Temas técnicos

¿Qué es la autenticación multifactor?

Ilustración de elementos informáticos centrada en una bombilla

Visión general

Cuando accede a un recurso protegido, se autentica en un almacén de datos con la información de su credencial. Consiste en una identidad declarada y un secreto asociado a ella. Tradicionalmente esto se ha hecho con un simple nombre de usuario y contraseña, y es el método de autenticación más común hoy en día. Por desgracia, se ha demostrado que la autenticación con nombre de usuario y contraseña es bastante vulnerable al phishing y al pirateo de credenciales. Dado que las contraseñas pueden ser difíciles de recordar, la gente tiende a elegir una simple y reutilizarla en sus diversos servicios en línea y en la nube. Esto significa que cuando se piratea una credencial en un servicio, los intrusos malintencionados la prueban en otros servicios digitales personales y profesionales. 

La autenticación multifactor (AMF) está diseñada para proteger frente a este y otros tipos de amenazas exigiendo al usuario que proporcione dos o más métodos de verificación antes de poder acceder a un recurso específico como una aplicación, almacenamiento de datos o red privada.

El término "factor" describe los diferentes tipos o métodos de autenticación utilizados para verificar la identidad declarada de alguien. Los diferentes métodos son:

  • Algo que conozcas, como una contraseña, un PIN memorizado o preguntas de desafío.
  • Algo que tienes: aunque históricamente era una ficha, hoy en día es más común que sea un smartphone o una llave USB segura.
  • Algo que eres: los datos biométricos más comunes son las huellas dactilares y el reconocimiento facial; menos comunes son los datos biométricos como la voz u otras tecnologías de reconocimiento.

Autenticación multifactor

¿Cómo decido cuántos factores debo configurar para un recurso protegido?

Los requisitos de seguridad y usabilidad dictan el proceso utilizado para confirmar la declaración de identidad del solicitante. La autenticación multifactor permite a los equipos de seguridad responder al contexto o situación del solicitante (persona o proceso programático), siendo la eliminación del acceso el escenario más común. Más allá de determinar cuántos tipos de autenticación deben exigirse, TI también necesita equilibrar el coste de los requisitos de usabilidad con el coste de su implantación.

Autenticación de factor único (SFA)

El SFA ha sido y sigue siendo el método por defecto para garantizar el acceso a información e instalaciones móviles, en línea y de otro tipo. Por su ubicuidad y bajo coste, el tipo más común de SFA es el de nombre de usuario y contraseña. Aun así, las tecnologías sin contraseña se adoptan a un ritmo cada vez mayor para evitar las amenazas que plantean diversos ataques de phishing. Por ejemplo, la mayoría de las aplicaciones móviles permiten el uso de huellas dactilares o el reconocimiento facial en lugar del tradicional nombre de usuario y contraseña. 

En la actualidad, los servicios en línea ofrecidos por Microsoft y Yahoo ofrecen una opción de SFA sin contraseña, y otros proveedores como Apple y Google ofrecerán la misma opción el año que viene.

Dado que se utilizan para verificar identidades, los tokens de autenticación deben estar protegidos frente a extraños. Además de una fuerte seguridad de los tokens, a menudo se configuran para que caduquen con bastante frecuencia, lo que aumenta su frecuencia de actualización. Aunque la implantación de tokens de corta duración utilizados bajo la interfaz sin contraseña aumenta la seguridad, no alcanza el nivel que ofrece la autenticación de dos factores.

Autenticación de dos factores (2FA)

La 2FA refuerza la seguridad exigiendo al usuario un segundo tipo (saber, tener, ser) para verificar su identidad. Una prueba de identidad puede ser un token físico, como un carné de identidad, y la otra algo memorizado, como un desafío/respuesta, un código de seguridad o una contraseña. Un segundo factor eleva significativamente el listón para que los malhechores y otros actores externos puedan burlar con éxito la seguridad. 

