Derek Melber: “Microsoft tiene una agenda centrada en el negocio y no en la seguridad”

El evangelista técnico de ManageEngine y MVP de Microsoft Active Directory critica con dureza las políticas de protección de credenciales de la tecnológica de Redmond.

Hace escasas dos semanas, Microsoft anunciaba su decisión de eliminar sus políticas de caducidad de contraseñas. La tecnológica de Redmond cree que los usuarios de sus servicios ya no tienen por qué cambiar las credenciales cada cierto tiempo por motivos de seguridad. Y, es que, tal y como expresó Aaron Margosis, consultor de la compañía, “cuando éstos están obligados a cambiarlas, con demasiada frecuencia hacen alteraciones pequeñas y predecibles o, por el contrario, tienden a olvidarlas”. En cualquier caso, la multinacional no rehúye, con la decisión, la complejidad de un escenario en el que los ataques de ingeniería social, enfocados a los empleados más rasos, son una tendencia y un problema cada vez más importante.

CSO España ha podido hablar de estos temas con el gurú de la ciberseguridad, Derek Melber, evangelista técnico de ManageEngine y MVP (Most Valuable Professional) de Microsoft Active Directory. Esta última certificación se empezó a otorgar a principio de la década de los 90 en Estados Unidos “como una forma de reconocer y agradecer la dedicación de algunos profesionales independientes a difundir información y ayudar a los usuarios de nuestra tecnología”, según Microsoft. Pero, parece que el discurso de Melber ha cambiado en los últimos tiempos. Preguntado por esta determinación, el experto asegura que Microsoft está tratando de llevar a sus usuarios a la autenticación multifactor (MFA, de sus siglas inglesas) en su plataforma  de administración de accesos AD Azure, “por lo que la contraseña ya no jugaría un papel importante”. Si no estuviesen intentando esto, dice, nunca hubiesen sugerido este cambio de políticas. “Es preocupante que Microsoft no sea más abierto sobre por qué está tomando estas posturas, ya que genera confusión en su comunidad al no proporcionar detalles”

Para el experto, las contraseñas deben seguir cambiando a menudo y necesitan ser protegidas con la inclusión de muchos tipos de caracteres porque la mayoría de las organizaciones todavía no se han pasado, y no lo harán en el corto plazo, a las soluciones biométricas y de autenticación multifactor. Aunque sí cierto que algunas ya apuestan por las soluciones de doble factor. “Creo sinceramente que las empresas todavía necesitan proteger sus contraseñas y Microsoft no proporciona medidas para ayudarlas. En su lugar, las están presionando para que utilicen AD Azure, que no es una solución idónea para el 95% de estas. Está ignorando la realidad de las organizaciones de todo el mundo”.

Nuevas tecnologías que no acaban por jubilar a las contraseñas

Hace varios años que se abrió ya el debate sobre, si en un mundo con cada vez más tecnologías de seguridad, cuándo se iba a dar por concluida la era de las contraseñas. Pero parece que, por el momento, se resisten a perecer y, por lo tanto, hay que seguir cuidándolas. Y, eso que han llegado soluciones como la biometría, muy fuertes en los dispositivos de consumo, y servicios de detección basados en la inteligencia artificial y en el análisis de comportamiento de los usuarios (UBA, en inglés). De hecho, y según un estudio de Nuance, la biometría ayudará a reducir el fraude en 1.000 millones de dólares en todo el mundo en este año. Melber apuesta por un enfoque holístico en estos temas, en el que se utilicen las tecnologías al máximo pero en el que también se lleven a cabo talleres de información, conferencias, guías de usuario y más constancia en la ayuda a los clientes para implementar seguridad. “Microsoft tiene una agenda centrada en el negocio y la seguridad no es su prioridad”, acusa. “Ellos también proporcionan guías y formación, pero no creo que hagan todos los esfuerzos que deberían. En su lugar, quieren que el cliente compre en base solo a la esperanza de que el producto vaya a funcionar”.

Fuente: cso.computerworld.es

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.