Qué infracciones de datos nos dicen sobre los procedimientos de seguridad

La última década ha visto innumerables violaciones de datos con información de identificación personal (PII) de millones de personas expuestas y enviadas a los dominios de la web oscura. Pero si bien las empresas pueden enfrentar multas y daños a la reputación por fallas de seguridad cibernética, y los consumidores pueden ver pérdidas de todo tipo, el impacto de una violación de datos no te detengas ahí.

Sobre el autor

Labhesh Patel, Director de Tecnología y Jefe Científico, Jumio.

Los intentos recientes de ataques cibernéticos contra los sistemas de tarjetas de fidelidad de Tesco y Boots nos muestran exactamente por qué. En ambos casos, los piratas informáticos intentaron utilizar credenciales robadas (es decir, nombres de usuario y contraseñas) que se habían utilizado en otros sitios web para obtener acceso. . Esto se llama fraude de recuperación de cuenta (ATO), donde los piratas informáticos usan credenciales legítimas, pero robadas, para obtener acceso a una cuenta en línea. Lo que es más preocupante es que los bots ahora pueden realizar hasta 100 ataques por segundo, lo que hace que sea más fácil y rápido para los estafadores cometer fraudes ATO a gran escala.

Aunque ambos minoristas han detectado con éxito la violación antes de acceder a cualquier cuenta, surge la pregunta de si la combinación tradicional de contraseña / nombre de usuario es lo suficientemente fuerte como para resistir el ataque de más ataques cibernéticos. ataques sofisticados e interminables de credenciales. Un estudio reciente de Google encontró que el 66% de los encuestados dijo que usaban la misma contraseña para más de una cuenta en línea, y el usuario promedio tenía 7.6 cuentas de redes sociales.

Esta mala higiene de contraseña puede ser perjudicial para una gran cantidad de organizaciones, incluso si no fueron pirateadas en primer lugar. Con tantas personas que usan los mismos nombres de usuario y contraseñas para varias cuentas, y un aumento en las violaciones de datos, las empresas están amenazadas por el impacto duradero del delito cibernético.

Los métodos obsoletos simplemente no serán suficientes

La autenticación basada en el conocimiento es inherentemente débil, ya que los piratas informáticos pueden encontrar posibles respuestas a las preguntas de seguridad a través de las redes sociales y aún más fácilmente en la web oscura. En los últimos años, la autenticación de dos factores basada en SMS se ha convertido en el estándar para proteger las cuentas en línea, como los clientes de correo electrónico, contra la piratería, y es claramente una mejora con respecto a la defensa solo con contraseña.

Sin embargo, ha habido algunos ataques notables en los que los piratas informáticos han secuestrado el sistema de mensajería SMS a través de ataques man-in-the-middle. En respuesta a los recientes intentos de ciberataque, Boots evitó que los titulares de tarjetas gastaran puntos, Tesco suspendió todo acceso a la cuenta y los dos minoristas también volvieron a emitir las tarjetas. Si bien este intento de mitigar el daño es importante, estas medidas no llegan lo suficientemente lejos, ya que estas medidas aún dependen de los mismos métodos de autenticación vulnerables que los colocaron en esta posición en primer lugar.

El fraude que implica la toma de control de cuentas a menudo da como resultado un enorme daño financiero para las empresas, pero también un daño a la reputación. La tecnología ha hecho que este tipo de fraude sea mucho más fácil de implementar, ya que estos ataques a menudo ocurren usando relleno de credenciales donde los hackers usan una lista de nombres de usuario y contraseñas para obtener acceso. a las cuentas a través de solicitudes de inicio de sesión automatizadas a gran escala, generalmente mediante bots.

Esta amplia forma de apuntar a las empresas significa que hay un 8% de posibilidades de un ataque exitoso. Una vez que un ataque tiene éxito, también es más probable que puedan hacerse cargo de otras cuentas en línea utilizando la misma información de inicio de sesión.

Mirando hacia el futuro

En lugar de solo volver a emitir tarjetas y bloquear cuentas, las empresas deben implementar medidas de seguridad más estrictas para proteger a sus clientes de delitos de esta naturaleza. La biometría basada en la cara es ahora una alternativa viable y más segura a estas formas tradicionales de autenticación de usuarios. Este tipo de método de verificación y autenticación ofrece una protección mucho mejor contra la recuperación de la cuenta que las contraseñas tradicionales. Durante el registro, el usuario comienza capturando una foto de su identificación emitida por el gobierno, luego toma una selfie corroborante.

Esto se compara con la imagen en la identificación para garantizar que la persona sea quien dice ser al crear nuevas cuentas en línea. Durante el proceso de selfie, las imágenes de video selfie se reconstruyen para crear un mapa facial 3D que contiene más de 100 veces más intensidad que una foto 2D. Ahora, cuando hay una transacción arriesgada (por ejemplo, una transacción de alto valor o incluso un restablecimiento de contraseña), el usuario simplemente toma una nueva selfie de video, se crea un nuevo mapa facial en 3D y se compara instantáneamente con La tarjeta facial 3D original para la autenticación instantánea.

Obviamente, este tipo de autenticación basada en datos biométricos es mucho más confiable y seguro que una contraseña simple y evita que un tercero se haga cargo de una cuenta en línea.

Global

Hoy en día, donde hay tantos datos personales disponibles, los procesos de autenticación tradicionales utilizados para proteger a los clientes y las empresas son vulnerables y constituyen un simple inconveniente para los piratas informáticos que desean acceder a una cuenta. Recurrir a procedimientos de autenticación biométrica basados ​​en la cara es la única forma en que las organizaciones pueden proteger verdaderamente sus ecosistemas y cuentas de clientes.