Con la digitalización de varios sectores, las empresas deben reforzar su infraestructura de seguridad de Internet y de los datos mediante nuevas técnicas de verificación de usuarios. Este proceso puede abordarse de diversas maneras, en función de las exigencias de una organización. La autenticación multifactor (MFA), que verifica la identidad de un usuario mediante la comprobación de múltiples factores de seguridad, se ha convertido en un enfoque preferido por las organizaciones que buscan una mayor protección contra los ciberataques.
En este artículo, respondemos a las preguntas más frecuentes sobre este método de verificación, como qué es el AMF, cómo funciona y cuáles son sus ventajas, además de ofrecer algunos ejemplos hipotéticos de sus usos.
¿Qué es la autentificación multifactorial?
Un procedimiento MFA se utiliza para confirmar la identidad de un usuario. Cuando un usuario intenta acceder a una cuenta o completar una transacción, debe verificar su autorización utilizando un proceso MFA. Un sistema de AMF suele requerir que el usuario proporcione dos o más categorías de credenciales, como contraseñas, tokens de seguridad o datos personales, para verificar su identidad. La AMF pretende construir un sofisticado aparato de defensa multicapa para impedir que una persona no deseada acceda a un objetivo específico, como una cuenta, una base de datos, una red, una ubicación física o un dispositivo, utilizando un factor comprometido.
Dado que la AMF puede disminuir en gran medida la posibilidad de que se produzca un ciberataque, se ha convertido en una opción popular para la gestión de la seguridad y el acceso entre las organizaciones y empresas que intentan proteger los datos de los clientes y los usuarios de las violaciones de seguridad. Las organizaciones pueden diseñar sus sistemas MFA para pedir a los usuarios que verifiquen cualquier combinación de factores de credenciales, dependiendo de sus necesidades específicas. Por ejemplo, el sitio web de un banco puede pedir a un usuario que proporcione tanto una contraseña como un token de seguridad, como un código que puede recuperar a través de un mensaje de texto, para verificar la identidad del usuario y permitirle acceder a su cuenta.
Relacionado: ¿Qué es la AMF? Importancia, funcionamiento y tipos
¿Cómo funciona la autenticación multifactorial?
Los sistemas MFA suelen verificar las identidades de los usuarios a través de su capacidad para proporcionar una combinación de dos o más factores de autenticación al realizar una solicitud de acceso. A continuación se explican brevemente los cuatro tipos principales de factores de autenticación utilizados en la AMF:
-
Información: Un sistema MFA puede pedir al usuario que proporcione información, o factores de conocimiento, para verificar su identidad. Estos factores suelen adoptar la forma de preguntas de seguridad personales, contraseñas, números de identificación personal (PIN) y contraseñas de un solo uso (OTP).
-
Activos físicos: Los usuarios pueden tener que proporcionar una prueba física de su identidad a través de los activos o factores que tienen en su posesión, tales como fichas de seguridad, o pequeños elementos de hardware que almacenan información personal, como tarjetas de acceso, llaveros, una tarjeta de módulo de identidad de abonado (SIM), tarjetas inteligentes y teléfonos móviles. Además, los factores de posesión pueden incluir tokens blandos generados por estos elementos de hardware, como un PIN de inicio de sesión al que se accede a través de un dispositivo inteligente.
-
Identidad y biometría: Los sistemas de AMF pueden pedir a los usuarios que verifiquen su identidad a través de factores de inherencia personales, como datos biométricos exclusivos de su identidad física. Los factores de inherencia incluyen escaneos de huellas dactilares, escaneos de retina, escaneos de reconocimiento facial, firmas digitales y reconocimiento de voz, entre otros. En estos casos, los sistemas de AMF deben integrar herramientas de escaneo biométrico, software y bases de datos.
-
Autentificación adaptativa: La inteligencia artificial (IA) y el seguimiento del sistema de posicionamiento global (GPS) se combinan para crear sistemas de AMF que evalúan el riesgo de proporcionar acceso a los usuarios cuando éstos realizan una solicitud desde una ubicación específica, con un nuevo dispositivo o a una hora determinada. En estos casos, los sistemas MFA reconocen una posible brecha de seguridad basándose en la información de la situación y piden a los usuarios que verifiquen su ubicación o dispositivo para autenticar su identidad.
Dentro de MFA, cada factor adicional que un usuario debe proporcionar puede ofrecer un mayor nivel de seguridad contra posibles violaciones. Cuando un usuario puede pasar por varios niveles de verificación de factores, un sistema puede afirmar con mayor precisión que un usuario que solicita acceso tiene la autorización para hacerlo. En cambio, si un usuario no puede proporcionar los factores que un sistema solicita, éste puede denegarle el acceso. Por lo tanto, dado que los factores suelen ser exclusivos de los usuarios, los sistemas de AMF pueden ofrecer más garantías que otros métodos en el proceso de verificación del usuario.
Relacionado: 11 Certificaciones de ciberseguridad para principiantes
¿Qué tipo de seguridad proporciona la autenticación multifactorial?
