Para frustrar los ataques de phishing y contraseñas, Microsoft está implementando valores predeterminados de seguridad para una gran cantidad de usuarios de Azure Active Directory (AD).
Microsoft comenzó a implementar valores predeterminados de seguridad para los clientes que crearon un nuevo inquilino de Azure AD después de octubre de 2019, pero no habilitó los valores predeterminados para los clientes que crearon inquilinos de Azure AD antes de octubre de 2019.
Hoy en día, alrededor de 30 millones de organizaciones utilizan los valores predeterminados de seguridad de Azure AD, según Microsoft, y durante el próximo mes Microsoft implementará los valores predeterminados en muchas más organizaciones, lo que dará como resultado que los valores predeterminados protejan 60 millones de cuentas más.
“Cuando se complete, esta implementación protegerá 60 millones de cuentas adicionales (¡aproximadamente la población del Reino Unido!) de los ataques de identidad más comunes”, dice el director de seguridad de identidad de Microsoft, Alex Weinert.
Azure AD es el servicio en la nube de Microsoft para manejar la identidad y la autenticación en aplicaciones locales y en la nube. Fue la evolución de los Servicios de Dominio de Active Directory en Windows 2000.
Microsoft introdujo valores predeterminados seguros en 2019 como un conjunto básico de mecanismos de seguridad de identidad para organizaciones con menos recursos que querían aumentar las defensas contra ataques de contraseñas y phishing. También estaba dirigido a organizaciones que utilizan el nivel gratuito de licencia de Azure AD, lo que permite a estos administradores simplemente activar los “valores predeterminados de seguridad” a través del portal de Azure.
Los valores predeterminados seguros no estaban destinados a organizaciones más grandes ni a aquellas que ya utilizan controles de Azure AD más avanzados, como políticas de acceso condicional.
Como explica Weinert, los valores predeterminados se introdujeron para los nuevos inquilinos para garantizar que tuvieran una “higiene de seguridad básica”, especialmente la autenticación multifactor (MFA) y la autenticación moderna, independientemente de la licencia. Los 30 millones de organizaciones que cuentan con sistemas de seguridad predeterminados son mucho menos propensos a sufrir violaciones, señala.
“Estas organizaciones experimentan un 80 por ciento menos de riesgo que la población general de inquilinos. La mayoría de los inquilinos simplemente lo dejan activado, mientras que otros agregan aún más seguridad con acceso condicional cuando están listos”, dice Weinert.
Los valores predeterminados de seguridad significan que los usuarios enfrentarán un desafío MFA “cuando sea necesario”, según la ubicación, el dispositivo, la función y la tarea del usuario, según Weinert. Sin embargo, los administradores deberán utilizar MFA cada vez que inicien sesión.
La implementación de la seguridad predeterminada llegará primero a las organizaciones que no utilizan el acceso condicional, no han utilizado previamente la seguridad predeterminada y “no están utilizando activamente clientes de autenticación heredados”.
Por lo tanto, un grupo de clientes a los que no se les pedirá que habiliten los valores predeterminados de seguridad el próximo mes son los clientes de Exchange Online que todavía usan autenticación heredada. Microsoft quería deshabilitar la autenticación heredada para Exchange Online en 2020, pero la pandemia lo retrasó. Ahora, la fecha límite para pasar Exchange Online a la autenticación moderna es el 1 de octubre de 2022. Los clientes no pueden solicitar extensiones más allá de esta fecha, enfatizó el equipo Exchange de Microsoft a principios de este mes.
Microsoft notificará este mes a los administradores globales de los inquilinos elegibles de Azure AD sobre los valores predeterminados de seguridad a través de un correo electrónico. A finales de junio, estos administradores verán una notificación de Outlook de Microsoft instándoles a hacer clic en “habilitar valores predeterminados de seguridad” y una advertencia de que “los valores predeterminados de seguridad se habilitarán automáticamente para sus organizaciones en 14 días”.
“Los administradores globales pueden optar por los valores predeterminados de seguridad de inmediato o posponer la alarma durante hasta 14 días. También pueden optar explícitamente por no participar en los valores predeterminados de seguridad durante este tiempo”, dice Weinert.
Una vez habilitado, se pedirá a todos los usuarios de un inquilino que se registren en MFA mediante la aplicación Microsoft Authenticator. Los administradores globales también deben proporcionar un número de teléfono.
Microsoft permite a los clientes dejar los valores predeterminados de seguridad deshabilitados a través de la sección “propiedades” de las propiedades de Azure Active Directory o el centro de administración de Microsoft 365.
Weinert ofrece un argumento convincente contra los administradores que se niegan a habilitarlo.
“Cuando analizamos las cuentas pirateadas, más del 99,9 % no tienen MFA, lo que las hace vulnerables a la pulverización de contraseñas, el phishing y la reutilización de contraseñas”, señala.