SafetyDetectives habló con Oleg Naumenko, fundador y CEO de Hideez. Actualmente se encuentra en Ucrania y ha ofrecido su ayuda al gobierno para mejorar su ciberseguridad, actualizando la infraestructura, eliminando vulnerabilidades e integrando el nuevo estándar de autenticación sin contraseñas de forma gratuita. También hablamos sobre Hideez, y compartió algunos consejos para mejorar tu ciberseguridad.
— Estoy aquí con Oleg Naumenko, fundador y CEO de Hideez. Gracias por tomarte el tiempo para hablar conmigo. ¿Qué te motivó a fundar Hideez?
Hideez es una empresa relativamente joven que fue fundada en 2017. La historia de nuestra marca comenzó con un incidente de seguridad personal. Hace algunos años, mis cuentas de correo electrónico y redes sociales fueron hackeadas debido a una contraseña filtrada. Los atacantes lograron retirar una cantidad considerable de dinero de mi cuenta bancaria, y esto me llevó a replantearme mi enfoque hacia la seguridad de los datos. Finalmente, se me ocurrió la idea de crear un dispositivo de bolsillo que pueda almacenar de forma segura y rellenar automáticamente las credenciales del usuario. Así nació nuestra marca.
— Háblame de Hideez; ¿cuál es su producto principal?
Después de participar en un acelerador de startups de ciberseguridad, nuestra empresa cambió su enfoque del mercado B2C al mercado B2B. Desarrollamos una solución universal de gestión de identidad y acceso que puede ser utilizada en una amplia gama de sectores, incluidos la banca, la salud, el gobierno y otros ámbitos.
Nuestro producto principal es el Servidor de Autenticación Hideez, que permite usar herramientas de autenticación sin contraseñas con cualquier servicio, incluso los antiguos. Nuestro servidor ha sido desarrollado basándose en FIDO2, un estándar de autenticación abierto que armoniza y simplifica la experiencia de autenticación en línea del usuario. Todas las especificaciones FIDO utilizan criptografía de clave pública para proporcionar el método más seguro de autenticación sin contraseñas.
Además del servidor, nuestra solución empresarial incluye una aplicación móvil que soporta autenticación sin contraseñas e inicio de sesión en escritorio sin contraseñas, así como claves de seguridad de hardware que funcionan como gestores de contraseñas portátiles y generadores de OTP, además de las características mencionadas. En ambos casos, estas herramientas de autenticación son mucho más seguras y robustas en comparación con las contraseñas tradicionales.
— ¿Por qué son tan importantes la gestión de identidad y acceso (IAM) y la autenticación sin contraseñas como herramientas críticas de ciberseguridad?
El 90% de todos los ciberataques, como el phishing, los ataques de ransomware y los ataques de intermediarios (MITM), provienen de credenciales de usuario filtradas. Usar contraseñas como método de autenticación principal es un hábito obsoleto y peligroso que puede resultar en grandes pérdidas, especialmente si hablamos de grandes empresas. La transición a la autenticación sin contraseñas es actualmente la forma más efectiva de proteger las credenciales de los empleados y prevenir violaciones de datos a largo plazo.
— Entiendo que estás involucrado en el fortalecimiento del sistema de defensa digital de Ucrania. ¿Podrías ampliar sobre tus esfuerzos?
Desde el 24 de febrero de 2022, Ucrania ha enfrentado una auténtica guerra híbrida de nueva generación. Las estructuras de poder rusas han estado atacando no solo nuestro territorio, sino también nuestra infraestructura crítica en el ciberespacio. Desafortunadamente, no todos los proveedores de infraestructura crítica pueden resistir esos ataques.
Por esta razón, nuestro equipo decidió ayudar voluntariamente a las agencias ucranianas a actualizar la infraestructura, eliminar vulnerabilidades e integrar el nuevo estándar de autenticación sin contraseñas. Recibimos la certificación gubernamental de cumplimiento y comenzamos a implementar nuestra solución en empresas estatales de forma gratuita.
— ¿Cuáles son algunos de los principales ciberataques provenientes de Rusia y cómo previene tu tecnología que causen daños?
La mayoría de los ataques cibernéticos en Ucrania se centran en las credenciales de usuario. Por lo tanto, las agencias gubernamentales y los proveedores de infraestructura crítica están motivados para cambiar de la autenticación basada en contraseñas a la autenticación sin contraseñas a un ritmo acelerado.
Debido a la constante urgencia y las condiciones extremadamente estresantes, muchos empleados no pueden trabajar de manera eficiente. Cuando trabajan durante constantes alarmas aéreas y ataques con misiles, no pueden pensar en contraseñas ni en el cumplimiento de políticas de seguridad. Los trabajadores a menudo olvidan sus contraseñas y pierden acceso a sus cuentas incluso en condiciones normales de operación, sin mencionar durante una guerra.
De todos modos, nuestro sistema de autenticación sin contraseñas no solo se trata de una autenticación segura. Mejora la experiencia del usuario y lleva todo el sistema de gestión de credenciales a un nuevo nivel de calidad, ayudando a los empleados a ser más productivos.
— ¿Qué puede hacer una persona promedio, tanto en Ucrania como en el resto del mundo, para mejorar su seguridad en línea y evitar cosas como ataques de phishing y MITM?
Cada persona utiliza regularmente más de 30 cuentas en diferentes sitios web y servicios. La mayoría de ellos almacenan información personal, y todos deberíamos pensar en su privacidad. Hace tiempo que se demostró que la autenticación tradicional de dos factores no es lo suficientemente segura. Tampoco lo son las contraseñas, incluso las más largas y complejas.
Recomiendo usar claves de seguridad de hardware para acceder a los servicios más críticos y autenticadores de software para servicios menos importantes. Los servicios modernos como Gmail, Facebook y Office 365 ya admiten la autenticación basada en FIDO, por lo que puedes proteger fácilmente tu privacidad con uno de los métodos mencionados de autenticación sin contraseñas.