He aquí una lista común de los métodos de autenticación más populares: 

  • Contraseñas de un solo uso - TOTP, HOTP, YubiKey y otros dispositivos compatibles con FIDO
  • Otros fuera de banda - llamada de voz, push móvil
  • PKI - certificados
  • Biometría : huellas dactilares, reconocimiento facial y de voz
  • Proximidad : tarjetas, geocercas para aplicaciones móviles
  • Lo que sabe: contraseñas, preguntas de seguridad
  • Credenciales sociales

Autenticación de tres factores (3FA) 

Añade otro factor al doble factor para dificultar aún más la falsificación de una identidad reivindicada. Un escenario típico podría ser añadir la biometría a un nombre de usuario/contraseña existente más un inicio de sesión con tarjeta de proximidad. Dado que añade un notable nivel de fricción, debe reservarse para situaciones que requieran un alto nivel de seguridad. Los bancos pueden encontrar situaciones en las que 3FA tiene sentido, al igual que varias agencias gubernamentales. Las áreas específicas de alto control dentro de una parte de un aeropuerto o de un hospital también son zonas en las que los equipos de seguridad han considerado necesaria la 3FA.

¿Dónde se utiliza normalmente la AMF?

Aunque muchas organizaciones consideran la verificación de usuarios como algo secundario, es importante tener en cuenta que el DBIR anual de Verizon muestra sistemáticamente el pirateo de credenciales como una de las principales estrategias de violación. Es simplemente cuestión de tiempo que prácticamente todas las organizaciones sufran un suceso en el que pierdan información confidencial que se traduzca en una pérdida financiera tangible y una pérdida potencial de la confianza de los clientes.

Lo que hace que estas tendencias sean notables es que nunca ha habido un momento en el que la autenticación multifactor sea tan cómoda y asequible de implantar como lo es hoy. Tradicionalmente, las organizaciones han limitado sus implantaciones de AMF a un pequeño subconjunto de usuarios especializados que trabajan con información que plantea un mayor nivel de riesgo para la empresa. El coste y la facilidad de uso han sido a menudo los factores limitantes que han impedido una implantación más amplia de la tecnología de autenticación robusta. Históricamente, los métodos de autenticación robusta eran caros de adquirir, implantar (incluida la inscripción de los usuarios) y administrar. Pero recientemente se han producido cambios radicales en todos los sectores, en las propias organizaciones, en sus clientes (o pacientes, ciudadanos, socios, etc.) y en la tecnología a la que tienen acceso.

¿Cuáles son los principales motores empresariales para implantar la autenticación multifactor?

Aunque cada organización tiene sus propios requisitos concretos, hay impulsores empresariales de alto nivel que suelen ser comunes a todas ellas: 

  • La mayoría de las industrias deben cumplir algún tipo de ley de privacidad relativa a la información de clientes, pacientes o financiera. Además, los organismos públicos siguen endureciendo sus políticas que exigen la AMF para verificar la identidad de los usuarios.
  • Trabajo a distancia: más que nunca, los profesionales trabajan fuera de la oficina, ya sea como guerreros de la carretera o como empleados a distancia. Ya sea como parte de sus prácticas de gestión de riesgos o como parte de una iniciativa de cumplimiento que cubre información (cliente, paciente, ciudadano, RRHH, etc.) que está sujeta a mandatos de autenticación gubernamentales.
  • Los usuarios avanzados y las organizaciones en las que trabajan lo hacen en un mundo omnipresentemente conectado, lo que significa que cuando sus credenciales son violadas, la vulnerabilidad expuesta a su empleador es una fuerza convincente para asegurar sus cuentas con MFA.
  • Prácticamente todo el mundo tiene un ordenador conectado (smartphone) en el bolsillo desde el que dirige su vida: redes sociales, contenidos personalizados para el consumidor y comercio electrónico. Dado que los clientes esperan interactuar con las empresas digitalmente en sus dispositivos, las organizaciones suelen seguir una agresiva estrategia de aplicaciones móviles que necesitan la AMF para gestionar su riesgo. 

