HayCanal.com

La autenticación de doble factor, en auge

La autenticación de doble factor, en auge

Antes de la llegada del doble factor de autenticación, 2FA, las contraseñas de los usuarios eran la única barrera de acceso incluso a las cuentas y datos más sensibles.

Hoy esta práctica sigue vigente, y las contraseñas que, por lo general demasiado simples, se reutilizan en varias plataformas para diversos usos personales y profesionales.

Según el Data Breach Report 2022, el 82% de las violaciones se basan en técnicas de ingeniería social o en la explotación de vulnerabilidades humanas. Por tanto, es necesario reforzar la fase de autenticación. Pero, aunque las empresas están adoptando el 2FA de forma generalizada como una buena práctica de ciberseguridad, este método es propenso a una serie de debilidades.

Los límites de la autenticación de dos factores

En los últimos años, los ciberdelincuentes han desarrollado técnicas sofisticadas para eludir la autenticación de dos factores, como la creación de sitios web maliciosos utilizando para ello kits de phishing ya preparados. A continuación, utilizan una página de inicio de sesión falsa para recopilar información de identificación del usuario, como el código o la cookie de sesión. La víctima es redirigida al sitio legítimo de forma transparente, sin ser consciente del engaño.

En otras ocasiones, se apoyan en habilidades más complejas como la ingeniería social sofisticada, para convencer a la víctima de que revele su código de autenticación de un solo uso. Es habitual el uso de técnicas de "deepvoice" o llamadas telefónicas redirigidas a números fraudulentos.

Otros métodos más inusuales, pero igual de formidables, son los ataques de fuerza bruta basados en la iteración automatizada, a través de todas las permutaciones posibles del código de seguridad; o los denominados "Man-In-The-Middle". Estos ataques implementan técnicas sofisticadas para interceptar el código 2FA situándose dentro del flujo de comunicaciones entre el usuario y la aplicación.

¿Sigue siendo fiable la autenticación de dos factores?

En realidad, la autenticación de doble factor es infinitamente más fiable que una simple contraseña. Pero para hacer frente a posibles intentos de elusión, es urgente reforzarla con medidas adicionales.

Una posible forma de robustecer la seguridad de acceso es aumentar el número de factores de verificación mediante el uso de la autenticación multifactor (MFA). La autenticación multifactor requiere el uso de varias confirmaciones para conceder el acceso a la entidad que se conecta (una persona o una máquina). Y estas pueden ser de varios tipos, entre ellos:

•    Factores conocidos, como una contraseña o una pregunta de seguridad;

•    Factores que se poseen; es decir, un token de seguridad físico (una tarjeta inteligente, una clave SecurID) o digital (un teléfono, una aplicación móvil), que genera un código único y temporal (OTP);

•    Factores que son innatos, como elementos biométricos; por ejemplo, ADN, huellas dactilares, huella retiniana, reconocimiento facial, reconocimiento de voz;

•    Factores producidos o generados, como la localización, las acciones y gestos, y el análisis del comportamiento.

Ya han surgido varias soluciones que ofrecen una seguridad aún mayor. Entre ellas figura la autenticación "fuera de banda" (OOBA), que requiere la verificación del usuario a través de dos canales de comunicación diferentes (por ejemplo, una red Ethernet y otra 4G) o el uso de tecnología de "detección profunda de voz", que identifica las voces generadas por la inteligencia artificial.

Estas tecnologías, aunque seguras, son aún marginales, por su coste de aplicación. Por ello, y aunque la 2FA -y, en menor medida, la MFA- pueden ser poco efectivos ante ciberataques muy sofisticados, es mejor seguir contando con ellas: añadir un segundo factor de autenticación es mejor que utilizar solo uno. Por lo tanto, estos métodos de autenticación aún no están obsoletos, y además son capaces de detener la mayoría de los ciberataques habituales.

La correcta implementación de la autenticación de dos factores sigue siendo un factor clave para garantizar un nivel adecuado de seguridad de acceso dentro de una empresa. Ahora bien, la adopción de un tercer o incluso un cuarto factor de autenticación destinado a un público específico (administradores de sistemas y otras figuras relevantes dentro de la empresa), y el uso de múltiples canales de comunicación, pueden reducir aún más las vulnerabilidades de autenticación. Como ocurre a menudo, todo es una cuestión de gestión del riesgo y del nivel de inversión necesario para aminorarlo.

 

Thomas Dupont, Ingeniero Preventa de Stormshield para Iberia


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos