La llamada llegó el martes por la mañana. Un alto ejecutivo financiero de una gran empresa no pudo acceder a su cuenta. Ha quedado bloqueado después de una actualización de rutina del sistema y la necesita rápidamente. El salario estaba corriendo esa tarde.
El agente del servicio de asistencia, bajo presión y trabajando con una cola de tickets, hizo algunas preguntas de verificación. Confirmó su nombre. su departamento. El nombre de su manager. Toda la información, como se ve, está disponible en la propia página de LinkedIn de la empresa.
Director de Gestión de Producto en AU10TIX.
En veinte minutos, se restableció su cuenta, se borraron sus procedimientos de MFA y se volvieron a registrar bajo el control del atacante, y se restableció el acceso, evitando efectivamente los controles que la organización había implementado durante años.
¿El único problema? No fue ella.
Cuando alguien se dio cuenta de lo que había sucedido, el atacante había pasado tres semanas irrumpiendo en los sistemas financieros de la empresa, desviando los pagos de dos proveedores y siguiendo adelante.
La infracción no fue provocada por un inicio de sesión fallido. No hubo ataques de fuerza bruta, ni contraseñas robadas, ni correos electrónicos de phishing en los que alguien hizo clic por error. El atacante simplemente llama al servicio de asistencia técnica y pregunta amablemente.
Nos olvidamos de cerrar la puerta.
Durante años, la seguridad empresarial se ha centrado en los inicios de sesión. Autenticación multifactor, sistemas sin contraseña, tokens de hardware, inicios de sesión biométricos: la puerta de entrada a la empresa digital nunca ha sido más fuerte. Y esta fortaleza funciona. Los atacantes se encuentran cada vez más bloqueados en la puerta de entrada. Entonces dejaron de intentarlo.
En cambio, dirigieron su atención a un objetivo mucho más fácil: el momento en que un usuario legítimo pierde el acceso y necesita ayuda para recuperarlo. Recuperación de cuenta. Restablecer contraseña. Reinscripción MFA. Mejoras en la mesa de ayuda. Estos son los momentos en los que se suspenden temporalmente las reglas de autenticación
Lo más importante es que, durante la recuperación, los procesos de aplicación de políticas, como el acceso condicional, a menudo se omiten por completo y se reemplazan por evidencia que cualquier agente de soporte puede reunir en ese momento.
Los muros cuidadosamente construidos alrededor de una cuenta empresarial se derriban brevemente para devolver a alguien Cada vez más, nadie es quien dice ser
Los ataques de phishing aumentarán en un 58% entre 2024 y 2025 Las pérdidas por estafas de suplantación de identidad han superado los miles de millones de dólares Se estima que el cibercrimen mundial alcanzará los 23 billones de dólares en 2027. Estas cifras son asombrosas, pero oscurecen una verdad más obvia: alrededor del 70% de las infracciones involucran un elemento humano.
No es un exploit de día cero. No es un ataque de un estado nación a infraestructura crítica. Un hombre toma una decisión, a menudo bajo presión, a menudo con información incompleta, a menudo en un flujo de trabajo de recuperación que fue diseñado para la conveniencia más que para la seguridad.
Cómo se ve realmente la recuperación
Para comprender por qué la recuperación se ha convertido en un objetivo tan valioso, debemos comprender cómo se ve realmente la recuperación en la mayoría de los entornos empresariales.
Un usuario informa que no puede acceder a su cuenta. Tal vez cambiaron de dispositivo, perdieron su aplicación de autenticación o quedaron bloqueados después de demasiados intentos fallidos. Se ponen en contacto con el soporte de TI. Los agentes de soporte, cuyo trabajo es ayudar a las personas y resolver los tickets de manera eficiente, deben verificar que la persona es quien dice ser.
Pero las herramientas que normalmente manejan la autenticación, las aplicaciones MFA, los tokens de hardware y las claves de acceso, son exactamente a lo que el usuario ha perdido acceso. Entonces el agente recurre a lo que está disponible.
