NIS2, contraseñas y MFA: todo lo que necesitas saber

MFA y la seguridad de contraseñas son elementos clave en varios marcos regulatorios, y NIS2 no es una excepción. La Directiva NIS2 es una pieza fundamental de la legislación para cualquiera que trabaje en ciberseguridad dentro de la Unión Europea. Las últimas actualizaciones del reglamento NIS2 (Network and Information Systems) se publicaron en el Diario Oficial de la Unión Europea el 19/12/2022 y entraron en vigor el 17/01/2023. Estas actualizaciones tienen como objetivo reforzar la seguridad de las redes y los sistemas de información en toda la UE, y se aplican a un rango más amplio de entidades, incluyendo proveedores de servicios digitales y servicios esenciales.

Evolución de la Directiva original de Network and Information Systems (NIS), NIS2 amplía su alcance y endurece sus requisitos, reflejando el aumento en la sofisticación y frecuencia de las amenazas cibernéticas. A continuación, analizaremos qué implica NIS2 para tus prácticas de ciberseguridad, centrándonos en la seguridad de contraseñas y el uso de MFA.

¿Qué es NIS2?

La Directiva NIS2 es un marco regulatorio dentro de la Unión Europea diseñado para elevar el nivel general de ciberseguridad en los Estados miembros. La directiva incluye disposiciones sobre la notificación de incidentes significativos, el intercambio de información y la cooperación entre autoridades nacionales. También establece un conjunto de sanciones administrativas por incumplimiento, con el fin de garantizar que tanto las organizaciones públicas como las privadas cumplan con sus obligaciones en materia de ciberseguridad.

El objetivo de NIS2 es proporcionar un alto nivel común de ciberseguridad en toda la Unión Europea, protegiendo los servicios esenciales y la economía digital frente a la creciente amenaza de los ciberataques. MFA y la seguridad de contraseñas son elementos clave en este objetivo.

¿Cuál es la diferencia entre NIS y NIS2?

La Directiva NIS original fue la primera legislación de ámbito europeo sobre ciberseguridad, aprobada en 2016. NIS2 busca solventar las limitaciones y carencias identificadas en la directiva original, ampliando su alcance para cubrir más sectores y tipos de entidades, imponiendo medidas de seguridad más estrictas y mejorando la gestión del riesgo cibernético.

El principal motivo detrás del refuerzo de la directiva es un panorama de amenazas mucho más complejo y agresivo. Hace menos de diez años, en 2016, los ataques como el ransomware eran menos frecuentes y mucho menos costosos para las empresas. Para ponerlo en contexto, los daños globales por ciberdelincuencia se estimaban en 3 billones de dólares en 2015, y se prevé que alcancen los 10,5 billones de dólares a finales de 2025.

Los tres principales cambios de NIS2 respecto a NIS son:

• NIS2 amplía su ámbito a nuevos sectores económicos que desempeñan un papel clave en los ecosistemas digitales modernos.
• NIS2 elimina las inconsistencias de implementación aclarando los requisitos de seguridad, notificación de incidentes y cumplimiento aplicables a todas las organizaciones.
• Establece la planificación, gestión de crisis y una mayor colaboración entre los Estados miembros en caso de incidentes de ciberseguridad a gran escala.

¿Necesito cambiar algo respecto a contraseñas o MFA para 2025?

No hay actualizaciones inmediatas que debas tener en cuenta para 2025. La Directiva NIS2 fue adoptada oficialmente por el Parlamento Europeo y el Consejo en noviembre de 2022. Los Estados miembros debían transponerla a su legislación nacional dentro de los 21 meses posteriores a su entrada en vigor, por lo que la directiva entró en plena aplicación en toda la UE a mediados de 2024. En otras palabras, las organizaciones ya deben estar cumpliendo con ella.

¿Cómo afectan las regulaciones de NIS2 a la seguridad de contraseñas?

La Directiva NIS2, centrada en reforzar la ciberseguridad en la UE, subraya implícitamente la importancia de contar con una gestión robusta de contraseñas como parte de las medidas de protección de las organizaciones. Aunque la directiva no establece requisitos detallados específicamente sobre contraseñas, el cumplimiento de NIS2 exige adoptar medidas técnicas y organizativas adecuadas y proporcionales para gestionar los riesgos en la seguridad de redes y sistemas de información.

Esto incluye prácticas relacionadas con el control de acceso, directamente vinculadas a la gestión de contraseñas. Aquí te explicamos cómo puedes cumplir con los requisitos de NIS2 en este ámbito:

Políticas de contraseñas sólidas

NIS2 pone un fuerte énfasis en la implementación de mecanismos eficaces de control de acceso. La aplicación de políticas de contraseñas seguras y robustas es esencial para cumplir con ello. Se espera que las organizaciones garanticen que las contraseñas sean difíciles de adivinar, se actualicen periódicamente y sean resistentes a las técnicas de ataque más comunes. Una política de contraseñas sólida también debe incluir directrices sobre la longitud, complejidad y vigencia de las contraseñas.

