Temas técnicos

¿Qué es la autenticación sin contraseña?

Ilustración de elementos informáticos centrada en una bombilla

Visión general

La autenticación sin contraseña es el proceso de verificar la identidad de alguien sin el uso del típico reclamo (nombre de usuario) y contraseña. Las herramientas que inyectan credenciales tradicionales en una solicitud de inicio de sesión no son sin contraseña.

Los métodos de autenticación sin contraseña más comunes son los biométricos, como el reconocimiento facial y de huellas dactilares, y las aplicaciones fuera de banda, habituales en los smartphones. Estas aplicaciones suelen requerir una verificación biométrica que combina varios factores en un único proceso de autenticación.

NetIQ impulsa tu negocio

OpenText™ NetIQ™ ofrece un conjunto completo de servicios de identidad y acceso, que permite a los trabajadores acceder de forma segura a los recursos desde cualquier lugar, en cualquier dispositivo, en cualquier ubicación y en el momento adecuado. NetIQ también capacita a las organizaciones para interactuar con sus consumidores de forma eficaz y segura.

Leer el folleto

¿Por qué es popular la autenticación sin contraseña?

Aunque la promesa de que la autenticación sin contraseña sustituya a las credenciales tradicionales lleva viva más de tres décadas, la tecnología disponible hoy en día la ha hecho realidad. En 2022, el mercado de la autenticación sin contraseña era de 15.600 millones de dólares, pero se espera que crezca hasta más de 53.000 millones en 2030. Una gran parte de la adopción actual sin contraseña es posible gracias a los teléfonos inteligentes.

Durante esta última década, el cumplimiento de los mandatos gubernamentales ha sido la fuerza que ha motivado a las organizaciones a adoptar tecnologías sin contraseña:

Agencias gubernamentalesy del sector público están ahora sujetas a requisitos específicos de autenticación multifactor. Estos requisitos empezaron siendo recomendaciones pero, con los años, se convirtieron en políticas. Las políticas se pusieron en marcha como directrices generales, pero con el tiempo evolucionaron hasta convertirse en mandatos específicos de dos factores para el acceso a documentos clasificados.
Sanidad:las brechas en el sector sanitarioen Estados Unidos y en todo el mundo infligen más dolor financiero a las organizaciones de este mercado que cualquier otro, incluso el financiero. Las instituciones públicas han respondido con requisitos específicos de autenticación de dos factores y sin contraseña.
Servicios financieros: aunquelas normativas gubernamentales obligan a proteger la información financiera y personal privada de sus clientes, mantener la confianza de los consumidores es un factor aún más importante a la hora de proteger los datos. Aunque los servicios financieros han sido uno de los principales adoptantes de la autenticación multifactor, las plataformas de smartphones han impulsado aún más la adopción de la verificación de identidad sin contraseña.

Verificación de la identidad de los trabajadores

Históricamente, el uso de tecnología sin contraseña como parte de la seguridad del personal ha estado relegado a aplicaciones y usuarios especializados. No ha sido hasta esta última década cuando se han disuelto las cuatro barreras más importantes que se oponían a ellas:

Las fichas duras, los lectores de huellas dactilares para empresas y otros dispositivos biométricos han resultado demasiado caros para su uso en toda la empresa.
El coste de inscripción era prohibitivo para la adopción masiva, especialmente para las oficinas remotas que eran demasiado pequeñas para justificar el soporte de TI in situ, así como para los empleados remotos. Sin administración remota, los dispositivos requerían contacto físico para su configuración.
La administración remota continua de los dispositivos de autenticación era imposible. Los usuarios remotos tenían que enviar sus dispositivos para realizar reinicios y reconfiguraciones.
Los equipos de seguridad, sus directivos y, sobre todo, sus usuarios carecían de confianza en las tecnologías sin contraseña. La reciente proliferación de casos de uso en los que los usuarios sin contraseña se han convertido en la corriente dominante ha generado una oleada de modernización y planificación de la autenticación.

Más allá de la evolución de los dispositivos, los casos de uso de la autenticación y los requisitos en torno a ellos también han cambiado más allá de los mandatos gubernamentales.

Trabajo a distancia

Más que nunca en el pasado, los trabajadores sobre el terreno están conectados y a menudo acceden a información privada utilizando plataformas móviles. Además de los típicos guerreros de la carretera, la adopción del trabajo a distancia ha experimentado un crecimiento significativo durante los últimos tres años. Aunque el teletrabajo ya había experimentado un crecimiento constante antes de la pandemia, las nuevas políticas de trabajo a distancia han logrado una adopción generalizada en todos los sectores.