Puede ser un código SMS enviado a un número de teléfono registrado. Esto puede generar una serie de preguntas de seguridad. Puede ser una conversación en la que el usuario confirma su nombre, su equipo, su gerente, su identificación de empleado. Puede ser un correo electrónico a una dirección personal.
En algunas organizaciones, puede ser un gerente o un colega de recursos humanos que confirme verbalmente que sí, que esta persona trabaja aquí.
Estos no son sólo retrocesos. La verificación por SMS y correo electrónico son degradaciones de identidad: reemplazar señales débiles por otras fuertes en el momento en que hay más en juego. Cada uno representa una reducción significativa en la verificación de identidad, y cada uno es explotable de una manera que se ha vuelto dramáticamente más fácil en los últimos dos años.
Consideremos lo que un atacante decidido puede hacer hoy en día con recursos relativamente modestos.
La tecnología de clonación de voz, disponible gratuitamente y cada vez más fiable, puede replicar la voz de una persona a partir de unos pocos segundos de audio.
Un atacante que encuentra un video corto de un objetivo en el sitio web de una empresa, o una grabación de una llamada pública sobre ganancias o incluso una aparición en un podcast, ahora tiene la materia prima para hacerse pasar por esa persona en una llamada telefónica al servicio de asistencia técnica. El agente al otro lado de la línea suena como una voz estresada pero familiar.
Quieren ayudar. El atacante lo sabe.
Pero la amenaza ha evolucionado más allá de los esfuerzos de suplantación de identidad individuales. Los atacantes ahora utilizan agentes de inteligencia artificial para ensayar los flujos de recuperación con anticipación, probando los sistemas de asistencia técnica para ver qué preguntas de verificación se formulan correctamente, cómo responden los agentes al estrés y dónde están los puntos débiles del proceso.
Cuando se produce el ataque real, el atacante ha auditado efectivamente el proceso de recuperación de la organización en su nombre.
Las identidades artificiales, creadas a partir de información personal real y aumentadas con documentos generados por IA e imágenes falsas, se han vuelto lo suficientemente sofisticadas como para pasar la inspección visual por parte de humanos no capacitados.
Se han utilizado para abrir cuentas fraudulentas, pasar controles KYC y, cada vez más, restablecer el acceso a los sistemas empresariales haciéndose pasar por empleados reales.
Y estos ataques ya no son dominio de actores de amenazas pacientes y capacitados. La plataforma Fraude como servicio ahora incluye herramientas, scripts e incluso la capacitación necesaria para ejecutar ataques de ingeniería social a escala.
Lo que antes requería una operación delictiva sofisticada, ahora puede intentarlo casi cualquier persona dispuesta a pagar por el acceso al conjunto de herramientas adecuado.
asimetría invisible
En el centro de la recuperación de cuentas se encuentra una asimetría fundamental que la mayoría de las empresas no han tenido en cuenta en su totalidad.
Cuando un usuario normalmente inicia sesión, el sistema de autenticación soporta la mayor parte de la carga cognitiva y procesal. Presenta credenciales de usuario. El sistema los valida frente a factores conocidos. La decisión es esencialmente automática, consistente y resistente a la presión social.
Cuando un usuario necesita restaurar el acceso, esa carga pasa a un ser humano. El agente del servicio de asistencia técnica debe evaluar la situación, sopesar la información disponible y tomar una decisión.
Lo hacen decenas de veces al día, bajo presión de tiempo, con información incompleta, mientras se les evalúa en parte la rapidez con la que resuelven los tickets.
El atacante, mientras tanto, tuvo tiempo de prepararse. Saben el nombre del target, su equipo, sus últimos proyectos. Crearon una historia creíble. Es posible que ya hayan ensayado el proceso de recuperación como un ensayo para saber qué preguntas hacer.
