La autenticación multifactor (MFA) es un excelente equilibrio entre seguridad y conveniencia cuando se trata de proteger las cuentas y datos de sus usuarios. Implementar un sistema eficaz de MFA ayuda a su empresa a mantener el cumplimiento de las regulaciones de protección de datos y reducir su responsabilidad legal si se compromete la cuenta de un usuario.

Sin embargo, ninguna medida de seguridad es infalible, y hacer que la MFA funcione en toda su organización puede implicar algunos desafíos que deberá superar.

¿Qué es la Autenticación Multifactor (MFA)?

MFA requiere que los usuarios proporcionen dos o más categorías diferentes de evidencia que demuestren su identidad antes de permitirles iniciar sesión. Los factores de autenticación se categorizan típicamente en:

• Algo que sabes (como una contraseña o PIN)

• Algo que tienes (como tu dispositivo móvil o un token de clave de autenticación)

• Algo que eres (como reconocimiento facial, huellas dactilares u otras biometrías)

La mayoría de los sistemas de MFA piden algo que sabes y algo que tienes. En otras palabras, para obtener acceso no autorizado a una cuenta asegurada con MFA, un atacante necesitaría tener acceso al dispositivo móvil de un usuario y conocer su nombre de usuario y contraseña.

Bajas Tasas de Adopción

Uno de los primeros desafíos que una organización puede enfrentar al implementar autenticación multifactor es lograr que las personas la usen desde el principio. El 68% de las personas no usa MFA en todos los lugares donde está disponible. Desafortunadamente, muchos usuarios ven el paso de seguridad adicional como una inconveniencia que evitarán si es posible. Esto es especialmente cierto si no son conscientes de la seguridad adicional que les ofrece. La autenticación multifactor puede proteger a las empresas de ataques que pueden resultar en grandes violaciones de datos. Solo pregúntale a Uber. En 2016, hackers robaron los datos personales de 57 millones de personas obteniendo acceso no autorizado a la red de Uber, y no fue un ataque sofisticado. Más bien, un desarrollador de software de Uber había dejado accidentalmente sus credenciales de usuario expuestas en el código que compartieron en GitHub. Cualquiera con acceso a su repositorio de GitHub podría entonces iniciar sesión en su cuenta de desarrollador de Uber y acceder a datos sensibles. Cualquier forma de autenticación multifactor habría prevenido este método de ataque.

Como resultado, la mejor manera de mitigar este desafío es hacer que la MFA sea tan conveniente como sea posible permitiendo que las personas se autentiquen con métodos que ya usan, como mensajes de texto o una aplicación de autenticación. Esto significa que su sistema de MFA no se suma a los muchos sistemas de autenticación e inicio de sesión diferentes que los usuarios deben gestionar y recordar en muchas de sus cuentas.

Intentos de Phishing Automatizados

Aumentar la cantidad de información o acceso que un usuario no autorizado necesita para iniciar sesión hace más difícil para los atacantes obtener todo lo que necesitan a través de phishing. No es imposible, sin embargo, y al buscar la información correcta, un atacante puede interceptar mensajes de autenticación enviados a un dispositivo personal o suplantar el dispositivo de un usuario para poder iniciar sesión.

Los sistemas de autenticación multifactor más sofisticados son cada vez más resistentes a este método de ataque. A menos que eduque a sus usuarios sobre cómo detectar intentos de phishing automatizados y cómo responder a ellos, incluso un sistema MFA resistente al phishing no detendrá todos los ataques.

Dispositivos Personales

Los dispositivos personales como teléfonos y computadoras portátiles a menudo se utilizan como parte de los procesos de autenticación multifactor, como enviar códigos de autenticación por SMS o correo electrónico o usar una aplicación para generar una clave de autenticación.

Los dispositivos personales como estos son a menudo uno de los eslabones más débiles en la seguridad de las cuentas de usuario, además de los propios usuarios. Existen numerosas formas en que los usuarios malintencionados pueden interceptar datos destinados a un dispositivo personal o pretender estar conectándose desde el dispositivo de un usuario legítimo. Y, por supuesto, pueden simplemente ser robados o controlados de forma remota, dando a un atacante acceso a cualquier inicio de sesión guardado o datos desprotegidos en el dispositivo.

Usar dispositivos personales en la autenticación multifactor es a menudo un compromiso necesario a pesar de estos desafíos. Es el método de MFA más fácil para la mayoría de los usuarios. También ayuda a aumentar el número de personas que eligen usar su sistema de autenticación multifactor. Los riesgos potenciales de los dispositivos personales se pueden mitigar siguiendo las mejores prácticas para usar dispositivos en casa y en el trabajo. Para mayor seguridad, las empresas pueden alentar a los clientes y empleadores a utilizar métodos de autenticación basados en hardware, como generadores de claves. Según Google, las cuentas de Google que estaban aseguradas con autenticación basada en hardware eran casi inmunes a todos los ataques de phishing automatizados y masivos.

Informe de Posibles Brechas de Seguridad

En promedio, lleva casi 200 días para identificar una brecha de seguridad. Es vital educar a sus usuarios sobre la importancia de informar inmediatamente sobre posibles brechas de seguridad, dándole tiempo para restringir el acceso a sus cuentas antes de que se cause más daño. Esto es particularmente relevante cuando se utilizan sistemas MFA que requieren cuentas adicionales o usan un dispositivo personal como un teléfono.

A menos que se lo deje claro, los usuarios pueden no darse cuenta de inmediato de que algo podría comprometer la seguridad de su cuenta. Por ejemplo, supongamos que roban el teléfono de un usuario o que se hackea su cuenta de correo electrónico. Usaron ese teléfono o correo electrónico para autenticarse con su sistema. En ese caso, el ladrón ya podría tener acceso o los detalles que necesitan para acceder a otras cuentas.

Supongamos que los usuarios no entienden que esto puede comprometer una cuenta que tienen con su empresa. En ese caso, podría no enterarse sobre la posible brecha de seguridad hasta que sea demasiado tarde para actuar. Por lo tanto, también es esencial ayudar a los usuarios a entender cómo detectar las señales de que una cuenta ha sido comprometida para que puedan informar del problema más rápido.

Las señales comunes de una cuenta en línea comprometida incluyen:

• Se ha cambiado la contraseña.

• El usuario ha recibido correos electrónicos sobre un cambio de contraseña o información de cuenta que no solicitaron.

• El usuario ha recibido correos electrónicos de phishing, que se pueden hacer fácilmente con cualquiera de las plataformas populares de marketing por correo electrónico, que contienen datos personales asociados con una cuenta.

• El usuario ha recibido notificaciones sobre intentos de inicio de sesión desde ubicaciones o direcciones IP desconocidas.

Conclusión

La autenticación multifactor, como cualquier otro sistema de seguridad, no es infalible. Sin embargo, complica significativamente la vida de un posible atacante, haciendo que su organización y sus usuarios sean un objetivo menos atractivo para el fraude y el robo de datos. Es vital implementar la autenticación multifactor de manera conveniente para sus usuarios, ya que no puede proteger sus cuentas si no quieren usarla.