Nube

Los datos privados estructurados y no estructurados se almacenan y acceden cada vez más desde la nube que desde el centro de datos. A medida que el centro de datos ha perdido masa crítica de alojamiento de servicios corporativos, el enrutamiento del tráfico remoto a través del centro de datos ha disminuido drásticamente. Esto significa que las típicas técnicas de seguridad de cortafuegos se están volviendo irrelevantes.

Uso de dispositivos personales

Al erosionar aún más el control de la seguridad, el sistema BYOD (bring-your-own-device) sigue ganando adeptos. El acceso remoto a recursos alojados en la nube desde dispositivos BYOD desplaza la dependencia rudimentaria de los dispositivos gestionados a la seguridad basada en la identidad. Esta dependencia se traduce en una mayor exposición al phishing y a otros ataques de identidad que eluden la verificación de la identidad.

Este alejamiento de las redes gestionadas, los recursos digitales internos (servicios y datos no estructurados) y los dispositivos significa que los equipos de seguridad ya no pueden depender de ellos como parte de su estrategia. En su lugar, basarse en la identidad requiere una estrategia verificada que sea muy resistente a los impostores. Y aunque la adopción de la autenticación multifactor seguirá creciendo, el factor único sin contraseña eleva el listón de la seguridad por encima del nombre de usuario y la contraseña, al tiempo que simplifica el proceso de autenticación. Un empleado disfruta de la experiencia rápida del reconocimiento facial, la huella dactilar verificada o alguna experiencia pasiva. Y al mismo tiempo, la organización ha aumentado su protección contra la vulnerabilidad más destacada, y técnica de violación frecuente, que es el phishing.

Los consumidores se pasan a la tecnología sin contraseña

El principal habilitador de la tecnología sin contraseña es el smartphone. Si bien es cierto que estos dispositivos tienen una gran capacidad de cálculo en un tamaño tan pequeño, el hecho de que se hayan convertido en una extensión de la vida de tantas personas es lo que los convierte en un cambio de juego sin contraseña. La gente los utiliza para cualquier cosa, desde enviar mensajes de texto a las redes sociales, pasando por las compras en línea y las operaciones bancarias. Sacan fotos en un momento, buscan direcciones o respuestas. El hecho de que los consumidores se vinculen a un dispositivo informático de mano ha supuesto un cambio de paradigma de autenticación nunca visto:

La conectividad universal permite verificar fuera de banda la identidad de alguien durante la autenticación.
La potencia de procesamiento portátil puede generar semillas y claves que pueden actuar como pines de un solo uso.
Los métodos biométricos y de autenticación pasiva avanzarán a medida que lo hagan los teléfonos inteligentes, lo que permitirá que la verificación evolucione y se haga más sofisticada.

Los consumidores son cada vez más conscientes de las amenazas que les plantea la autenticación tradicional. Las organizaciones reconocen este cambio y ven oportunidades para mejorar sus servicios digitales.

¿Es segura la autenticación sin contraseña?

El equipo de Verizon que se ocupa de las violaciones de datos ha identificado el spear phishing como la forma dominante en que los delincuentes roban credenciales. El spear phishing se inicia cuando el atacante envía un correo electrónico que parece proceder de una fuente de confianza, como un banco, un colega o cualquier otra fuente, y que envía a las víctimas a un sitio web falso. Este sitio web requerirá autenticación, engañando así a las víctimas para que revelen sus credenciales, introduzcan números de tarjetas de crédito o proporcionen algún otro tipo de información privada.

Una variante de este ataque ofrece un enlace que, al pulsarlo, instala malware en los ordenadores de las víctimas.

La tecnología sin contraseña es muy adecuada para protegerse contra este tipo de ataques. Para las plataformas configuradas para eliminar las contraseñas, no se puede capturar ninguna mediante la captura de entradas o pulsaciones de teclas. Para las plataformas que ofrecen contraseñas como una opción además de sin contraseña, se puede reforzar con una autenticación multifactor sin contraseña, como algo que tienen-como un teléfono inteligente-o algo que son-biométrico.

Toda esta dependencia de los smartphones hace que sus vulnerabilidades pasen a primer plano en el debate sobre la seguridad. Supongamos que piratas informáticos y otros agentes malintencionados se hacen con estos dispositivos móviles. Existe el riesgo de que puedan interceptar PINs, OTPs y aprobaciones push fuera de banda, así como reconfigurar la biometría para que coincida con ellos mismos. El robo de tarjetas SIM también supone un riesgo para los SMS/OTP. Incluso si los usuarios son cuidadosos, su seguridad puede ser violada si los atacantes pueden manipular a los proveedores de servicios para que cancelen y transfieran información crucial de tarjetas SIM legítimas.

