¿Cómo saber si alguien es quien dice ser? En pocas palabras, esa es la pregunta a la que pretende responder la autenticación. El problema es el siguiente: actualmente confirmar una identidad es más difícil que nunca. Los nombres de usuario y las contraseñas no son suficientes, por lo que muchas empresas recurren a la Autenticación Multifactor (MFA). ¿No conoces la MFA o tienes curiosidad por saber cómo puede ayudar a proteger tu empresa? Pues en este artículo vamos a detallar todo lo que necesitas saber sobre la Autenticación Multifactor y por qué es una parte esencial de la ciberseguridad.
Contenido
¿Qué es la autenticación multifactor (MFA)?
La autenticación multifactor (MFA) es un proceso de inicio de sesión en una cuenta que requiere múltiples métodos de autenticación a partir de tipos independientes de credenciales, para así verificar la identidad de un usuario para un inicio de sesión u otra transacción.
La autenticación multifactor combina dos o más credenciales independientes: lo que el usuario sabe, cómo una contraseña; lo que el usuario tiene, como un token de seguridad; y lo que el usuario es, utilizando métodos de verificación biométrica.
El objetivo de la MFA es crear una defensa en capas que dificulte el acceso de una persona no autorizada a un objetivo, como una ubicación física, un dispositivo informático, una red o una base de datos. Si uno de los factores se ve comprometido o se rompe, el atacante aún tiene que superar al menos una o más barreras antes de entrar con éxito en el objetivo.
En el pasado, los sistemas de MFA solían basarse en la autenticación de dos factores (2FA). Cada vez más, los proveedores utilizan la etiqueta multifactor para describir cualquier esquema de autenticación que requiera dos o más credenciales de identidad para disminuir la posibilidad de un ciberataque, incluyendo por ejemplos ataques de fuerza bruta. La autenticación multifactor es un componente básico de un marco de gestión de identidades y accesos.
Funcionamiento de la autenticación multifactor
La MFA requiere medios de verificación que los usuarios no autorizados no tendrán. Dado que las contraseñas son insuficientes para verificar la identidad, la MFA requiere múltiples pruebas para verificar la identidad.
La variante más común de la MFA es la autenticación de dos factores (2FA). La teoría es que incluso si los actores de la amenaza pueden hacerse pasar por un usuario con una prueba, no serán capaces de proporcionar dos o más.
Una autenticación multifactor adecuada utiliza factores de al menos dos categorías diferentes. Utilizar dos de la misma categoría no cumple el objetivo de la MFA. A pesar del uso generalizado de la combinación contraseña/pregunta de seguridad, ambos factores pertenecen a la categoría de conocimiento y no cumplen los requisitos de la MFA.
Una contraseña y un código de acceso temporal cumplen los requisitos porque el código de acceso es un factor de posesión, que verifica la propiedad de una cuenta de correo electrónico o un dispositivo móvil específicos.
La importancia de MFA en la seguridad
Uno de los mayores defectos de los sistemas tradicionales de identificación de usuario y contraseña es que las contraseñas pueden verse fácilmente comprometidas, lo que puede costar mucho a las organizaciones.
Los ataques de fuerza bruta también son una amenaza real, ya que se pueden utilizar herramientas automatizadas para adivinar varias combinaciones de nombres de usuario y contraseñas hasta encontrar la secuencia correcta.
Aunque bloquear una cuenta tras un cierto número de intentos de inicio de sesión incorrectos puede ayudar a proteger una organización/empresa, los hackers disponen de numerosos métodos para acceder al sistema y llevar a cabo ataques.
Por eso es tan importante un proceso de autenticación multifactor, ya que puede ayudar a reducir los riesgos de seguridad.
Dada la velocidad y la creciente sofisticación de los ataques a la ciberseguridad, está claro que las contraseñas simplemente no proporcionan la seguridad necesaria para salvaguardar los valiosos activos de las empresas.
Las estadísticas marcan una clara prevalencia de los ataques debidos a credenciales robadas o comprometidas así como de las repercusiones que se derivan:
- El 81% de los hackeos se deben a contraseñas débiles, reutilizadas o robadas.
- Los hackeos que implican credenciales robadas o comprometidas tardan una media de 88 días en resolverse.
- El 57% de las organizaciones informan de intentos de phishing diarios o semanales, lo que convierte al phishing en el principal método de filtración inicial. Esta estadística ilustra la persistente amenaza que suponen los ataques de ingeniería social dirigidos a las contraseñas.
- El 82% de las violaciones de datos afectan a datos almacenados en la nube.
Tipos de MFA
En general, se reconocen tres tipos de factores de autenticación:
- Algo que sabes: incluye contraseñas, PIN, combinaciones o palabras clave. Cualquier cosa que pueda recordar y luego teclear, decir, hacer, ejecutar o recordar de otro modo cuando sea necesario entra en esta categoría.
