Recientemente, Okta ha revelado una grave vulnerabilidad en su sistema de autenticación que permitía a usuarios con nombres de cuenta de 52 caracteres o más iniciar sesión sin necesidad de contraseña. Este problema surgió tras una actualización del 23 de julio de 2024, y fue detectado y corregido el 30 de octubre del mismo año. Aunque la vulnerabilidad no afectaba a las organizaciones que emplean autenticación multifactor, su potencial riesgo ha generado preocupación en la comunidad de ciberseguridad.
¿Cómo funcionaba la vulnerabilidad?
La falla permitía que el sistema de Okta omitiera la autenticación de contraseña en ciertos casos específicos. Para que esto ocurriera, la cuenta debía cumplir con dos condiciones clave:
- Nombre de usuario largo: el nombre de usuario debía tener 52 caracteres o más.
- Autenticación previa exitosa en el mismo navegador: el sistema debía detectar una “clave de caché almacenada” de un inicio de sesión anterior exitoso, lo que significa que el usuario había iniciado sesión en esa cuenta en el mismo navegador previamente.
Aunque la vulnerabilidad se limitaba a escenarios específicos y no afectaba a cuentas con autenticación multifactor, el riesgo seguía siendo elevado. Un nombre de usuario largo, como una dirección de correo electrónico completa, puede ser más fácil de adivinar en comparación con una contraseña compleja. Esto pone de manifiesto la importancia de emplear autenticación multifactor y de realizar revisiones de seguridad periódicas en sistemas de autenticación.
Medidas y recomendaciones de Okta
Okta ha aconsejado a sus clientes que revisen sus registros de acceso de los últimos meses si cumplen con las condiciones de la vulnerabilidad, para identificar cualquier actividad sospechosa o accesos no autorizados. Aunque la empresa no ha confirmado incidentes específicos relacionados con este fallo, su respuesta resalta la importancia de una comunicación rápida en situaciones de seguridad crítica. Este compromiso se da en el contexto de incidentes previos, como el ataque del grupo Lapsus$ a principios de año, donde la seguridad de Okta se vio comprometida temporalmente.
Conclusión
Esta vulnerabilidad de Okta pone en evidencia la importancia de las pruebas rigurosas en actualizaciones de seguridad, especialmente para plataformas de autenticación ampliamente utilizadas. Los sistemas de inicio de sesión único (SSO), como los que ofrece Okta, requieren medidas de protección avanzadas debido a que proporcionan acceso a múltiples aplicaciones a través de un solo inicio de sesión. A medida que la tecnología de autenticación evoluciona, la implementación de autenticación multifactor y la revisión constante de las políticas de seguridad deben ser prioridad para todas las organizaciones que dependen de estos sistemas.
Para aquellos interesados en fortalecer la ciberseguridad de su organización, explorar mejores prácticas de autenticación en plataformas o revisar los consejos de la Agencia de Ciberseguridad y Seguridad de Infraestructura es una buena forma de comenzar.