¿Qué podría haber detenido el hack de 23andMe?

Así es como ocurrió el hack de 23andMe y cómo diferentes soluciones de control de acceso podrían haberlo detenido.

El 10 de octubre de 2023, 23andMe anunció que los malos actores habían robado los datos personales, genéticos y étnicos de millones de usuarios . Lo que es aún más impactante es que los piratas informáticos estaban vendiendo estos datos (incluidos nombres, fotografías, ubicaciones e información de ascendencia genética de los usuarios de 23andMe) en la web oscura, lo que potencialmente exponía a las víctimas a ser atacadas en función de su origen étnico.

Este artículo analiza cómo ocurrió el hackeo de 23andMe y, lo más importante, cómo varias tecnologías de control de acceso al inicio de sesión podrían haber ayudado a 23andMe a evitar que este hackeo ocurriera en primer lugar.

¿Cómo entraron los piratas informáticos en 23andMe?

Los piratas informáticos de 23andMe utilizaron "relleno de credenciales", un exploit que se basa en el hecho de que la mayoría de las personas utilizan las mismas combinaciones de nombre de usuario y contraseña en diferentes sitios web. Básicamente, los piratas informáticos toman una lista de combinaciones de nombre de usuario y contraseña de otro sitio web que fue pirateado y las prueban en el sitio web al que desean apuntar.

Un buen ejemplo de esto es el Base de datos RockYou2021 . Se trata de un archivo de la web oscura disponible públicamente con 8.400 millones de credenciales robadas de diferentes sitios web. Lo más probable es que tenga algunas credenciales comprometidas en esta lista o en otra, por lo que es tan importante utilizar una contraseña única en cada sitio web.

Según el Washington Post , “Las publicaciones en línea que ofrecen los datos a la venta en foros clandestinos decían que los compradores podían adquirir 100 perfiles por 1.000 dólares o hasta 100.000 por 100.000 dólares”. La infracción afectó a aproximadamente 14 millones de cuentas.

¿Por qué 23andMe era vulnerable al relleno de credenciales?

Según TechCrunch :

“23andMe culpó del incidente a sus clientes por reutilizar contraseñas y una función de suscripción voluntaria llamada DNA Relatives , que permite a los usuarios ver los datos de otros usuarios cuyos datos genéticos coinciden con los suyos. Si un usuario tuviera activada esta función, en teoría, permitiría a los piratas informáticos extraer datos de más de un usuario accediendo a la cuenta de un solo usuario”.

Si eres culpable de reutilizar contraseñas (la mayoría de nosotros lo somos), entonces eres vulnerable a este tipo de pirateo. Pero culpar al cliente por malas prácticas en materia de contraseñas no es realmente justo. Las cuentas de 23andMe con contraseñas seguras también eran vulnerables. Debido a la forma en que el programa “DNA Relatives” conectaba los datos de los usuarios, las cuentas con contraseñas débiles exponían a aquellas con contraseñas seguras.

En última instancia, confiar en que los usuarios adopten buenas prácticas en materia de contraseñas es una estrategia perdedora cuando se trata de control de acceso. Según estadísticas recientes:

• El 13% de las personas reutiliza la misma contraseña en todas las cuentas ( Estudio Google 2019 )
• El 52% usa lo mismo para varias cuentas ( Estudio de Google de 2019 )
• Sólo el 35% (los responsables) utilizan una contraseña diferente para cada cuenta ( Estudio de Google de 2019 )
• El 81% de las infracciones confirmadas en 2022 se debieron a contraseñas débiles, reutilizadas o robadas ( Informe de LastPass )

Dadas estas estadísticas, es fácil concluir que los administradores de sitios web no puedo confiar en los usuarios para desarrollar buenas prácticas en materia de contraseñas. Esto impone una clara responsabilidad a los propietarios de sitios web para implementar mejores medidas de inicio de sesión/acceso.

¿Qué pasa con los administradores de contraseñas como 1Password?

Los administradores de contraseñas ofrecen una excelente solución para activar y realizar un seguimiento de contraseñas únicas. La mayoría de los navegadores web incluyen un administrador de contraseñas gratuito y existen servicios pagos como 1password . Pero no se puede obligar a todos los clientes a utilizar un administrador de contraseñas. En plataformas de redes sociales y sitios como 23andMe, donde los clientes se conectan y comparten automáticamente información personal, los usuarios que no adopten buenas prácticas de contraseñas pondrán en peligro a los que sí lo hagan.

Además, los administradores de contraseñas no son infalibles. Si un hacker captura la contraseña maestra, obtiene TODO. Los ataques de phishing (en los que se hace clic en un enlace malicioso y se exponen sus credenciales) también son un problema. El Dr. Siamak Shahandashti del Departamento de Ciencias de la Computación de la Universidad de York destacó estas vulnerabilidades en la siguiente declaración:

“Las vulnerabilidades en los administradores de contraseñas brindan oportunidades para que los piratas informáticos extraigan credenciales, comprometiendo información comercial o violando la información de los empleados. Debido a que son guardianes de mucha información confidencial, es fundamental realizar un análisis de seguridad riguroso de los administradores de contraseñas.