¿Qué mandatos exigen que las organizaciones utilicen la AMF para cumplir la normativa?

  • El Consejo Federal de Examen de las Instituciones Financieras (FFIEC ) publicó en octubre de 2005 unas directrices en las que exigía a los bancos que reevaluaran sus protocolos de inicio de sesión por considerar que la autenticación de un solo factor, cuando se utiliza como único mecanismo de control, es inadecuada para las transacciones de alto riesgo que implican acceso o movimiento de fondos, y que mejoraran la autenticación en función del riesgo de su servicio. Más allá del mandato, las instituciones financieras también están sometidas a un alto listón para ganarse la confianza de sus clientes.
  • Ley Gramm-Leach-Bliley (GLBA): las entidades financieras estadounidenses deben garantizar la seguridad y confidencialidad de los registros de sus clientes.
  • El artículo 404 de la Ley Sarbanes-Oxley (SOX ) exige que el Director General y el Director Financiero de las empresas que cotizan en bolsa certifiquen la eficacia de los controles internos de la organización.
  • El requisito 8.2 de PCI DSS define los requisitos de autenticación que incluyen la AMF para el acceso remoto al Entorno de Datos del Titular de la Tarjeta (CDE). También recomienda qué métodos deben utilizarse.

¿Cuáles son algunas formas de hacer que la AMF sea menos intrusiva en la experiencia del usuario?

TI tiene acceso a algunas tecnologías para reducir la fricción que la AMF puede imponer potencialmente a los usuarios:

  • Inicio de sesión único.
  • Evaluación del riesgo de una solicitud de acceso.
  • Asigne el mejor tipo de autenticación al usuario.

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) permite a un usuario autenticarse en múltiples recursos a partir de una única interacción del usuario, lo que significa que el usuario introduce una única credencial a partir de la cual la infraestructura que hay debajo se autentica en cada uno de los recursos protegidos en su nombre durante esa sesión. El enfoque más seguro para el SSO es que el motor de autenticación utilice un conjunto único de credenciales para cada recurso que esté configurado para el SSO. Esto aumenta la seguridad a un alto nivel porque:

  • El usuario no conoce la credencial real del recurso, sino sólo la credencial utilizada proporcionada a la pasarela de autenticación. Esto obliga al usuario a utilizar la pasarela de autenticación en lugar de ir directamente al recurso. También significa que cada recurso tiene una credencial única, de modo que si se vulnera el almacén de identidades de uno de ellos no se comprometen los demás. Este enfoque permite al departamento de TI cumplir los requisitos de la AMF al tiempo que realiza autenticaciones en serie en los recursos protegidos.  
  • Al aprovechar el contexto del usuario, la tecnología basada en el riesgo (RBA) puede utilizarse para invocar la AMF sólo cuando sea necesario. Ya sea para cumplir un mandato gubernamental o para hacer cumplir la política de gestión de riesgos de la organización, la RBA puede utilizarse para reducir los casos en los que se impone una solicitud de autenticación a un usuario. Las políticas suelen ser una mezcla de ubicación, dispositivo y hora de acceso. 

Opciones de autenticación de baja fricción

Aunque las OTP/TOTP tradicionales seguirán siendo el tipo más común de autenticación de segundo factor, puede haber otras opciones que tengan más sentido para una situación. Las aplicaciones móviles push fuera de banda ofrecen una opción de baja fricción frente a la OTP, ya que lo único que tiene que hacer el usuario es pulsar el botón de aceptar. Para situaciones de mayor riesgo, algunas aplicaciones push tienen la opción de que las aplicaciones móviles push puedan configurarse para requerir una huella dactilar para verificar la identidad de la persona, así como una confirmación de la información, como un número, presentada en el ordenador de sobremesa para verificar aún más que el usuario posee tanto el ordenador de sobremesa como el smartphone.