Aunque está claro que no hay forma de que una organización pueda frustrar todas las amenazas, es cierto que el simple hecho de pasar a un paradigma sin contraseñas protege contra las amenazas más comunes. Incluso en el caso de la autenticación de factor único, el abandono de la introducción de credenciales comienza en un nivel de seguridad superior, pero se puede hacer más. Las organizaciones pueden elevar sus niveles de seguridad aumentando su estrategia con la autenticación basada en el riesgo (RBA). La autenticación basada en el riesgo tiene una larga trayectoria en el control de los pasos adicionales necesarios para verificar la identidad de una persona. Las organizaciones pueden invocar un segundo factor de autenticación en condiciones predefinidas, como:

¿Se ha visto antes el dispositivo?
- Huellas dactilares de dispositivos
- Cookie del navegador
¿Está el usuario donde se espera que esté?
- Servicio de geolocalización IP
- Geofencing (GSM)
¿Se comporta el usuario como se espera?
- Análisis del comportamiento de usuarios y entidades (UEBA)
¿Cuál es el nivel de riesgo de la información?

Las organizaciones pueden utilizar este tipo de criterios para determinar cuántos niveles de verificación de identidad son necesarios. Por ejemplo, una organización podría definir una política que requiera una huella dactilar para acceder a la mayor parte de su información. Sin embargo, hay un subconjunto más sensible que requiere autenticación multifactor cuando el riesgo medido es elevado según los criterios enumerados anteriormente o la sensibilidad del recurso.

¿Cómo puede la autenticación sin contraseña diferenciar a una empresa?

La respuesta a la pregunta anterior enumera las ventajas y las limitaciones de seguridad que la autenticación sin contraseña puede ofrecer a una empresa. En resumen, los métodos sin contraseña -como los biométricos (por ejemplo, huellas dactilares o reconocimiento facial) o a través de algo que se tiene, como un smartphone- ofrecen una seguridad más sólida que los métodos tradicionales basados en contraseñas, especialmente contra el spear phishing. Esta sección repasa algunos de los valores empresariales que ofrece la seguridad añadida.

Cuando las organizaciones son capaces de controlar mejor el riesgo inherente a la relación con sus clientes digitales, son capaces de relacionarse de forma más eficaz, lo que permite que se produzcan interacciones más significativas en un conjunto más amplio de circunstancias.

Sanidad

Un proveedor de asistencia sanitaria puede prestar una mejor atención a distancia compartiendo información ePHI e instrucciones específicas de un clínico. Aunque se requiere la autenticación de dos factores, el paciente no tiene que recordar credenciales complicadas si ambas son sin contraseña. El uso sin contraseña también es más sencillo en dispositivos móviles sin teclado. Un acceso simplificado pero seguro puede cambiar las reglas del juego para los pacientes discapacitados que se sienten frustrados por un sistema de autenticación complejo.

Finanzas

Un gestor de carteras financieras comparte información muy sensible con sus clientes. La información sobre inversiones y cuentas suele implicar grandes cantidades de dinero. Normalmente, este tipo de portales requieren contraseñas complejas para verificar la identidad. La autenticación sin contraseña permite a estas organizaciones ofrecer un acceso rápido y seguro a sus clientes, lo que contribuye en gran medida a lograr su satisfacción.

Comercio electrónico

Los servicios de comercio electrónico son los puntos de ataque más comunes del spear phishing. Estos ataques erosionan la confianza de los consumidores a la hora de realizar transacciones electrónicas. La autenticación sin contraseña permite al comercio minorista electrónico minimizar los efectos de la autenticación basada en el riesgo con métodos pasivos cuando se utiliza para responder a amenazas de medida. Más que en otras industrias, la fricción inaceptable en las transacciones minoristas conduce a la pérdida de clientes que gravitan hacia los minoristas con los que es fácil hacer negocios. Una de las formas más eficaces de evitar barreras a los nuevos clientes digitales es utilizar la autenticación sin contraseña para evitar contraseñas complejas o procesos de autenticación en varios pasos.

Educación

La norma FIDO (Fast Identity Online, identidad rápida en línea) permite el uso de claves físicas o tokens basados en estándares (no confundir con otras opciones más antiguas, caras y patentadas) para verificar la identidad. Estos métodos resistentes a la suplantación de identidad suponen una barrera notable que los atacantes no pueden franquear, manteniendo la privacidad de la valiosa información de los estudiantes. Los estudiantes, el personal y los profesores pueden conectar sus pequeños dispositivos portátiles FIDO a ordenadores con un puerto Bluetooth. Pueden proporcionar acceso rápido a recursos seguros o formar parte de una configuración de autenticación multifactor.

