Hacer que las plataformas, servicios y dispositivos en línea sean más seguros por defecto es una buena idea. Pero, ¿es fácil? ¿Es popular?
Construir un futuro más seguro puede parecer arriesgado: ¿se adaptarán fácilmente los clientes a unos guardarraíles más estrictos? Pensemos en la autenticación multifactor. Cada vez es más evidente que la autenticación multifactor ofrece un excelente equilibrio entre seguridad y comodidad a la hora de proteger nuestros datos.
Sin embargo, sigue habiendo puntos débiles. Los directivos pueden creer que pedir a la gente que piense más allá de la contraseña es ir demasiado lejos. Pero aproximadamente dos tercios de las personas que conocen la AMF la utilizan con regularidad, según nuestra encuesta 2023. Compórtate 2023. Y el 94% de las personas que la han habilitado siguen utilizándola. Nuestros datos no respaldan la opinión de que la AMF es demasiado pedir a la gente. Si se hace bien, es rápido y cómodo.
A medida que aumenta la adopción de la autenticación multifactor (MFA), Salesforce es un excelente caso práctico reciente sobre cómo implantar la MFA en una amplia base de clientes que abarca muchos sectores.
El 1 de febrero de 2022, Salesforce comenzó a exigir a todos sus clientes el uso de MFA al acceder a sus productos, que incluyen plataformas B2B populares como Sales Cloud, Service Cloud y Einstein.
Preguntamos a Salesforce por qué decidieron exigir la adopción de MFA para todos sus productos, cuáles fueron los retos de esta iniciativa y cómo está funcionando el requisito dos años después de su implantación.
AMF: más seguridad para todos
El requisito de la AMF surgió inicialmente de la necesidad de seguridad más allá de una contraseña. Como tecnología, las contraseñas se remontan a los años 60 y ya no son un medio eficaz para proteger las cuentas. Una contraseña es un sistema de autenticación de un solo factor, mientras que la autenticación multifactor (como su nombre indica) requiere múltiples formas de información identificativa. Normalmente, esto incluye una contraseña y otro factor, que puede ser una huella dactilar, el inicio de sesión en una aplicación de autenticación independiente o un nuevo sistema de contraseña.
"La confianza es nuestro valor número uno, y no hay nada más importante que la confianza y el éxito de nuestros clientes. Creemos que proteger los datos de los clientes es una responsabilidad compartida entre Salesforce y nuestros clientes", explicó Lynn Simons, directora senior de compromiso de seguridad de Salesforce. "A medida que los ciberataques se vuelven más comunes, las contraseñas ya no proporcionan suficientes salvaguardas contra el acceso no autorizado a las cuentas".
MFA proporciona una capa adicional de protección contra amenazas de seguridad comunes, como phishing, relleno de credenciales y toma de control de cuentas. La implementación de MFA aumenta la seguridad tanto para el cliente como para Salesforce.
La estrategia
Requerir MFA en todos sus productos no sólo exigía conocimientos técnicos, sino que también significaba que Salesforce tenía que convencer a las partes interesadas de que era lo correcto. Por suerte, las pruebas de las ventajas de la AMF son abrumadoras: la Agencia de seguridad de infraestructuras y ciberseguridad de Estados Unidos (CISA) afirma que que el uso de la AMF en las cuentas reduce las posibilidades de pirateo en un 99%.
"Salesforce cree que MFA es un componente crítico para asegurar el acceso a las cuentas", continuó Lynn.
Aunque existe un riesgo potencial de que la contraseña se vea comprometida, es muy poco probable que un malhechor también sea capaz de adivinar o piratear un código de la aplicación de autenticación del usuario.
Desde el 1 de febrero de 2022, los clientes de Salesforce deben utilizar MFA para acceder a los productos de Salesforce. Esto significa que todos los usuarios internos que inicien sesión en los productos de Salesforce, incluidas las soluciones de socios, a través de la interfaz de usuario deben utilizar MFA en cada inicio de sesión.
Es importante destacar que los productos de Salesforce incluyen la funcionalidad MFA sin coste adicional.
Utilizar los factores más seguros
Aunque creemos que cualquier forma de AMF es mejor que ninguna, lo cierto es que algunos factores son más seguros que otros. Por ejemplo, su huella dactilar es más difícil de vulnerar que una contraseña sencilla de cuatro caracteres. Con su iniciativa MFA, Salesforce ha optado por admitir los métodos más seguros.