El reconocimiento facial se está convirtiendo rápidamente en la autenticación biométrica preferida. La naturaleza de baja fricción de Windows Hello, teniendo en cuenta que mejora con el tiempo, ofrece una experiencia de usuario cómoda. El mayor reto es que Windows Hello no funciona bien con diversas situaciones de iluminación. Este fallo a la hora de reconocer rostros a través de la iluminación puede gestionarse con registros faciales adicionales. Más recientemente, algunas aplicaciones móviles ofrecen la posibilidad de registrar los patrones del iris de los ojos de una persona. Utilizadas conjuntamente (facial, huella dactilar, iris), las opciones de autenticación biométrica ponen el listón de la seguridad bastante alto para que un extraño pueda vencerlas. Los métodos biométricos son también una excelente opción para las organizaciones que buscan una forma poco friccionada de protegerse contra los ataques de phishing.

El reconocimiento de voz ha ganado popularidad en el sector de los servicios financieros. A las entidades les gusta porque es totalmente pasivo para los clientes mientras hablan con un representante del servicio. El representante recibe una notificación cuando se ha verificado la identidad del cliente. Utilizan el reconocimiento de voz en lugar de las preguntas desafío con clientes que suelen tener dificultades para recordar las respuestas correctas a las mismas. En este caso, se optimizan la seguridad y la facilidad de uso.

FIDO/FIDO2 son opciones atractivas cuando los usuarios utilizan varios dispositivos. Parte de lo que hace de FIDO una opción de autenticación atractiva es su amplio apoyo a los proveedores y su enfoque en la usabilidad. FIDO ha ganado notable tracción en las universidades que tratan con un gran número de estudiantes que utilizan una variedad de servicios digitales. FIDO permite la portabilidad de la autenticación sin contraseña a través de diferentes dispositivos y plataformas.

El perfilado de los gestos de los teléfonos inteligentes es un tipo de análisis del comportamiento que realiza una heurística sobre la forma en que el propietario maneja e interactúa físicamente con su dispositivo. El resultado son índices de confianza basados en el seguimiento de los patrones gestuales. Con el tiempo, el perfil aumenta la confianza y la fidelidad de los gestos. Aunque en un principio no es lo suficientemente potente como para ser la principal forma de verificación de la identidad, el perfil gestual podría servir como método adecuado utilizado junto con otros tipos de autenticación.

¿En qué se diferencia NetIQ de otras soluciones AMF?

Los equipos de seguridad suelen implantar el software de apoyo que viene con la autenticación que están adoptando. Esto parece funcionar bien hasta que se compran diferentes dispositivos que requieren una implementación de software diferente, lo que crea otro silo. En las grandes organizaciones, es muy posible tener varios silos de tecnologías sin contraseña utilizadas para la autenticación multifactor o para satisfacer algún otro requisito de autenticación. El punto débil de esta situación es que cada silo de autenticación tiene su propio conjunto de políticas. Mantener actualizados estos almacenes de políticas múltiples requiere una mayor sobrecarga administrativa e introduce el riesgo de tener políticas desiguales.

OpenText™ NetIQ™ Advanced Authentication está diseñado para satisfacer las necesidades de autenticación multifactor de las organizaciones más grandes. Su enfoque basado en estándares proporciona una arquitectura abierta libre de los riesgos de la dependencia del vendedor. El marco es compatible con una gran variedad de dispositivos y métodos adicionales, pero también puede ampliarse a medida que aparecen nuevas tecnologías en el mercado.

Independientemente de la plataforma (web, móvil, cliente), AA también ofrece compatibilidad inmediata con las plataformas y aplicaciones más comunes. Además de servir como motor central de políticas de autenticación en toda la empresa, AA también ofrece un motor basado en riesgos para controlar cuándo se invoca la AMF, así como para controlar qué tipos de autenticación se ofrecen en función de los distintos niveles de riesgo. Además de su propio motor incorporado, AA se integra con NetIQ Access Manager, que proporciona un sólido conjunto de opciones de inicio de sesión único y métricas de riesgo que pueden utilizarse como parte de los casos de uso de gestión de acceso adaptable.

Notas a pie de página