- Algo que tienes: incluye todos los elementos que son objetos físicos, como llaves, teléfonos inteligentes, tarjetas inteligentes, unidades USB y dispositivos token. Un dispositivo token produce un PIN basado en el tiempo o puede calcular una respuesta a partir de un número de desafío emitido por el servidor.
- Algo que eres: incluye cualquier parte del cuerpo humano que pueda usarse para verificación, como huellas dactilares, escaneo de la palma de la mano, reconocimiento facial, escaneo de retina, escaneo del iris o verificación de voz.
Combinando dos o tres factores de estas tres categorías, se elabora una autenticación multifactor. Se prefiere la autenticación multifactor, ya que es mucho más difícil de superar para un intruso. Con sólo una contraseña, un atacante sólo tiene que tener una única habilidad de ataque y realizar un único ataque con éxito para hacerse pasar por la víctima.
Con la autenticación multifactor, el atacante debe tener varios medios de ataque y realizar varios ataques con éxito simultáneamente para hacerse pasar por la víctima. Esto es extremadamente difícil y, por tanto, una solución de inicio de sesión más resistente. La mayoría de los servicios y cuentas en línea ofrecen autenticación multifactor real, y el número va en aumento. Incluso en sitios web es fácil de implementar, por ejemplo es muy sencillo proteger WordPress con 2FA.
Un excelente ejemplo de servicio en línea que admite la autenticación multifactor es PayPal. Actualmente ofrece al menos dos opciones diferentes. Una de ellas consiste en un dispositivo del tamaño de una tarjeta de crédito que genera un PIN de seis dígitos de un solo uso. La segunda opción envía un mensaje de texto SMS a tu teléfono móvil con un PIN de seis dígitos. En ambos casos, el PIN se utiliza junto con sus datos de nombre de usuario y contraseña para acceder a su cuenta PayPal.
Los puntos débiles de la autenticación multifactor
La MFA es excelente, pero no es perfecta, y como puede esperarse tiene algunos puntos débiles, así que veamos a continuación cuáles son.
- Falta de formación de los usuarios: muchos usuarios pueden tener la costumbre de utilizar las mismas contraseñas de acceso a múltiples cuentas o servicios, como puede ser para su correo electrónico y para entrar a algunas aplicaciones, sin tener en cuenta el potencial peligro que esto puede suponer en un sistema MFA que envía un código a su correo electrónico.
- Ataques de ingeniería social: en este caso, un atacante puede engañar a un empleado para que revele las contraseñas de cuentas y/o dispositivos de una empresa, así como las respuestas a las preguntas de seguridad.
- Ataques de phishing: los ataques de phishing pueden generar un engaño a los usuarios para que introduzcan sus datos de acceso en formularios ilegítimos. Esto le permite a los atacantes acceder a cuentas de correo electrónico y recuperar los códigos enviados por un sistema MFA.
- Ataques Man-in-the-middle (MITM): los ataques MITM pueden interceptar las credenciales de los usuarios cuando se introducen en una red falsa.
- Malware y keyloggers: el malware, especialmente los keyloggers, pueden registrar las pulsaciones de teclado de los usuarios sin su consentimiento o permiso. De esta forma los hackers pueden obtener los datos de acceso
- Punto único de fallo: si falla el dispositivo o método principal de autenticación multifactor, por ejemplo, la aplicación del teléfono o el token de hardware, los usuarios quedan bloqueados en sus cuentas. Además puede existir el error humano, punto que la MFA no puede mitigar por completo.
- Complejidad y facilidad de uso: los sistemas de MFA requieren un esfuerzo extra para recuperar, recordar e introducir la información. Como resultado, los usuarios pueden optar por utilizar contraseñas sencillas y fáciles de descifrar.
- Falta de actualizaciones periódicas: los proveedores de sistemas de MFA trabajan continuamente para mejorar la seguridad de sus productos, por ejemplo, reforzando los protocolos de autenticación y mejorando los algoritmos de cifrado. No actualizar el sistema MFA significa perderse las mejoras de seguridad necesarias.
Conclusión
A pesar de la presencia de posibles ataques y puntos débiles, la autenticación multifactor debería añadirse a las capas de seguridad de un sistema, cuenta o aplicación tan a menudo como sea posible.
Cada usuario, cada recurso y cada organización tendrán limitaciones y preferencias cuando se trate de tipos específicos de MFA. Los responsables de ello deben avanzar hacia una mayor seguridad mientras caminan por la fina línea que separa las cuentas inseguras de las seguras.
Con tantas opciones, pueden seleccionar una MFA que no resulte excesivamente costosa para los usuarios y que además reduzca el riesgo para la organización o empresa.