir una acción para una sola identidad de máquina, así como para un grupo completo. Todas las acciones se pueden definir de antemano y se pueden activar en función de condiciones específicas. La inscripción, el aprovisionamiento, la renovación, la revocación de certificados, etc., se pueden automatizar, lo que ayuda a mantener las identidades de las máquinas actualizadas y a eliminar las interrupciones de manera eficaz. En resumen, se debe automatizar todo el ciclo de vida de la identidad de la máquina, incluida la gestión del ciclo de vida de claves y certificados que evita errores que se pueden cometer en acciones manuales.

Almacenamiento

Todas las identidades de las máquinas, como las claves SSH y los certificados digitales, deben almacenarse en un entorno centralizado y seguro. Las identidades se pueden almacenar en el Módulo de seguridad de hardware (HSM), compatible con FIPS 140-2 Nivel 3. HSM mantiene seguros el certificado y las claves incluso si la red del usuario se ve comprometida.

Rotación de claves SSH

Las organizaciones deben rotar sus claves SSH después de un cierto período que impide usar las mismas claves SSH durante mucho tiempo al generar nuevas claves. La rotación de claves ayuda a fortalecer la seguridad de las claves SSH y protege contra riesgos como la proliferación de claves. El proceso de rotación de claves debe ser automático en lugar de manual, por lo que las claves deben rotarse con regularidad.

Aplicar políticas de seguridad sólidas

Las organizaciones deben configurar y aplicar políticas de seguridad sólidas para mantener seguras las identidades de sus máquinas y garantizar que cada identidad de máquina cumpla con las regulaciones gubernamentales correspondientes. La implementación de políticas de seguridad sólidas permite monitorizar todos los aspectos de la identidad de la máquina.

Auditoría de identidades de máquinas

Debe haber una auditoría de identidades de máquinas a intervalos regulares, lo que ayuda a encontrar vulnerabilidades como certificados que caducan, contraseñas débiles, etc., y evitar interrupciones. La auditoría también se puede automatizar con herramientas de terceros. La auditoría periódica ayuda a una organización a mejorar sus estrategias de gestión.

Las identidades digitales como una forma de reemplazar las contraseñas

Quiero terminar este artículo señalando una cosa más: qué tan seguras son las identidades, especialmente cuando las comparas con las contraseñas. Los actores malintencionados ahora pueden descifrar o robar contraseñas fácilmente, principalmente porque la mayoría de las personas aún no adoptan hábitos seguros de contraseñas. Además, las contraseñas se almacenan de forma centralizada en repositorios o se pueden capturar mientras están en tránsito por Internet.

Las identidades digitales (especialmente los certificados PKI) reducen todos esos riesgos mediante el uso de un par de claves públicas/privadas por un algoritmo criptográfico. Luego, la autenticación puede ocurrir cuando la máquina demuestra que tiene la clave privada, sin revelarla ni compartirla a través de la red. Eso limita en gran medida las oportunidades de que los actores malintencionados intercepten claves y entren en sus sistemas.

Por lo tanto, puedes ver la gestión de identidades de máquinas como una buena estrategia para reemplazar las contraseñas dentro de tu entorno, lo que fortalecerá aún más tu ciberseguridad. Creo que la gestión de la identidad de las máquinas tiene mucho potencial, principalmente aporta evolución a las prácticas de seguridad porque, al mismo tiempo, proporciona una base necesaria para que prosperen medidas de ciberseguridad más mejoradas.

Con suerte, la gestión de la identidad de la máquina obtendrá más tracción a medida que avancemos hacia la nueva normalidad, un lugar donde definitivamente necesitaremos nuevos estándares.