Esta desigualdad es explotación. No es una debilidad en el código, sino una debilidad en el proceso.
Es necesario restablecer la confianza ahora mismo
Vale la pena alejarse de la mecánica del ataque para pensar en lo que realmente significa la recuperación de cuenta desde una perspectiva de identidad.
Al incorporarse, las empresas suelen aplicar sus pruebas de identidad más estrictas: verificación de documentos emitidos por el gobierno, controles biométricos, biometría. Esa base de alta seguridad es lo que constituye una autenticación sólida.
Por el contrario, la recuperación a menudo devuelve una fracción de ese valor. La brecha entre ambos no es una discrepancia menor. Esta es una debilidad estructural.
Cuando un usuario inicia sesión con autenticación segura, demuestra de forma continua y automática que es la persona que estaba a bordo. La recuperación es el momento en que se rompe la cadena de verificación continua. El usuario efectivamente está diciendo: soy lo que digo ser, pero ya no puedo demostrarlo como acordamos. Confía en mí de todos modos.
Este es un momento de alto riesgo y debe tratarse como tal. El valor aplicable en el momento de la recuperación no deberá ser inferior al valor aplicado al embarque. En todo caso, debería ser más alto, porque el contexto es intrínsecamente más dudoso. Una solicitud de recuperación es, por definición, inusual.
algo sucedió Alguien ha perdido algo, o afirma haber perdido algo. Esta es una señal, no una razón para relajar el escrutinio.
Repensar la recuperación como un problema de identidad
No hacer que los agentes del servicio de asistencia técnica sean más sospechosos, ni darles listas de verificación más largas, ni agregar más preguntas de seguridad. El juicio humano bajo presión siempre será explotable. La solución es eliminar por completo la discreción humana de las decisiones críticas de confianza.
El principio es sencillo: si la recuperación puede anular sus controles más fuertes, se convierte en su control más débil.
Una organización que ha invertido en MFA resistente al phishing, políticas de acceso condicional y tokens de hardware, pero permite borrar esos controles y volver a registrarlos con una llamada telefónica al servicio de asistencia técnica, no ha asegurado su perímetro de identidad. Creó un bypass.
La recuperación de alta seguridad significa tratar la recuperación como un evento de autenticación incremental que requiere mayor seguridad que el inicio de sesión, no menos.
Esto significa aplicar la misma verificación de identidad rigurosa en un evento de recuperación que en la incorporación inicial: no pruebas de conocimientos, ni códigos SMS, ni palabras del gerente, sino pruebas de identidad de nivel gubernamental procesadas por sistemas automatizados que son verificables, falsificados y resistentes a la manipulación sintética.
Pero la automatización por sí sola no es suficiente. Los procesos de recuperación precisos se actualizan constantemente para mantenerse al día con los atacantes más sofisticados, combinando autenticación de documentos, verificación biométrica, detección de vida y señales de comportamiento en una defensa unificada que evoluciona a medida que evolucionan las amenazas.
Fundamentalmente, esto no puede lograrse a costa de la experiencia del usuario. Un empleado legítimo que haya perdido el acceso debería poder recuperarlo rápidamente y sin fricciones. El mismo proceso que detiene a un atacante determinado también debe ser rápido y fluido para la persona a la que está diseñado para proteger.
La velocidad y la seguridad no son mutuamente excluyentes. Si se hace bien, la recuperación de alta seguridad es más rápida que una llamada al servicio de asistencia técnica y mucho más confiable que el juicio de cualquier agente.
Esto significa auditar cada ruta de recuperación en la organización como una posible ruta de ataque y saber qué flujos de trabajo eluden sus controles sólidos antes de que un atacante los descubra primero.
En la era de la clonación de voz, la ingeniería social de la IA y los ejercicios de identidad sintética, ya no es una cuestión de si su inicio de sesión es seguro. Así es exactamente como se puede asegurar su recuperación.
Hemos presentado los mejores cursos de ciberseguridad en línea.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
