Google no ha sufrido un compromiso de phishing de empleados en más de un año

Los atacantes de phishing no han comprometido una sola cuenta de empleado en Google ya que la empresa exigió la autenticación utilizando tokens de hardware U2F a principios de 2017.

Esa es la notable afirmación hecha al escritor de seguridad Brian Krebs , quien recibió la siguiente declaración sobre el tema de un vocero de la compañía:

No hemos tenido notificaciones ni comprobaciones de cuentas confirmadas desde que implementamos las claves de seguridad en Google.

Dado que Google tiene 85,050 empleados, todos los cuales serían objetivos apreciados para los ataques de phishing, este es un notable anuncio de tokens, que según los informes sugieren Yubico's Universal 2 nd Factor (U2F) Yubikey.

Esto no excluye la posibilidad de que los atacantes de phishing hayan podido robar las credenciales de los empleados, simplemente porque no han podido superar la capa adicional proporcionada por el token de seguridad para tomar el control de una cuenta.

Naked Security ha discutido antes tokens U2F , cuyo principio básico es que los usuarios deben autenticarse en sus cuentas usando un nombre de usuario, una contraseña, pero también conectando un token que es individual para cada usuario.

Esto es lo que significa la autenticación de dos factores de la vieja escuela: los usuarios se autentican con algo que conocen (su contraseña) y algo que tienen (su token).

Google siempre recomendó a los consumidores usar este tipo de seguridad cuando acceden a sus servicios, incluso ofreciendo un tipo especial de cuenta del Programa de Protección Avanzado (APP) para usuarios que piensan que pueden estar en alto riesgo de ataque en el que las claves U2F son obligatorias. Los tokens también se pueden usar para agregar seguridad a un número creciente de otros sitios, incluidos Dropbox, Facebook y todos los principales administradores de contraseñas.

La declaración de Google a Krebs insinuó otras capas de seguridad:

Se puede solicitar a los usuarios que se autentiquen usando su clave de seguridad para muchas aplicaciones / razones diferentes. Todo depende de la sensibilidad de la aplicación y del riesgo del usuario en ese momento.

Esto parece ser una referencia al hecho de que los sistemas de Google pueden solicitar a los empleados que presenten sus claves en varios contextos y no solo al iniciar sesión en el correo electrónico cuando comienzan a trabajar. Es una tendencia secundaria en la que la reautenticación regular ralentiza a los atacantes que de alguna manera ponen en peligro una cuenta.

¿El futuro U2F es?

Si los tokens U2F son una forma tan efectiva de aumentar la seguridad, ¿por qué tan poca gente más allá de Google los usa?

Uno esperaría que Google fuera un gran defensor ya que fue uno de los fundadores de la Alianza FIDO bajo cuyos auspicios se desarrolló el estándar U2F.

Y Google tiene una buena razón para perseverar con los tokens U2F en la forma de otro estándar emergente llamado WebAuthn según el cual las contraseñas se enviarán a la historia a favor de una autenticación fuerte.

Lamentablemente, aunque el entusiasmo por U2F se ha extendido a otras grandes empresas, Google admite que no se puede decir lo mismo de sus propios usuarios, la mayoría de los cuales no han podido activar la verificación en dos pasos de ninguna forma.