La autenticación multifactor (MFA) es un excelente equilibrio entre seguridad y comodidad a la hora de proteger las cuentas y los datos de sus usuarios.
La implantación de un sistema MFA eficaz ayuda a su empresa a cumplir la normativa de protección de datos y a reducir su responsabilidad legal si la cuenta de un usuario se ve comprometida.
Sin embargo, ninguna medida de seguridad es infalible, y hacer que la AMF funcione en toda su organización puede implicar algunos retos que tendrá que superar.
¿Qué es la autenticación multifactor (AMF)?
La AMF requiere que los usuarios proporcionen dos o más categorías diferentes de pruebas que demuestren su identidad antes de permitirles iniciar sesión. Los factores de autenticación suelen clasificarse en:
- Algo que sepa (como una contraseña o un PIN)
- Algo que tiene (como su dispositivo móvil o un token de clave de autenticación)
- Algo que usted es (como reconocimiento facial, huellas dactilares y otros datos biométricos)
La mayoría de los sistemas MFA piden algo que se sabe y algo que se tiene. En otras palabras, para acceder sin autorización a una cuenta protegida con AMF, un atacante necesitaría tener acceso al dispositivo móvil de un usuario y conocer su nombre de usuario y contraseña.
Bajos índices de adopción
Uno de los primeros retos a los que puede enfrentarse una organización a la hora de implantar la autenticación multifactor es conseguir que la gente la utilice en primer lugar. El 68% de las personas no utiliza la AMF en todos los lugares en los que está disponible. Lamentablemente, muchos usuarios ven el paso de seguridad añadido como un inconveniente que evitarán si es posible.
Esto es especialmente cierto si no son conscientes de la seguridad añadida que les ofrece. La autenticación multifactor puede proteger a las empresas de ataques que pueden dar lugar a enormes filtraciones de datos. Si no que se lo pregunten a Uber. En 2016, los hackers robaron los datos personales de 57 millones de personas al obtener acceso no autorizado a la red de Uber, y no fue un ataque sofisticado. Más bien, un desarrollador de software de Uber había dejado inadvertidamente expuestas sus credenciales de usuario en un código que compartió en GitHub. Cualquiera con acceso a su repositorio de GitHub podía entonces iniciar sesión en su cuenta de desarrollador de Uber y acceder a datos sensibles. Cualquier forma de autenticación multifactor habría evitado este método de ataque.
En consecuencia, la mejor forma de mitigar este problema es hacer que la AMF sea lo más cómoda posible, permitiendo a los usuarios autenticarse con métodos que ya utilizan, como mensajes de texto o una aplicación de autenticación. Esto significa que su sistema de AMF no se suma a los diferentes sistemas de autenticación e inicio de sesión que los usuarios tienen que gestionar y recordar en sus numerosas cuentas.
Intentos de phishing automatizados
Aumentar la cantidad de información o el acceso que un usuario no autorizado necesita para iniciar sesión hace que sea más difícil para los atacantes conseguir todo lo que necesitan a través del phishing. Sin embargo, no es imposible, y suplantando la información adecuada un atacante puede interceptar mensajes de autenticación enviados a un dispositivo personal, o hacerse pasar por el dispositivo de un usuario para poder iniciar sesión.
Los sistemas de autenticación multifactor más sofisticados son cada vez más resistentes a este método de ataque. A menos que eduques a tus usuarios sobre cómo detectar intentos automatizados de phishing y cómo responder a ellos, incluso un sistema MFA resistente al phishing no detendrá todos los ataques.
Dispositivos personales
Los dispositivos personales como teléfonos y portátiles se utilizan a menudo como parte de procesos de autenticación multifactor, como el envío de códigos de autenticación por SMS o correo electrónico o el uso de una aplicación para generar una clave de autenticación.
Los dispositivos personales de este tipo suelen ser uno de los eslabones más débiles de la seguridad de las cuentas de usuario, aparte de los propios usuarios. Existen numerosas formas de que usuarios malintencionados intercepten datos destinados a un dispositivo personal o simulen estar conectándose desde el dispositivo de un usuario legítimo. Y, por supuesto, pueden simplemente ser robados o controlados de forma remota, dando a un atacante acceso a cualquier inicio de sesión guardado o datos desprotegidos en el dispositivo.
El uso de dispositivos personales en la autenticación multifactor es a menudo un compromiso necesario a pesar de estos retos. Es el método AMF más sencillo para la mayoría de los usuarios. También ayuda a aumentar el número de personas que deciden utilizar su sistema de autenticación multifactor. Los riesgos potenciales de los dispositivos personales pueden mitigarse siguiendo las mejores prácticas para el uso de dispositivos en casa y en el trabajo.
Para mayor seguridad, las empresas pueden animar a sus clientes y empleadores a utilizar métodos de autenticación basados en hardware, como los generadores de claves. Según Google, las cuentas de Google protegidas mediante autenticación basada en hardware eran inmunes a casi todos los ataques de phishing automatizados y masivos.
Notificación de posibles violaciones de la seguridad
Por término medio, se tarda casi 200 días en identificar una violación de la seguridad. Es vital educar a sus usuarios sobre la importancia de informar inmediatamente de posibles violaciones de seguridad, dándole tiempo para restringir el acceso a sus cuentas antes de que se produzcan daños mayores. Esto es especialmente importante cuando se utilizan sistemas MFA que requieren cuentas adicionales o cuando se utiliza un dispositivo personal, como un teléfono.
A menos que se lo deje claro, los usuarios pueden no darse cuenta inmediatamente de que algo podría comprometer la seguridad de su cuenta. Por ejemplo, supongamos que a un usuario le roban el teléfono o piratean su cuenta de correo electrónico. Utilizaron ese teléfono o correo electrónico para autenticarse en su sistema. En ese caso, es posible que el ladrón ya tenga acceso o los datos que necesita para acceder a otras cuentas.
Supongamos que los usuarios no entienden que esto puede comprometer una cuenta que tienen con su empresa. En ese caso, es posible que no se entere de la posible brecha de seguridad hasta que sea demasiado tarde para actuar. Por lo tanto, también es esencial ayudar a los usuarios a entender cómo detectar los signos de que una cuenta ha sido comprometida para que puedan informar del problema más rápidamente.
Los signos más comunes de una cuenta en línea comprometida incluyen:
- La contraseña ha sido modificada.
- El usuario ha recibido correos electrónicos sobre un cambio de contraseña o información de cuenta que no solicitó.
- El usuario ha recibido correos electrónicos de phishing, algo que puede hacerse fácilmente con cualquiera de las plataformas populares de marketing por correo electrónico, que contienen datos personales asociados a una cuenta.
- El usuario ha recibido notificaciones sobre intentos de inicio de sesión desde ubicaciones o direcciones IP desconocidas.
Conclusión
La autenticación multifactor, como cualquier otro sistema de seguridad, no es infalible. Lo que sí hace es dificultar considerablemente la vida de un posible atacante, convirtiendo a su organización y a sus usuarios en un objetivo menos atractivo para el fraude y el robo de datos. Sin embargo, es vital implantar la autenticación multifactor de forma cómoda para sus usuarios, ya que no puede proteger sus cuentas si no quieren utilizarla.