Las claves de hardware ofrecen la mejor seguridad de autenticación y son a prueba de phishing. Pero los clientes nos preguntan cómo implementarlas y qué claves de seguridad deberían comprar. Hoy, presentamos un programa exclusivo para los clientes de Cloudflare que hace que las claves de hardware sean más accesibles y económicas que nunca. Este programa ha sido posible gracias a una nueva colaboración con Yubico, el proveedor de claves de seguridad de hardware líder de la industria, que proporciona a los clientes de Cloudflare a un precio exclusivo que es "bueno para Internet".
Las claves de seguridad de Yubico ya están disponibles para cualquier cliente de Cloudflare, y se pueden integrar fácilmente con el servicio Cloudflare Zero Trust. Este servicio está abierto a organizaciones de cualquier tamaño, desde una familia que desee proteger la red de su casa al mayor número de empleados del planeta. Cualquier cliente de Cloudflare ya puede iniciar sesión en el panel de control de Cloudflare y solicitar las claves de hardware por solo 10 USD por clave.
En julio de 2022, gracias a la utilización de Cloudflare Zero Trust junto con claves de seguridad físicas, Cloudflare evitó una violación de seguridad de un ataque de phishing mediante SMS que tenía como objetivo a más de 130 empresas. Estas claves eran YubiKeys, y esta nueva colaboración con Yubico, el fabricante de YubiKeys, elimina los obstáculos para que organizaciones de cualquier tamaño puedan implementar las claves de hardware.
¿Por qué claves de seguridad de hardware?
Es necesario que las organizaciones garanticen que solo los usuarios adecuados se conectan a sus recursos confidenciales, independientemente de si esos destinos son aplicaciones web autoalojadas, herramientas SaaS o servicios que confían en conexiones TCP arbitrarias y transmisiones UDP. Tradicionalmente, los usuarios demostraban su identidad con un nombre de usuario y contraseña, pero los ataques de phishing pueden engañar a los usuarios para robarles esta información.
Como respuesta, los equipos empezaron a implementar herramientas de autenticación multifactor (MFA) para añadir una capa adicional de seguridad. Los usuarios necesitaban especificar su nombre de usuario, su contraseña y algún valor adicional. Por ejemplo, un usuario podría tener una aplicación en ejecución en su dispositivo que genere números aleatorios o podría registrar su número de teléfono para recibir un código mediante un mensaje de texto. Aunque estas opciones de MFA mejoran la seguridad, los usuarios aún son vulnerables a ataques de phishing. Los sitios web de phishing evolucionaron y solicitaban al usuario que especificara sus códigos de MFA, o los atacantes robaban el número de teléfono de un usuario en un ataque de suplantación de SIM.
Las claves de seguridad de hardware proporcionan a las organizaciones una opción de MFA a prueba de phishing. Estas claves adoptan el estándar WebAuthN para presentar un certificado al servicio de autenticación para validar la clave en un intercambio protegido criptográficamente, algo que un sitio web de phishing no puede obtener y posteriormente suplantar.
Los usuarios registran una o más claves con su proveedor de identidad y, además de presentar su nombre de usuario y contraseña, el proveedor solicita una opción de MFA que puede incluir la clave de hardware. Al tener que pulsar la clave en lugar de lidiar con un código de una aplicación, el proceso de inicio de sesión es más fluido para todos los miembros del equipo. Al mismo tiempo, los equipos de seguridad pueden dormir tranquilos sabiendo que sus servicios están protegidos contra ataques de phishing.
Ampliación de las claves de seguridad de hardware con los productos Cloudflare Zero Trust
Aunque la mayoría de los proveedores de identidad ahora permite que los usuarios registren claves de hardware como una opción de MFA, los administradores aún no tienen control para requerir que se utilicen claves de hardware. Los usuarios pueden recurrir a una opción menos segura, como un código basado en una aplicación, si no pueden presentar la propia clave de seguridad.
Nos encontramos con esta situación cuando implementamos por primera vez claves de seguridad en Cloudflare. Si los usuarios podían recurrir a una opción menos segura y más vulnerable al phishing, como un código basado en una aplicación, también podían hacerlo los atacantes. Junto con más de 10 000 organizaciones, utilizamos los productos Cloudflare Zero Trust internamente para, en parte, proteger cómo los usuarios se conectan a los recursos y herramientas que necesitan.