"Nuestro estudio muestra que un ataque de phishing desde una aplicación maliciosa es muy factible: si se engaña a una víctima para que instale una aplicación maliciosa, podrá presentarse como una opción legítima en el mensaje de autocompletar y tendrá una alta probabilidad de éxito".

En última instancia, los administradores de contraseñas son mejor que nada y pueden ayudarlo a mantenerse más seguro , pero incluso los usuarios con administradores de contraseñas fueron vulnerables en el ataque de 23andMe debido a la forma en que las cuentas de usuario se interconectaban y compartían información personal. Es necesario hacer algo más para proteger el acceso a las cuentas por parte de los propios sitios web.

¿Qué pasa con la autenticación multifactor (MFA)?

Para aumentar la seguridad de inicio de sesión, muchos sitios web utilizan autenticación multifactor (MFA). Hay muchos tipos de MFA y las soluciones más populares implican enviar un código de acceso temporal de 2 factores (2FA) por mensaje de texto o correo electrónico, lo que obliga a los usuarios a realizar un paso de autenticación adicional pero tedioso.

23andMe no ofreció MFA a sus usuarios. Pero incluso si lo hubieran sido, las soluciones MFA basadas en mensajes de texto y correo electrónico no son tan seguras como solían ser. En la mayoría de los casos, el correo electrónico sólo está protegido por una contraseña. Además, es relativamente común que los piratas informáticos obtengan el control de un teléfono inteligente mediante el intercambio de SIM. De hecho, esto es lo que ocurrió en el reciente hackeo de la cuenta de Twitter de la SEC :

Los investigadores también coinciden en que la MFA basada en mensajes de texto es cada vez más vulnerable a los ataques. Según la firma de ciberseguridad Proofpoint :

"Al contrario de lo que se podría anticipar, ha habido un aumento en las apropiaciones de cuentas entre los inquilinos que tienen protección MFA (autenticación multifactor)", dijeron investigadores de la firma de seguridad Proofpoint en un informe. "Según nuestros datos, al menos el 35 % de todos los usuarios comprometidos durante el año pasado tenían MFA habilitado".

Debido a estas vulnerabilidades, las empresas como microsoft Ahora advierten contra el uso de estrategias de 2 factores que utilizan autenticación de voz o mensajes de texto. Según Alex Weinert , director de seguridad de identidad de Microsoft:

“Estos mecanismos [estrategias 2FA basadas en mensajes de texto] se basan en redes telefónicas conmutadas públicamente (PSTN) y creo que son los menos seguros de los métodos MFA disponibles en la actualidad. Esa brecha solo se ampliará a medida que la adopción de MFA aumente el interés de los atacantes en romper estos métodos […] Vale la pena repetir, sin embargo, que MFA es esencial : estamos discutiendo qué método de MFA usar, no si usar MFA. "

¿Qué pasa con las claves de seguridad física como YubiKey?

Las llaves de seguridad físicas, como Yubikey de Yubico , son pequeños dispositivos que se conectan a su teléfono o computadora. Estos añaden un "factor" físico adicional al proceso de autenticación multifactor. Muchas empresas, como Google, exigen que los empleados utilicen Yubikeys al iniciar sesión en sus cuentas laborales. Si un usuario no conecta la clave, no podrá obtener acceso.

Las claves de seguridad físicas añaden una poderosa capa de seguridad. Sin embargo, cuanto más grande se vuelve una organización, más costosas se vuelven estas estrategias. Con un precio de entre 50 y 105 dólares por llave, proporcionar Yubikeys a cada empleado de una organización grande es costoso. Además, los retrasos y las molestias de gestión del envío y reemplazo de claves crean una carga significativa.

Luego están los sitios web públicos, como 23andMe, con millones de usuarios. Exigir que cada usuario de un sitio web público o plataforma de redes sociales compre un dispositivo de hardware de 50 dólares está fuera de discusión.

¿Qué pasa con las soluciones de seguridad integrales como Cisco Duo?

Cisco Duo y otros servicios integrales de seguridad ofrecen autenticación de dos factores (2FA) de alta calidad y otras herramientas de autenticación para mejorar la seguridad del inicio de sesión mucho más allá de las contraseñas. Los usuarios confirman el acceso mediante pasos adicionales como llamadas telefónicas, notificaciones automáticas y llaves de seguridad físicas.

Los servicios de seguridad integrales como Duo son ideales para empresas con bases de usuarios controladas. Sin embargo, escalarlos para que funcionen para millones de usuarios en un sitio web como 23andMe o Facebook no sería práctico desde una perspectiva de costos.