La MFA proporciona protección contra los tipos de ciberataques más comunes y exitosos que dan lugar a violaciones de la seguridad o de los datos. Un sistema que exige MFA a los usuarios puede prevenir los siguientes tipos de ataques:
Relleno automático de credenciales
El término «credential stuffing» se refiere a los hackers que utilizan las combinaciones de nombre de usuario y contraseña robadas de una organización para acceder a las cuentas de usuario de otra organización. El relleno de credenciales automatizado utiliza scripts para probar múltiples credenciales violadas cuando se intenta acceder a un sitio web de destino. Los hackers pueden intentar este método de ataque porque los usuarios suelen utilizar las mismas credenciales para acceder a cuentas de varias organizaciones.
Ataques de fuerza bruta y fuerza bruta inversa
Los ataques de fuerza bruta son aquellos en los que los hackers utilizan ordenadores para generar diferentes combinaciones de nombres de usuario y contraseñas. A partir de aquí, el ordenador prueba las diferentes combinaciones que genera para obtener un eventual acceso a las cuentas de los usuarios. Comparativamente, los hackers pueden intentar ataques de fuerza bruta inversa utilizando una contraseña común—una que conozcan con certeza—y probándola con múltiples nombres de usuario potenciales para acceder a una cuenta.
Relacionado: Habilidades de ciberseguridad: Qué son y cómo destacarlas en tu búsqueda de empleo
Ataques del hombre en el medio
Un ataque man-in-the-middle se produce cuando un hacker intercepta las comunicaciones de datos entre ordenadores y servidores. En estos ataques, los piratas informáticos pueden tener proximidad física a un objetivo o utilizar malware. Para ejecutar los ataques tradicionales man-in-the-middle, los hackers deben acceder a una conexión a través de un router insuficientemente protegido. A partir de ahí, los hackers pueden utilizar herramientas de suplantación, secuestro y escucha para recopilar los datos transmitidos, como las credenciales de acceso y otros datos personales.
Intentos de suplantación de identidad
La suplantación de identidad se refiere a la práctica de los piratas informáticos de enviar correos electrónicos fraudulentos haciéndose pasar por organizaciones e individuos de buena reputación. Para los usuarios, estos correos electrónicos suelen parecer legítimos y convincentes. En los correos electrónicos de phishing, los hackers suelen crear una sensación de urgencia y animan al usuario a completar una tarea específica para evitar consecuencias indeseables como la suspensión de la cuenta. El objetivo del phishing es convencer a los usuarios de que revelen sus datos personales, como contraseñas, credenciales bancarias, información de tarjetas de crédito o números de la seguridad social.
Relacionado: Preguntas de la entrevista a un especialista en ciberseguridad (con ejemplos de respuestas)
¿Cuáles son las ventajas de la autenticación multifactorial?
El uso de la autenticación multifactor como parte del protocolo de ciberseguridad de su organización tiene varias ventajas. Aquí se explican algunos de esos beneficios:
-
Capas adicionales de seguridad: La MFA ofrece varias capas de seguridad que protegen las cuentas y los datos de los usuarios. Dado que los usuarios que solicitan acceso deben verificar su identidad proporcionando múltiples factores, incluso si un factor se ve comprometido por un usuario no autorizado, las capas adicionales de MFA pueden mantener las cuentas y los datos seguros.
-
Protección contra las violaciones de identidad: Por su diseño, la AMF ofrece protección contra los ciberataques comunes que intentan obtener información personal de los usuarios mediante el uso de contraseñas robadas o suplantadas. Esto puede garantizar que las identidades de los usuarios estén a salvo de las violaciones de seguridad.
-
Disminución del riesgo por el comportamiento del usuario: El uso de MFA puede disminuir los riesgos de seguridad que resultan de los comportamientos de los usuarios. Por ejemplo, los usuarios suelen reutilizar las mismas contraseñas básicas en todas las cuentas, lo que facilita a los piratas informáticos el acceso a varias cuentas simultáneamente, pero la MFA obliga a los usuarios a someterse a métodos de verificación adicionales más allá de las contraseñas.
-
Cumplimiento de las normas: Las organizaciones pueden cumplir con los requisitos normativos de ciberseguridad utilizando la AMF como parte de sus interfaces de cuenta. Esto es especialmente pertinente para las organizaciones que manejan datos protegidos por otras estipulaciones legales, como la ley de portabilidad y responsabilidad de los seguros médicos (HIPAA).
-
Integración con el inicio de sesión único (SSO): Las organizaciones pueden integrar fácilmente la AMF con soluciones de inicio de sesión único (SSO) que satisfagan las preferencias de los usuarios en cuanto a opciones de inicio de sesión sin complicaciones. Con un sistema integrado de MFA y SSO, los usuarios pueden iniciar sesión en varios sistemas de software y acceder a múltiples servicios sin tener que volver a introducir sus factores de autenticación.
16. ¿En qué se diferencia la autenticación multifactor de la autenticación de dos factores?