Cuando un usuario necesita contactar con una aplicación o un servicio interno, la red de Cloudflare evalúa cada solicitud o conexión en busca de distintas señales, como la identidad, la postura del dispositivo y el país. Los administradores también pueden crear reglas granulares que solo se apliquen a determinados destinos. Una herramienta interna de administrador con capacidad para leer los datos de los clientes podría requerir un dispositivo corporativo en buen estado, que se conectara desde un país determinado y perteneciente a un usuario de un grupo de proveedores de identidad determinado. En cambio, una nueva página de presentación de marketing compartida para la recepción de comentarios simplemente podría requerir la identidad. Si en la autenticación del usuario pudiéramos obtener la presencia de una clave de seguridad, a diferencia de una opción de MFA distinta menos segura, entonces podríamos aplicar también esa señal.
Hace algunos años, proveedores de identidad, proveedores de hardware y empresas de seguridad colaboraron para desarrollar un nuevo estándar, la Referencia de método de autenticación (AMR), para compartir exactamente ese tipo de datos. Con AMR, los proveedores de identidad pueden compartir distintos detalles sobre el intento de inicio de sesión, incluido el tipo de opción de MFA utilizado. Poco después de ese anuncio, presentamos la capacidad de crear reglas en el paquete Cloudflare Zero Trust para buscar y aplicar esa señal. Ahora, equipos de cualquier tamaño pueden crear reglas basadas en recursos que pueden garantizar que los miembros del equipo siempre utilicen su clave de hardware.
¿Cuáles son los obstáculos para la implementación de claves de seguridad de hardware?
La seguridad de requerir algo que tú físicamente controlas es exactamente la misma razón por la que la implementación de claves de hardware añade un nivel de complejidad. Necesitas encontrar una manera de poner esa clave física en manos de los usuarios, a escala, y posibilitar que cada miembro del equipo pueda registrarlas.
En todos los casos, esa implementación empieza con la compra de las claves de seguridad de hardware. Comparadas con los códigos basados en aplicaciones, que pueden ser gratuitos, las claves de seguridad tienen un coste real. Para algunas organizaciones, el coste es disuasorio y un obstáculo que hace que estén menos protegidas, pero es importante tener en cuenta que la MFA no se crea siempre de la misma forma.
Para otros equipos, especialmente para las organizaciones que ahora trabajan en su totalidad o en parte en remoto, proporcionar estas claves a los usuarios finales, que nunca pisarán una oficina física, puede ser un desafío para los departamentos de TI. Cuando implementamos por primera vez las claves de hardware en Cloudflare, lo hicimos en nuestro retiro corporativo. Muchas organizaciones ya no tienen la oportunidad de entregar físicamente las claves en un único emplazamiento ni en sus oficinas globales.
Colaboración con Yubico
La Semana aniversario de Cloudflare siempre ha tratado de eliminar los obstáculos y las limitaciones que impiden mejorar la seguridad y la rapidez de los usuarios y los equipos en Internet. Como parte de ese objetivo, nos hemos asociado con Yubico para continuar eliminando las dificultades de la adopción de un modelo de seguridad de claves de hardware.
- La oferta está abierta para todos los clientes de Cloudflare. Los clientes de Cloudflare pueden solicitar esta oferta de las claves de seguridad de Yubico directamente en el panel de control de Cloudflare.
- Yubico proporciona claves de seguridad a un precio "bueno para Internet", de solo 10 USD por clave. Yubico enviará las claves directamente a los clientes.
- Tanto las organizaciones de soporte como la documentación para desarrolladores de Cloudflare y Yubico guiarán a los clientes para configurar las claves e integrarlas con sus proveedores de identidad y con el servicio Cloudflare Zero Trust.
Cómo empezar
Para solicitar tus propias claves de hardware, ve panel de control y sigue el flujo de notificación del banner. Yubico te las enviará directamente a la dirección de correo electrónico de administrador que has proporcionado en tu cuenta de Cloudflare. En el caso de organizaciones más grandes que deseen implementar YubiKeys a escala, puedes explorar suscripción YubiEnterprise de Yubico y obtener un 50 % de descuento el primer año de una suscripción de tres años o más.
¿Ya tienes claves de seguridad de hardware? Si tienes claves de hardware físicas, puedes empezar a crear reglas en Cloudflare Access para aplicar su uso registrándolas en un proveedor de identidad que admita AMR, como Okta o Azure AD.
Finalmente, si te interesa nuestro propio proceso de implementación de Yubikeys junto con nuestro producto Zero Trust, no te pierdas esta entrada del blog de nuestro director de seguridad, Evan Johnson, que resume la experiencia de Cloudflare y nuestras recomendaciones a partir de las lecciones aprendidas.