"Salesforce ofrece soluciones MFA que logran el equilibrio entre una seguridad sólida y la comodidad del usuario", afirmó Lynn.
Entre los métodos de verificación admitidos por Salesforce se incluyen:
- Aplicación Salesforce Authenticator: Esta opción de aplicación móvil patentada se creó como una solución rápida y sin fricciones de notificaciones push sencillas que se integran en el proceso de inicio de sesión de Salesforce.
- Aplicaciones autenticadoras de terceros: También puede cumplir el requisito de la AMF utilizando otras aplicaciones móviles independientes, concretamente aplicaciones que generen códigos temporales basados en el algoritmo OATH de contraseña de un solo uso basada en el tiempo (TOTP).
- Claves de seguridad: Se trata de dispositivos físicos que utilizan criptografía de clave pública: los smartphones más populares de la actualidad incorporan estas claves.
- Autenticadores integrados: El servicio de autenticador integrado de un ordenador o dispositivo móvil, como Windows Hello, Face ID o Touch ID. Esta opción suele incluir datos biométricos, identificadores difíciles de falsificar que son únicos para ti, como tu huella dactilar o tu cara.
Algunos segundos factores no son tan fuertes y son intrínsecamente más vulnerables a la interceptación, suplantación y otros ataques. Por este motivo, Salesforce decidió no utilizarlos como opciones de MFA:
- Preguntas de seguridad: Podrían adivinarse a partir de información pública disponible sobre el usuario.
- Códigos de un solo uso enviados por correo electrónico, mensaje de texto o llamada telefónica: Si una de estas cuentas se ve comprometida, entonces su utilidad MFA no tiene sentido. Además, estos métodos se ven más fácilmente comprometidos por ataques de fatiga de la AMF.
Si necesita un AMF, estamos de acuerdo en que es mejor que utilice las opciones más potentes disponibles en este momento.
Resultados
A partir de 2024, Salesforce tiene una tasa de inscripción del 100% entre sus empleados, confirmó Lynn. Todos los productos de software de Salesforce, denominados nubes, ofrecen MFA, y casi todos han ayudado a los clientes a proteger sus datos aplicando o activando automáticamente la MFA para sus usuarios.
"Gracias a la colaboración de nuestros clientes y a su compromiso por salvaguardar el acceso a las cuentas de los usuarios, el programa para activar automáticamente la AMF ha tenido un gran éxito", señaló Lynn.
Conclusión: La seguridad es un deporte de equipo
Durante las dos últimas décadas, la NCA ha tenido como misión capacitar a todo el mundo en línea para aumentar la seguridad digital. Todos tenemos un papel que desempeñar: empresas, gobiernos, sitios web y particulares. El éxito del requisito MFA de Salesforce muestra cómo un cambio positivo puede tener efectos dominó en todo el mundo: se calcula que 150.000 empresas utilizan Salesforce en todo el mundo, y ahora todos sus empleados y clientes utilizan MFA.
"La seguridad es un deporte de equipo, y sólo es eficaz cuando todo el mundo está de acuerdo", sugiere Lynn.
Buenas prácticas
Lynn recomendó algunas buenas prácticas a las empresas que intentan implantar una estrategia de AMF a largo plazo.
- Conozca a sus empleados: Para los responsables de TI, el primer paso incluye comprender la plantilla de la empresa, sus interacciones con la tecnología esencial y dónde hay vulnerabilidades potenciales en el sistema.
- Ofrezca opciones que se adapten a los flujos de trabajo existentes: En lugar de implantar una única tecnología para todos los equipos, mejorar las soluciones existentes y ofrecer soluciones que se adapten a una variedad de flujos de trabajo hará más probable que la AMF funcione para todos. Un ejemplo de esto sería Salesforce lanzando su propia aplicación de autenticación que se integra con sus productos.
- Facilite las cosas a los administradores: Invierta en el desarrollo de los materiales de aprendizaje adecuados y en el apoyo a la capacitación para que los que gestionan la AMF puedan realizar la transición sin problemas.
Para más información, Lynn recomienda este módulo en Trailhead, la plataforma de aprendizaje en línea gratuita de Salesforce. La NCA también dispone de muchos recursos en AMF.