Los escenarios de mayor seguridad y comodidad mediante la autenticación sin contraseña, que es el futuro de la autenticación, son mucho más amplios que estos pocos ejemplos. La autenticación sin contraseña también proporciona una base de seguridad excelente para la adopción generalizada del inicio de sesión único (SSO). El SSO ofrece un acceso sin fisuras a recursos seguros con una única instancia de autenticación. Incluso más que las tecnologías sin contraseña, el SSO reduce o elimina la fricción que los usuarios experimentarían de otro modo. Dado que el SSO se basa más en la comodidad que en la seguridad, algunos equipos de seguridad desconfían de su adopción generalizada porque una única autenticación puede permitir potencialmente el acceso a todos los recursos digitales del usuario. La resistencia de Passwordless a los ataques más comunes reduce significativamente ese riesgo, liberando a TI para configurar un entorno que reduce enormemente las interrupciones y retrasos para sus usuarios.

Recursos

NetIQ Advanced Authentication ficha de datos

NetIQ Advanced Authentication para su folleto comercial

DestacadosDestacados

Analytics CloudAnalytics Cloud

Data Lakehouse & AnalyticsData Lakehouse & Analytics

BI, visualización e informesBI, visualización e informes

eDiscovery y soluciones jurídicaseDiscovery y soluciones jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automatización de la cadena de suministroAutomatización de la cadena de suministro

Integración B2BIntegración B2B

Colaboración seguraColaboración segura

Trazabilidad de la cadena de suministroTrazabilidad de la cadena de suministro

Información sobre la cadena de suministroInformación sobre la cadena de suministro

Aplicaciones y servicios industrialesAplicaciones y servicios industriales

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Capture Tratamiento inteligente de documentosCapture Tratamiento inteligente de documentos

Process AutomationProcess Automation

Integraciones empresarialesIntegraciones empresariales

Information ArchivingInformation Archiving

Soluciones sectorialesSoluciones sectoriales

Gobernanza de la informaciónGobernanza de la información

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Protección de datosProtección de datos

Threat Detección y respuestaThreat Detección y respuesta

Identity and Access ManagementIdentity and Access Management

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Ingeniería de rendimientoIngeniería de rendimiento

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y móvilExperiencias web y móvil

Contact Center AnalyticsContact Center Analytics

Mensajería y FaxMensajería y Fax

Cliente CommunicationsCliente Communications

Gestión de activos digitalesGestión de activos digitales

Recorrido del cliente y datosRecorrido del cliente y datos

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descubrimiento y CMDBDescubrimiento y CMDB

AIOps y observabilidadAIOps y observabilidad

Gestión de redesGestión de redes

Cloud ManagementFinOps y GreenOpsCloud ManagementFinOps y GreenOps

AutomatizaciónAutomatización

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust paqueteOpenText™ Thrust paquete

OpenText™ Aviator Thrust

PortfolioPortfolio

Protección de datosProtección de datos

Gestión de puestos finales y seguridad móvil Gestión de puestos finales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo Trabajo híbrido, correo electrónico y colaboración en equipo

Archivo, eDiscovery y seguridad de los datosArchivo, eDiscovery y seguridad de los datos

Conectividad y gestión de documentosConectividad y gestión de documentos

La información reimaginadaLa información reimaginada

Artificial IntelligenceArtificial Intelligence

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

Destacados

Analytics Cloud

Data Lakehouse & Analytics

BI, visualización e informes

eDiscovery y soluciones jurídicas

Business Network Cloud

Automatización de la cadena de suministro

Integración B2B

Colaboración segura

Trazabilidad de la cadena de suministro

Información sobre la cadena de suministro

Aplicaciones y servicios industriales

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Capture Tratamiento inteligente de documentos

Process Automation

Integraciones empresariales

Information Archiving

Soluciones sectoriales

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Protección de datos

Threat Detección y respuesta

Identity and Access Management

Investigaciones y análisis forenses digitales

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Ingeniería de rendimiento

Experience Cloud

Experiencias web y móvil

Contact Center Analytics

Mensajería y Fax

Cliente Communications

Gestión de activos digitales

Recorrido del cliente y datos

IT Operations Cloud

Service Management

Descubrimiento y CMDB

AIOps y observabilidad

Gestión de redes

Cloud ManagementFinOps y GreenOps

Automatización

OpenText™ Thrust

OpenText™ Thrust paquete

Portfolio

Protección de datos

Gestión de puestos finales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivo, eDiscovery y seguridad de los datos

Conectividad y gestión de documentos

La información reimaginada

Artificial Intelligence

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navegador