Sean Deuby | Tecnólogo principal

La seguridad de la información moderna se basa en una defensa por capas. Cada capa apoya a las demás y presenta obstáculos adicionales a los actores de amenazas. Desde la gestión de parches hasta los cortafuegos perimetrales, cada capa hace más difícil que los atacantes pongan en peligro su red. La autenticación multifactor (AMF) es una de estas capas. La AMF tiene muchas variantes, pero todas implican una combinación de:

  • Algo que tengas, como un smartphone o un disco duro
  • Algo que sabes, como una contraseña
  • Algo que usted es, como una huella dactilar u otros datos biométricos

Dada la prevalencia del phishing, las contraseñas débiles y las credenciales robadas que se compran y venden en línea, la implementación de MFA para Active Directory puede proporcionar una defensa adicional contra los ataques.

Lectura relacionada: ¿Qué es la seguridad de Active Directory?

¿Cómo funciona MFA para Active Directory?

MFA eleva las protecciones contra los ataques basados en la identidad. En el caso de Active Directory, que constituye el núcleo de su infraestructura de identidades, la AMF ofrece un nivel de garantía de que los usuarios legítimos son los que inician sesión y acceden a sus recursos informáticos.

Proteger el entorno de Active Directory en las instalaciones con MFA es todo un reto. Active Directory proporciona soporte nativo para MFA sólo a través de la autenticación con tarjeta inteligente, que no debe confundirse con MFA para Active Directory Federation Services (AD FS), que proporciona un segundo factor de autenticación para aplicaciones integradas en AD FS.

A falta de soporte directo de MFA para Active Directory, las organizaciones pueden integrar soluciones MFA, como Windows Hello for Business o Cisco Duo, en sus puntos finales de PC o servidores administrativos (es decir, de salto). Al hacerlo, se puede reforzar el acceso a estos puntos de acceso típicos de Active Directory para inicios de sesión interactivos o RDP. Existen otras herramientas para analizar las solicitudes de autenticación de Active Directory y aplicar la AMF según determine la política de la organización.

¿Cómo se puede implantar MFA para Active Directory en entornos de identidad híbridos?

Debido a la adopción de la nube, muchas empresas necesitan un enfoque de AMF que abarque tanto su entorno de Active Directory local como los proveedores de servicios de identidad en la nube, como Entra ID. Para soportar este tipo de entorno híbrido, las organizaciones pueden utilizar Microsoft Entra Connect (anteriormente Azure AD Connect) para sincronizar identidades entre Active Directory y el inquilino Entra.

Dentro de Entra ID, se proporcionan valores predeterminados de seguridad a los inquilinos de Entra, independientemente de que tengan o no licencias premium. Sin embargo, en la versión gratuita de Entra ID falta la función de "acceso condicional", que permite configurar reglas con acciones para escenarios específicos de inicio de sesión.

Las políticas de acceso condicional ofrecen un enfoque más granular para controlar el acceso para las condiciones que usted especifique, como solicitar MFA para cualquier persona que acceda a un servicio cuando no esté en una red corporativa. Esta característica está incluida en los planes Premium. Del mismo modo, todos los planes de Microsoft 365 permiten a las organizaciones implementar MFA utilizando valores predeterminados de seguridad. Microsoft 365 para empresas y otros planes tienen capacidades adicionales.

Tanto Microsoft 365 como Office 365 admiten MFA a través de los siguientes métodos:

  • Un mensaje de texto, enviado al teléfono del usuario, que le pide que introduzca un código de verificación.
  • Una llamada de voz
  • Microsoft Authenticator

Al igual que Microsoft 365, Entra ID admite múltiples formas de verificación:

  • Microsoft Authenticator
  • Authenticator Lite (en Outlook)
  • Windows Hello para empresas
  • Claves de seguridad FIDO2
  • Fichas de hardware OATH
  • Fichas de software OATH
  • SMS
  • Una llamada de voz

Las aplicaciones que se autentican directamente con Entra ID y tienen autenticación moderna, como OpenID Connect, pueden usar políticas de acceso condicional. Sin embargo, las aplicaciones heredadas y locales que no se autentican directamente con Entra ID deben integrarse mediante Entra ID Application proxy o servicios de políticas de red (NPS).

En septiembre de 2022, Microsoft notificó a los clientes que dejaba de ofrecer Azure MFA Server. A partir del 30 de septiembre de 2024, las implementaciones de Azure MFA Server dejarán de dar servicio a las solicitudes de MFA. Para evitar cualquier fallo de autenticación, las organizaciones deben migrar los datos de autenticación de los usuarios al servicio Entra ID MFA basado en la nube utilizando la Utilidad de Migración proporcionada por Microsoft.

¿Y la autenticación adaptativa?

Las protecciones de la AMF están evolucionando para ofrecer una seguridad más granular y adecuada. La autenticación adaptativa toma el enfoque tradicional de la AMF y le añade otra capa basada en la detección de riesgos.

En este modelo, el usuario se ve obligado a someterse a un nivel superior de autenticación en función de criterios dinámicos. Por ejemplo, un usuario puede tener características específicas, como un rol, un tipo de dispositivo o una ubicación geográfica. Si de repente ese usuario intenta iniciar sesión desde un dispositivo o país diferente, el riesgo asociado al intento puede utilizarse para justificar una solicitud de MFA. A la inversa, este modelo puede disminuir la fricción con el usuario al reducir el número de veces que los usuarios tienen que volver a autenticarse cuando actúan de acuerdo con su comportamiento normal.

Entra ID Protection (antes Azure Identity Protection) es un servicio que realiza una autenticación adaptativa basada en el riesgo del usuario y del inicio de sesión. Si se detecta un riesgo, las acciones correctoras incluyen obligar a los usuarios a restablecer sus contraseñas o bloquear el acceso hasta que intervenga un administrador. La autenticación adaptativa levanta otra barrera contra los actores de amenazas que intentan penetrar en su entorno.

¿Es MFA para Active Directory la mejor defensa?

Implementar MFA para Active Directory puede ayudar a reducir la amenaza que supone el robo de credenciales. Al comenzar la implantación de MFA, el lugar más obvio para empezar son las cuentas con derechos de acceso privilegiado. Estas cuentas son las más atractivas para los atacantes, ya que se pueden utilizar para ampliar la posición de los atacantes y persistir en su entorno sin ser detectados.

Otras cuentas pueden tener valor por el papel del empleado en la empresa. Por ejemplo, vulnerar la identidad de un miembro clave del equipo de ingeniería de software o del jefe del departamento de recursos humanos puede ofrecer a los atacantes la oportunidad de hacerse con información valiosa.

La implantación de funciones de seguridad como la AMF puede añadir una barrera adicional entre los atacantes y su entorno. Pero por sí sola, la AMF no es una defensa suficiente.

Refuerce la seguridad de Active Directory

Para proteger realmente las identidades de su entorno se requiere un enfoque integral. Para reforzar Active Directory:

Las herramientas adicionales, incluidas las soluciones de punto final, MFA y basadas en registros o eventos, pueden ser adiciones valiosas a su estrategia de detección y respuesta a amenazas de identidad (ITDR). Una defensa en capas que se centre en proteger Active Directory y otros sistemas y servicios críticos es la mejor manera de reforzar la resistencia operativa de su organización.