La autenticación de dos factores (2FA), un subconjunto de la MFA, se refiere a los métodos de verificación de usuarios que utilizan sólo dos factores para la identificación. La AMF, en cambio, utiliza dos o más factores en función de las necesidades de seguridad de una organización. Aunque la 2FA suele ser más práctica para los usuarios que prefieren opciones de inicio de sesión simplificadas, muchas organizaciones han pasado de utilizar la 2FA a la MFA. Con la MFA, pueden proteger las cuentas y los datos de los usuarios de sofisticados ciberataques que pueden eludir los sistemas de 2FA.
Para la mayoría de las organizaciones, la MFA se ha convertido en un estándar de seguridad de datos para una autenticación fiable y precisa, pero el nivel de autenticación que una organización implementa puede depender de su industria. Por ejemplo, para las organizaciones en campos que requieren una autorización de alta seguridad, como las organizaciones gubernamentales o financieras, la autenticación de cuatro factores (4FA) que utiliza los cuatro factores de autenticación puede ser preferible a la MFA.
Relacionado: Una guía para la autenticación de dos factores
¿Cuáles son algunos ejemplos de autentificación multifactorial?
La AMF puede funcionar de varias maneras, dependiendo de los factores que el sistema de seguridad de datos de una organización requiera que los usuarios introduzcan para su verificación. Como se ha mencionado anteriormente, la AMF puede combinar cualquiera de los cuatro factores principales de autenticación para certificar la identidad de un usuario y autorizar su acceso. A continuación se presentan algunos ejemplos de cómo puede funcionar la AMF dependiendo del tipo de factores de autenticación que utilice un sistema:
Autenticación con contraseña y código
Las organizaciones pueden utilizar la AMF pidiendo a los usuarios que introduzcan un código de acceso único recibido en su dispositivo móvil personal después de introducir su combinación única de nombre de usuario y contraseña. Este tipo de MFA combina un factor de conocimiento con un token blando generado por un dispositivo móvil, un factor en posesión del usuario. He aquí un ejemplo a tener en cuenta:
Meghan intenta acceder a su cuenta bancaria mediante el sistema online del banco. Introduce su nombre de usuario y su contraseña. A continuación, el sistema bancario en línea genera un mensaje que indica a Meghan que compruebe su dispositivo móvil personal previamente registrado para recibir un texto con un código de acceso único. A partir de ahí, debe introducir ese código en el sistema de banca online para acceder a su cuenta.
Autenticación con tarjeta y PIN
Para acceder a lugares físicos o realizar transacciones, las organizaciones pueden utilizar la AMF pidiendo a los usuarios que presenten un activo físico, o un factor en su posesión, en combinación con un factor de conocimiento, como un PIN. Este tipo de AMF es común en organizaciones que requieren una autorización de seguridad para entrar en determinadas salas o realizar acciones específicas. Por ejemplo:
Cheyenne quiere sacar dinero de su cuenta corriente en un cajero automático. Para ello, debe introducir su tarjeta bancaria en el cajero. A partir de ahí, el cajero le indica a Cheyenne que introduzca el PIN que creó al abrir su cuenta. Una vez introducido el PIN, el cajero automático le permite realizar una transacción con su cuenta.
Relacionado: Las 10 mejores certificaciones de seguridad de la información para fortalecer su carrera
Contraseña y autentificación biométrica
Las organizaciones pueden utilizar varias combinaciones de factores de autenticación biométrica, como el escaneo de huellas dactilares o el reconocimiento facial, junto con factores de conocimiento como las contraseñas para proteger las cuentas o los dispositivos de los usuarios. Dado que este tipo de AMF requiere software y hardware especializados, es un método comúnmente utilizado para autenticar teléfonos de acceso, ordenadores u otros sistemas físicos. He aquí un ejemplo:
Para acceder a su smartphone, Gary debe introducir una contraseña que estableció cuando activó el teléfono por primera vez y verificar su identidad mediante métodos de autenticación biométrica. Su teléfono utiliza un escáner de huellas dactilares para detectar su identidad, confirmar su autorización para utilizar el dispositivo y protegerlo de un uso no autorizado.
Autenticación forzada de la IA
Para una mayor protección, las organizaciones pueden utilizar la AMF optimizada por la IA para evaluar el riesgo de la solicitud de acceso de un usuario. Cuando la IA de un sistema detecta una solicitud de acceso desde una ubicación única, en un nuevo dispositivo o en un momento inusual, el sistema puede pedir al usuario que se someta a factores adicionales de verificación. Por ejemplo:
Richard, un ciudadano estadounidense que vive en Montana, quiere acceder a su sistema de almacenamiento en la nube mientras está de vacaciones en Australia. La infraestructura MFA del sistema puede utilizar el GPS integrado en el dispositivo de Richard para detectar su ubicación, que la IA reconoce como inusual. Para acceder a su cuenta, Richard debe recibir un código de acceso único por correo electrónico e introducirlo.