Saltar al contenido principal
Imagen
patrón hexagonal morado

¿Por qué es necesaria la autenticación de dos factores?

Las filtraciones de datos son cada vez más frecuentes y tienen un impacto alarmante en las empresas de todo el mundo, con un total de más de $2 000 000 000 000 en daños anuales. A medida que las organizaciones trabajan para asegurar su infraestructura y activos digitales, está claro que la autenticación de factor único (y especialmente la autenticación basada en contraseña) está lejos de ser suficiente. Las contraseñas se ven fácilmente comprometidas, especialmente debido a una mala higiene de las contraseñas, pero también porque rara vez se cambian, se reutilizan en varias cuentas, se comparten con frecuencia y, a menudo, se almacenan en un lugar no seguro.

Añadir un segundo factor para autenticar a los usuarios es necesario en casi todos los casos de uso de la empresa hoy en día.

¿Qué amenazas aborda la 2FA?

La autenticación de dos factores proporciona una capa adicional de protección contra muchos de los tipos más comunes de ciberamenazas, incluyendo:

  • Contraseñas robadas: Como se ha mencionado anteriormente, una mala higiene de las contraseñas facilita su robo. La 2FA garantiza que una contraseña robada no es todo lo que se necesita para violar una cuenta.
  • Ataques de fuerza bruta (pirateo de contraseñas): Los hackers utilizan una potencia de cálculo cada vez más accesible para generar contraseñas de forma aleatoria hasta "descifrar" el código. Pero la potencia informática no puede piratear un segundo factor.
  • Phishing: El phishing sigue siendo uno de los medios más comunes, y más eficaces, para robar las credenciales de los usuarios. De nuevo, la 2FA protege contra el acceso no autorizado en caso de que el nombre de usuario y la contraseña se roben mediante un ataque de phishing.
  • Ingeniería social: Los astutos hackers utilizan cada vez más las redes sociales para lanzar ataques que engañan a los usuarios para que cedan voluntariamente sus credenciales. Pero sin el segundo factor, el hacker no puede acceder a la cuenta.

¿Cómo funciona la autenticación de dos factores?

El flujo de trabajo básico del inicio de sesión 2FA es conocido por casi todo el mundo a estas alturas. Aunque los detalles difieren en función de los factores utilizados, el proceso básico es el siguiente:

  1. La aplicación/sitio web pide al usuario que se conecte.
  2. El usuario aporta el primer factor. Este primer factor es casi siempre algo que el usuario "conoce", como la combinación de nombre de usuario y contraseña o un código de acceso único generado por un token de hardware o una aplicación de teléfono inteligente.
  3. El sitio/la aplicación valida el primer factor y luego pide al usuario que proporcione el segundo factor. Este segundo factor suele ser algo que el usuario "tiene", como un token de seguridad, una tarjeta de identificación, una aplicación para teléfono inteligente, etc.
  4. Una vez que el sitio/la aplicación ha validado el segundo factor, se concede el acceso al usuario.

¿Qué son los ejemplos de 2FA?

Los autenticadores y los tokens de autenticación abarcan cuatro categorías principales: algo que tienes, algo que sabes, algo que eres o donde estás.

  • Algo que tiene: Una tarjeta de acceso física, un teléfono inteligente u otro dispositivo o un certificado digital
  • Algo que sabes: Un código PIN o una contraseña
  • Algo que eres: Datos biométricos, como huellas dactilares o escáneres de retina

La clásica combinación de nombre de usuario y contraseña es técnicamente una forma rudimentaria de autenticación de dos factores. Pero como tanto el nombre de usuario como la contraseña entran en la categoría de "algo que sabes", esta combinación es más fácil de comprometer.

