Construir un futuro más seguro podría parecer arriesgado: ¿los clientes se adaptarán fácilmente a restricciones más estrictas? Pensemos en la autenticación multifactor. Cada vez más, es evidente que el MFA ofrece un excelente equilibrio entre seguridad y conveniencia cuando se trata de proteger nuestros datos.

Sin embargo, persisten los puntos de dolor. El liderazgo podría creer que pedirle a la gente pensar más allá de la contraseña es demasiado ambicioso. Pero alrededor de dos tercios de las personas que conocen el MFA lo usan regularmente, según nuestro informe Oh Behave de 2023. Y el 94% de las personas que lo han habilitado continúan usándolo. Nuestros datos no respaldan la opinión de que el MFA es demasiado para pedirle a las personas. Si se hace bien, es rápido y conveniente.

A medida que aumenta la adopción de la autenticación multifactor (MFA), Salesforce es un excelente estudio de caso reciente sobre cómo implementar MFA en una vasta base de clientes que abarca muchas industrias. 

El 1 de febrero de 2022, Salesforce comenzó a exigir a todos los clientes que usaran MFA al acceder a sus productos, que incluyen plataformas B2B populares como Sales Cloud, Service Cloud y Einstein. 

Preguntamos a Salesforce por qué decidieron exigir la adopción de MFA para todos sus productos, cuáles fueron los desafíos de esta iniciativa y cómo está funcionando el requisito dos años después de su implementación inicial. 

MFA: Aumentando la seguridad para todos

El requisito de MFA surgió inicialmente de la necesidad de seguridad más allá de una contraseña. Como tecnología, las contraseñas datan de la década de 1960 y ya no son un medio efectivo para asegurar cuentas. Una contraseña es un sistema de un solo factor para autenticar, mientras que la autenticación multifactor (como su nombre lo indica) requiere múltiples formas de información de identificación. Por lo general, esto incluye una contraseña y otro factor, que podría ser una huella dactilar, iniciar sesión en una aplicación de autenticación independiente o un nuevo sistema de claves de acceso. 

"La confianza es nuestro valor número uno, y no hay nada más importante que la confianza y el éxito de nuestros clientes. Creemos que proteger los datos de los clientes es una responsabilidad compartida entre Salesforce y nuestros clientes," explicó Lynn Simons, directora sénior de compromiso de seguridad en Salesforce. "A medida que los ciberataques se vuelven más comunes, las contraseñas ya no brindan suficiente protección contra el acceso no autorizado a cuentas." 

El MFA proporciona una capa extra de protección contra amenazas comunes de seguridad, como el phishing, el rellenado de credenciales y los secuestros de cuentas. Implementar MFA aumenta la seguridad tanto para el cliente como para Salesforce.

La estrategia

Requerir MFA en todos sus productos no solo demandaba conocimiento técnico, sino que también significaba que Salesforce tenía que convencer a las partes interesadas de que era lo correcto. Afortunadamente, la evidencia de los beneficios del MFA es abrumadora: la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) dice que usar MFA en cuentas reduce la posibilidad de un hackeo en un 99%.

"Salesforce cree que MFA es un componente crítico para asegurar el acceso a cuentas," continuó Lynn.

Aunque existe un riesgo potencial de compromiso de contraseñas, es muy improbable que un atacante también pueda adivinar o piratear un código desde la aplicación de autenticación del usuario.

Desde el 1 de febrero de 2022, los clientes de Salesforce están obligados a usar MFA para acceder a los productos de Salesforce. Esto significa que todos los usuarios internos que inician sesión en productos de Salesforce, incluidas las soluciones de socios, a través de la interfaz de usuario deben usar MFA en cada inicio de sesión.

Es importante destacar que los productos de Salesforce incluyen la funcionalidad de MFA sin costo adicional.

Usando los factores más seguros

Si bien creemos que cualquier forma de MFA es mejor que no tener MFA, la verdad es que algunos factores son más seguros que otros. Por ejemplo, tu huella digital es más difícil de comprometer que una contraseña de cuatro caracteres fácil. Con su iniciativa MFA, Salesforce optó por apoyar los métodos más seguros. 