Para facilitar el cumplimiento de estos requisitos, herramientas como Specops Password Policy pueden ayudarte tanto a aplicar políticas seguras como a comprobar si las contraseñas están comprometidas, todo ello de forma sencilla para el usuario.

Formación y concienciación de usuarios

La gestión del riesgo en ciberseguridad también implica formar a los usuarios sobre la importancia de utilizar contraseñas seguras y adoptar buenas prácticas de autenticación. Una formación eficaz debe abordar los riesgos de reutilizar contraseñas en varias cuentas, la importancia de crear contraseñas únicas y complejas, y el uso de gestores de contraseñas para almacenar credenciales de forma segura.

Por ejemplo, fomentar el uso de frases de paso (conjuntos largos de palabras fáciles de recordar pero difíciles de descifrar) es una manera práctica de ayudar a los usuarios a adoptar mejores hábitos sin sacrificar la usabilidad.

Auditorías y controles de cumplimiento

Las auditorías y controles regulares son esenciales para garantizar que las políticas de contraseñas se aplican correctamente y se alinean con los objetivos de seguridad definidos por la Directiva NIS2. Estas evaluaciones permiten identificar debilidades en la higiene de contraseñas, detectar cuentas no conformes y descubrir prácticas que podrían exponer a la organización a ataques basados en credenciales.

¿Quieres comprobar el estado de tu Active Directory? Specops Password Auditor realiza un análisis de solo lectura de tu Active Directory y genera un informe exportable con todos los hallazgos relacionados con vulnerabilidades de contraseñas. Descarga la herramienta gratuita aquí.

Asegurar los restablecimientos de contraseñas

Según NIS2, las organizaciones deben garantizar que los procesos de gestión de identidades y accesos, incluidos los restablecimientos de contraseñas, sean resistentes frente a accesos no autorizados. Esto implica implementar métodos seguros para verificar la identidad del usuario durante un restablecimiento. Los procesos de restablecimiento tradicionales gestionados por el service desk pueden suponer riesgos de seguridad y cumplimiento, especialmente si los pasos de verificación son débiles o inconsistentes.

Specops uReset ofrece una forma segura para que los propios usuarios restablezcan sus contraseñas cumpliendo con las recomendaciones de NIS2. uReset permite verificar la identidad mediante varias opciones flexibles de MFA, como Duo Security, Google Authenticator, Microsoft Authenticator, Okta, PingID, Symantec VIP y Yubikey. Las múltiples opciones de autenticación garantizan que los usuarios puedan completar el restablecimiento incluso si un proveedor de identidad no está disponible.

Reduciendo la dependencia del service desk y asegurando el proceso de restablecimiento, las organizaciones pueden cumplir mejor con las expectativas de NIS2 sobre controles de acceso sólidos y prevención de incidentes.

Autenticación multifactor (MFA)

MFA desempeña un papel fundamental en la directiva. Añade una capa adicional de seguridad que los atacantes deben superar tras comprometer una contraseña. Dado su papel central en NIS2, merece la pena analizarlo con más detalle.

¿Cuáles son los requisitos de MFA en NIS2?

La Directiva NIS2 destaca la autenticación multifactor como una medida esencial que las organizaciones deben implementar para reforzar su capacidad de defensa. MFA es clave para construir una defensa en profundidad frente a amenazas como el phishing y los ataques de ingeniería social, métodos habituales para robar credenciales de usuario.

Esto resulta crucial para apoyar el objetivo de NIS2: garantizar que las organizaciones que operan en sectores críticos cuenten con defensas sólidas frente a accesos no autorizados, protegiendo así los datos y sistemas esenciales para el funcionamiento de la sociedad y la economía.

Adoptar MFA no solo ayuda a cumplir con los requisitos de NIS2 y con las mejores prácticas de seguridad del sector, sino que también refuerza de forma significativa la postura de seguridad ante unas amenazas cada vez más sofisticadas. Las organizaciones sujetas a NIS2 deberían integrar MFA en sus marcos de ciberseguridad si aún no lo han hecho.

Garantiza el cumplimiento de NIS2 con Specops Secure Access

Specops Secure Access proporciona autenticación multifactor (MFA) esencial para el inicio de sesión en Windows, conexiones RDP y conexiones VPN, protegiendo frente a ataques de contraseñas y accesos no autorizados.

Con soporte para autenticación sin conexión, garantiza protección continua incluso en condiciones de red difíciles. Descubre cómo Specops Secure Access puede ayudarte a cumplir los requisitos de NIS2.

Preguntas frecuentes sobre NIS2