La historia de los autentificadores/factores

Tokens de hardware

Los tokens de hardware son pequeños dispositivos físicos que los usuarios presentan para acceder a un recurso. Los tokens de hardware pueden estar conectados (es decir, USB, tarjeta inteligente, dispositivo de seguridad Key Fob de único uso) o sin contacto (es decir, tokens mediante Bluetooth). Los usuarios llevan consigo estos tokens. La primera forma de 2FA moderna, introducida en 1993 por RSA, utilizaba un dispositivo de mano con una pequeña pantalla que mostraba números generados aleatoriamente que se comparaban con un algoritmo para validar al titular del dispositivo. Los tokens de hardware también se pueden perder o robar.

Tokens por SMS

A medida que los teléfonos móviles se hicieron más comunes, la 2FA basada en SMS se popularizó rápidamente. El usuario introduce su nombre de usuario y luego recibe un código de acceso único (OTP) a través de un mensaje de texto (SMS). Una opción similar utiliza una llamada de voz a un teléfono móvil para proporcionar la OTP. En ambos casos, la transmisión de la OTP es relativamente fácil de hackear, lo que hace que sea una forma poco ideal de 2FA.

Tokens basados en aplicaciones

La llegada de los teléfonos inteligentes y otros dispositivos móviles inteligentes ha hecho muy popular la 2FA basada en aplicaciones. Los usuarios instalan una aplicación en su dispositivo (también puede utilizarse en una computadora de escritorio). Al iniciar la sesión, la aplicación proporciona un "soft token", como una OTP, que se muestra en el dispositivo y debe introducirse en la pantalla de inicio de sesión. Dado que la aplicación genera el token de software en el dispositivo, se elimina el riesgo de que la OTP o el token de software sean interceptados en la transmisión.

Notificaciones push

Tal vez la más fluida y conveniente desde la perspectiva del usuario, la 2FA a través de notificaciones push no pide al usuario que introduzca un token blando. En su lugar, un sitio web o una aplicación envía directamente una notificación push al dispositivo móvil del usuario. La notificación avisa al usuario del intento de autenticación y le pide que apruebe o rechace el acceso con un solo clic o toque. Este método de 2FA es altamente seguro y extremadamente conveniente, pero depende de la conectividad a Internet.

Autenticación sin contraseña

Los tipos de autentificadores disponibles han evolucionado para incluir opciones sin contraseña como FIDO, biometría y credenciales digitales basadas en PKI para la autentificación.

2FA vs. MFA: ¿Cuál es la diferencia?

 

La autenticación de dos factores (2FA) requiere que los usuarios presenten dos tipos de autenticación, mientras que la autenticación de factores múltiples (MFA) requiere que los usuarios presenten al menos dos, si no más, tipos de autenticación. Esto significa que todo 2FA es un MFA, pero no todo MFA es un 2FA. Mientras que la autenticación de factores múltiples puede requerir cualquier combinación de autenticadores y tokens de autenticación para acceder a un recurso, aplicación o sitio web, la autenticación 2FA solo requiere dos autenticadores predefinidos para acceder a un recurso. Dependiendo de las necesidades de su organización, la autenticación 2FA podría proporcionar el paso adelante en la seguridad que su organización está buscando al tiempo que permite una experiencia sin fricciones para los usuarios finales.

Cómo elegir los factores adecuados para la 2FA

Los distintos tipos de factores que se pueden utilizar para habilitar la autenticación de dos factores se han discutido anteriormente. Pero incluso dentro de cada tipo de autentificador, hay muchas opciones diferentes entre las que elegir, y constantemente aparecen nuevas tecnologías. ¿Cómo elegir qué factores utilizar para su protocolo 2FA? He aquí algunas preguntas que le ayudarán a considerar la elección correcta:

  • ¿Quiere que la autenticación sea transparente para el usuario?
  • ¿Le gustaría que el usuario llevara un dispositivo físico o se autenticara en línea?
  • ¿Quiere que el sitio web también se autentique ante el usuario?
  • ¿Qué tan sensible es la información que está protegiendo y cuál es el riesgo asociado?
  • ¿El acceso físico (enlace) a oficinas, laboratorios u otras áreas es parte de sus requisitos de usuario?