"Salesforce ofrece soluciones de MFA que equilibran la seguridad fuerte y la conveniencia del usuario," dijo Lynn. 

Los métodos de verificación admitidos por Salesforce incluyen:

• Aplicación Autenticadora de Salesforce: Esta opción de aplicación móvil propietaria fue creada como una solución rápida y sin fricciones de notificaciones simples que se integran en el proceso de inicio de sesión de Salesforce.

• Aplicaciones de Autenticadores de Terceros: También puedes cumplir con el requisito de MFA utilizando otras aplicaciones móviles independientes, específicamente aplicaciones que generan códigos temporales basados en el algoritmo de contraseña de un solo uso basado en tiempo de OATH (TOTP).

• Claves de Seguridad: Estos son dispositivos físicos que usan criptografía de clave pública; los teléfonos inteligentes más populares de hoy en día tienen estas claves integradas. 

• Autenticadores Integrados: Un servicio de autenticación integrado en el dispositivo de escritorio o móvil, como Windows Hello, Face ID o Touch ID. Esta opción a menudo involucra biometría, identificadores difíciles de falsificar que son únicos para ti, como tu huella digital o rostro.

Algunos segundos factores no son tan fuertes y son inherentemente más vulnerables a la interceptación, el spoofing y otros ataques. Debido a esto, Salesforce decidió en contra del uso de estos como opciones de MFA:

• Preguntas de seguridad: Estas podrían ser adivinadas por información pública disponible sobre el usuario. 

• Códigos de un solo uso enviados por correo electrónico, mensaje de texto o llamada telefónica: Si una de estas cuentas se ve comprometida, entonces su utilidad MFA es inútil. Además, estos métodos son más fácilmente comprometidos por ataques de fatiga de MFA. 

Si requieres MFA, estamos de acuerdo en que lo mejor es usar las opciones más fuertes disponibles en este momento.

Resultados

A partir de 2024, Salesforce tiene una tasa de inscripción del 100% entre sus empleados, confirmó Lynn. Todos los productos de software de Salesforce, llamados nubes, ofrecen MFA, y casi todos han ayudado a los clientes a asegurar sus datos aplicando o habilitando automáticamente MFA para sus usuarios.

"Gracias a la asociación de nuestros clientes y su compromiso de proteger el acceso a las cuentas de usuarios, el programa para habilitar automáticamente MFA ha sido un éxito rotundo," señaló Lynn.

Conclusión: La seguridad es un deporte de equipo

Durante las dos últimas décadas, el NCA ha estado en una misión para empoderar a todos en línea para aumentar la seguridad digital. Todos tenemos un papel: empresas, gobiernos, sitios web e individuos. El exitoso requisito de MFA de Salesforce demuestra cómo un cambio positivo puede tener efectos en cadena en todo el mundo: se estima que 150,000 empresas usan Salesforce en todo el mundo, y ahora todos sus empleados y clientes utilizan MFA. 

"La seguridad es un deporte de equipo y solo es efectiva cuando todos están en la misma página," sugirió Lynn. 

Mejores prácticas

Lynn recomendó algunas mejores prácticas para empresas que intentan implementar una estrategia de MFA a largo plazo.

• Entender a tu fuerza laboral: Para los líderes de TI, el primer paso incluye comprender la fuerza laboral de la empresa, sus interacciones con la tecnología esencial y dónde hay posibles vulnerabilidades en el sistema.

• Ofrecer opciones que se integren en los flujos de trabajo existentes: En lugar de implementar una única pieza de tecnología para todos los equipos, mejorar las soluciones existentes y ofrecer soluciones que se adapten a una variedad de flujos de trabajo hará que sea más probable que el MFA funcione para todos. Un ejemplo de esto sería que Salesforce lanzara su propia aplicación de autenticación que se integra con sus productos. 

• Facilitarlo para los administradores: Invertir en el desarrollo de los materiales de aprendizaje adecuados y el apoyo para el empoderamiento para que quienes gestionan MFA puedan navegar la transición sin problemas. 

Para obtener más información, Lynn recomienda este módulo en Trailhead, la plataforma de aprendizaje en línea gratuita de Salesforce. El NCA también tiene muchos recursos sobre MFA.