Este es el por qué:

• Costos de escalamiento: los servicios de seguridad integrales como Duo cobran por usuario. Cobrar por millones de cuentas no sería práctico desde una perspectiva empresarial.
• Fricción del usuario: la autenticación de varios pasos de Duo puede disuadir a algunos usuarios, especialmente aquellos que no están familiarizados con 2FA.
• Complejidad operativa: la gestión de millones de cuentas Duo requiere infraestructura y recursos dedicados.

¿Qué pasa con una solución de aplicación de autenticación como Google Authenticator?

Exigir una solución 2FA como Google Authenticator podría haber sido una forma asequible de proteger a los usuarios de 23andMe. Sin embargo, es importante tener en cuenta que Google Authenticator presenta algunas vulnerabilidades importantes:

• Ataques de phishing: los atacantes pueden crear páginas de inicio de sesión falsas y convincentes que roban nombres de usuario, contraseñas y códigos de un solo uso, lo que permite a los piratas informáticos acceder a una cuenta de forma remota.
• Ingeniería social: las tácticas engañosas podrían persuadir a los usuarios a compartir sus códigos únicos o descargar malware que los exponga.
• Vulnerabilidad de la copia de seguridad en la nube: muchos usuarios tienen copias de seguridad basadas en la nube que guardan sus claves de autenticación. Al comprometer una cuenta de almacenamiento en la nube, los piratas informáticos podrían acceder a los datos de este autenticador.
• Fricción del usuario : Google Authentator requiere que los usuarios descarguen una aplicación adicional e ingresen una clave de seguridad. Luego, cada vez que inician sesión en la aplicación, necesitan transferir un código de acceso temporal de la aplicación al sitio web, lo que añade una cantidad considerable de molestias y fricciones al proceso de inicio de sesión.
• Intercepción de clave de autenticación: la entrega del código de clave de autenticación al usuario es un punto de vulnerabilidad. Si los piratas informáticos interceptan este código o lo obtienen de alguna manera, todo el proceso de autenticación de Google se ve comprometido y los piratas informáticos remotos pueden acceder a la cuenta desde cualquier lugar.

A pesar de estas vulnerabilidades, Google Authenticator y otras aplicaciones de autenticación mejoran significativamente la seguridad de inicio de sesión en sitios web en comparación con las contraseñas únicamente. Un sistema de autenticación como este podría haber detenido en seco el hack de relleno de credenciales de 23andMe.

¿Qué pasa con vincular el control de acceso al propio dispositivo de inicio de sesión, como lo hace Invysta?

Hay otra solución que puede haber funcionado para evitar el hackeo de 23andMe. Esta es una tecnología basada en software de Grupo de tecnología Invysta , lo que podría haber transformado instantáneamente los dispositivos de inicio de sesión de los usuarios de 23andMe en claves de seguridad físicas, ofreciendo el mismo nivel de seguridad que una clave de seguridad física (sin necesidad de la clave real).

Invysta funciona detectando los identificadores únicos de hardware y software que se encuentran en cada dispositivo de inicio de sesión del usuario y utilizando esos identificadores para generar una "Clave de acceso anónimo" imposible de replicar. Al transformar los teléfonos inteligentes o las computadoras portátiles de los usuarios de 23andMe en llaves de seguridad físicas, Invysta permite a los sitios web con millones de usuarios acceder al más alto nivel de seguridad sin la necesidad de comprar o distribuir una pieza adicional de hardware, lo que hace imposible que los piratas informáticos remotos realicen una credencial. ataque de relleno.

Por supuesto, Invysta sigue siendo una tecnología relativamente desconocida y la mayoría de los propietarios de sitios web no saben que existe. Sin embargo, con el tiempo, esta solución podría ganarse la reputación de ser una estrategia poderosa pero rentable en el espacio del control de acceso.

Pensamientos finales

Este artículo analizó varias soluciones de control de acceso al inicio de sesión que podrían haber ayudado a 23andMe a prevenir el ataque a sus clientes. Pero el hecho de que algunas de estas soluciones funcionen hoy no significa que seguirán funcionando en el futuro.

A medida que compartimos más detalles sobre nosotros y nuestras familias en línea, incluidos nuestros datos de ADN y origen étnico en servicios como 23andMe, el dominio de la seguridad digital en continua evolución es más importante que nunca. De hecho, ya no se trata sólo de asegurar nuestra vida financiera. Se trata de mantener a nuestras familias a salvo de crímenes de odio, violaciones de la privacidad íntima y otras vulnerabilidades aterradoras.

A medida que estos peligros sigan aumentando y cambiando en los próximos años, se espera que aparezcan en el mercado más soluciones de ciberseguridad. Al implementar estas nuevas tecnologías de manera temprana, las organizaciones pueden evitar los daños financieros, de reputación y de seguridad física que 23andMe ha sufrido recientemente.