Entrust ofrece la orientación de expertos para reforzar su seguridad con la autenticación de factores múltiples de alta garantía. Admitimos la más amplia gama de autentificadores de seguridad 2FA, lo que le permite elegir la mejor opción que se adapte a sus necesidades de seguridad y casos de uso. Y lo que es más importante, Entrust puede proporcionarle una orientación experta y consultiva para ayudarle a seleccionar la(s) opción(es) adecuada(s) y simplificar su cambio a autenticación de dos factores de alta seguridad.

Casos de uso de la autenticación de dos factores

La autenticación de dos factores es la forma más omnipresente de autenticación de factores múltiples, lo que la hace perfecta para los casos de uso en los que varias personas necesitan acceder a los datos. Por ejemplo, las aplicaciones sanitarias suelen utilizar la 2FA porque permite a los médicos y a otros profesionales clínicos acceder a los datos sensibles de los pacientes cuando lo solicitan, a menudo desde dispositivos personales.

Del mismo modo, las aplicaciones bancarias y financieras 2FA pueden ayudar a proteger la información de las cuentas contra el phishing y los ataques de ingeniería social, a la vez que permiten la banca móvil para los consumidores.

Aplicaciones industriales de la 2FA:

  • Cuidado de la salud
  • Banca
  • Venta minorista
  • Educación superior
  • Redes sociales
  • Instituciones gubernamentales/federales

¿Cuáles son las amenazas/riesgos de la autenticación de dos factores?

Hay varios enfoques que los hackers emplean en un intento de frustrar la MFA y la 2FA. Estos incluyen:

  • Ingeniería social: En un ataque de ingeniería social, los hackers se hacen pasar por una fuente legítima que pide información personal identificable.
  • Ataques técnicos: Los ataques técnicos incluyen malware y troyanos.
  • Robo físico: La posesión física de un teléfono inteligente u otro dispositivo móvil por parte de un actor malintencionado puede suponer una amenaza para la 2FA.
  • Subvertir la recuperación de cuentas: Dado que el proceso de restablecimiento de la contraseña a menudo elude la 2FA, los hackers a veces pueden aprovechar solo un nombre de usuario para subvertir la 2FA.

¿Es la autenticación de dos factores lo suficientemente segura?

La 2FA supone un gran avance con respecto a la autenticación de un solo factor, en particular la autenticación tradicional basada en contraseñas y todos sus defectos de factor humano. Es lo suficientemente segura, pero la autenticación de factores múltiples (MFA) se considera ahora la solución de facto para autenticar a los usuarios. Las exigencias de cumplimiento como PCI DSS también han sustituido la 2FA por la MFA y las entidades gubernamentales están exigiendo la MFA en todas las instituciones federales. Con MFA, existe la posibilidad de añadir más factores de forma (no contraseñas) para mejorar la seguridad. El uso de la biometría para la autenticación del usuario en combinación con la verificación del dispositivo y la adición de controles contextuales basados en el riesgo permite evaluar la postura de riesgo del usuario y del dispositivo antes de conceder el acceso. La MFA con opciones sin contraseña y la autenticación adaptativa basada en el riesgo es el camino a seguir para mejorar la seguridad.

¿Cuáles son los autenticadores/las autenticaciones basadas en tokens más comunes?

Autenticación transparente

Los autenticadores transparentes validan a usuarios sin participación diaria.

  • Certificados digitales
  • Geolocalización de IP
  • Autenticación del dispositivo

Autenticación de factor de forma físico

Dispositivos tangibles que los usuarios llevan consigo y utilizan al autenticarse.

  • Tokens de contraseña de un solo uso (OTP)
  • Tarjeta de coordenadas
  • Cuadrícula de autenticación
  • Lista de contraseña de un solo uso
  • Biometría

Autenticación de factor de forma no físico

Métodos para verificar identidades de usuario sin que lleven un dispositivo físico adicional.

  • Autenticación basada en conocimiento
  • Autenticación fuera de banda
  • Credenciales inteligentes móviles
  • Tokens software SMS