NASA Goddard Space Flight Center despega con Bitwarden

Cuando Mark Miller, ingeniero de sistemas LINUX, se unió por primera vez al NASA Goddard Space Flight Center, NASA Goddard gestionaba contraseñas con una herramienta llamada Cryptvault. Aunque era una herramienta “suficientemente buena”, estaba escrita en ColdFusion (CFML), tenía más de 15 años de antigüedad y había sido creada por un desarrollador que hacía mucho que había dejado la organización. Además, estaba limitada a un solo sistema y tenía un cifrado asociado escrito para una base de código limitada de 32 bits. Cuando llegó el momento de que NASA Goddard dejara atrás otros sistemas heredados, el equipo de TI comenzó a buscar una solución de gestión de contraseñas de reemplazo.

Identificar una forma segura e integral de compartir información confidencial y contraseñas era una tarea crítica para los equipos de NASA Goddard. Aunque las agencias gubernamentales siempre han sido blanco de la ciberdelincuencia, en particular de actores respaldados por Estados-nación, el Informe de amenazas cibernéticas de SonicWall 2022 mostró un gran aumento en todas las formas de ciberataques contra el gobierno de EE. UU. Además, el vínculo entre las contraseñas débiles y las filtraciones de datos es innegable, con una serie de Informes de filtraciones de datos de Verizon que destacan la conexión. Los ejemplos del mundo real también resultan ilustrativos: basta con mirar a SolarWinds y Colonial Pipeline para encontrar más evidencia.

El equipo de Mark en NASA Goddard buscaba un sitio que pudiera admitir varios usuarios, ofreciera una interfaz web intuitiva y fuera fácil de compartir. También era fundamental contar con una plataforma que permitiera el almacenamiento local de datos. Aunque la tecnología en la nube ofrece amplios beneficios, no les da a las organizaciones control sobre sus propios datos locales. La necesidad de almacenamiento local eliminó a muchos contendientes, porque muchos proveedores de gestión de contraseñas solo están disponibles en la nube.

Aunque el equipo consideró crear internamente una herramienta de gestión de contraseñas, no contaba con la experiencia en seguridad ni la pericia en programación necesarias para armar algo. Además, el equipo de desarrollo ya estaba comprometido con proyectos existentes y no tenía capacidad para asumir más. El costo también era una consideración importante. Entonces apareció Bitwarden.

Bitwarden cumplía con todos los requisitos que NASA necesitaba. Ofrecía funciones nuevas e inesperadas, como búsqueda y un generador de contraseñas/generador de frases de contraseña/generador de nombres de usuario, además de almacenamiento cifrado y un backend de gestión. 

En caso de que alguien deje la organización, Bitwarden ofrece una excelente forma de transferir la información al empleado que lo reemplace. También creó una cultura de “proceso”, una gran ventaja para el equipo de TI. Incorporar un proceso a la gestión de contraseñas hace que se vuelva algo natural para el equipo, a medida que se acostumbran a ingresar sus contraseñas en el administrador de contraseñas de forma coherente y organizada. También eliminó la necesidad de guardar credenciales en distintos sistemas y navegadores.

En el futuro, el equipo está entusiasmado por aprovechar la integración empresarial con SSO de Bitwarden. También está evaluando si los dispositivos de la organización, como los teléfonos usados en las instalaciones, son aptos para Bitwarden. Por último, está considerando posibilidades de expansión a otras divisiones de NASA. 

“Las contraseñas llegaron para quedarse”, dijo Miller. “No van a desaparecer. Hay demasiadas cuentas de servicio, claves de API u otras credenciales seguras que deben compartirse dentro de una organización para mantenerla operativa”.

Visita opensourcesecuritysummit.com para obtener más información sobre esta conferencia anual.

¿Listo para empezar con Bitwarden? Regístrate para obtener una cuenta gratuita de Bitwarden o regístrate para una prueba gratuita de 7 días de nuestros planes empresariales para ayudar a mantener seguros en línea a tu empresa y a tu equipo.