Autenticación de dos factores: el maná de seguridad en entredicho

0 Shares
0
0
0
0
CALVINDEXTER/GETTY IMAGES

Todos conocemos los básicos del cibercrimen:correos electrónicos de phishing con enlaces y archivos adjuntos maliciosos ylas llamadas telefónicas desde centros de soporte falsos para hacerse con el control de su ordenador. Pero las estafas del mundo digital se vuelven cada vez más y más sofisticadas. En uno de losúltimos casos, los hackers robaron números de teléfono móvil para vaciar cuentas de criptomonedas como Bitcoin. ¿Cómo? Los delincuentes cibernéticos han identificadouna debilidad en la forma en la que utilizamos nuestros teléfonos para autenticar nuestra identidad en los servicios de telefonía móvil y otras cuentas en línea. Están explotando esta debilidad para robar todo a lo que le puedan echar el guante. Y todo se remonta a la autenticación de dos factores o autenticación en dos pasos (A2F).

Si usted ha habilitado algún sistema deA2F en Twitter, Facebook y Googleprobablemente haya recibido una contraseña de un solo usoa través de un mensaje de texto SMSpara iniciar sesión y realizar cambios en la cuenta. Muchas carteras y servicios de criptomonedas digitalestambién usan losSMS como una segunda forma de autenticación junto a lacontraseña del usuario para acceder a su cuenta. No obstante, con los últimos secuestros de teléfonos móviles a lo que se ataca es al propio número de teléfono como método de comunicación.

El objetivo final de estos ataques esportar el número de teléfono de una persona a un teléfono o tarjeta SIM de prepago que no pueda rastrearse. Una vez que el atacante puederecibir losSMS de su objetivo, ya puede aprovecharse deese útil enlace de “¿Olvidó su contraseña?”, hacerse pasar por la víctima y acceder a sus servicios.

Las contraseñas de un solo uso, ya seaa través de SMS o correo electrónico, a menudo son la primera forma de A2F que las compañías adoptan para mejorar sus medidas de seguridad. Aunque los nuevos ataques móviles son una amenaza creciente para el método, todavía se valoran sus beneficios. En los últimos robos de criptomonedas, por ejemplo, podría argumentarseque la autenticación vía SMS se convirtió más en un vector del ataque que en una verdadera medida de seguridad.

Entonces, ¿cómo protegemos nuestra información? ¿No tendría más sentido que pudiéramos hacer que el proceso de autenticación fuera más inteligente y consciente del riesgo? Una forma de avanzar sería usar notificaciones push para vincular una identidad a un dispositivo en lugar de a un número de teléfono. Las aplicaciones de autenticación son un buen lugar para comenzar con este tipo de funcionalidad (IBM Verify, ofrecido por mi empresa, es una de ellas).

Nuevas defensas para nuevos ataques

Si bien las notificaciones pushpueden ser una solución para este problema concreto, la gran solución para las empresas pasa por comprender mejor cada punto o momento de autenticación dentro de su entorno de seguridad. Las empresas grandes, pequeñas y medianas deberían considerar el uso de soluciones de gestión y acceso a la identidad para permitir el acceso a recursos y aplicaciones, ya sea en la nube, en sus propias instalaciones o en una nube híbrida. Las soluciones modernas gestionan las entradas y salidas de los usuarios, los certificados de acceso y la separación de responsabilidades para ayudar a las organizaciones a cumplir con normas como la GDPR y la PSD2.

Las empresas que analizan en detalle sus factores de riesgo suelen recurrir a la solución más sólida posible: la autenticación de múltiples factores. La mayoría de las instituciones financieras más grandes han adoptado este enfoque estratificado para comprobar la identidad de sus accesos en variospuntos a lo largo de la experiencia del usuario. Por ejemplo, el usuario proporciona un PIN, una contraseña o una huella digital para iniciar sesión en una aplicación de banca móvil, perosi el sistema detecta factores de riesgo adicionales, es posible que pida también otras formas de autenticación. Por ejemplo, si el dispositivo móvil del usuario revela que éste se encuentra fuera de los lugares habituales de su rutina, el sistema podría identificar la sesión como un posible fraude y lanzar el siguiente desafío, la siguiente autenticación, para el usuario a fin de asegurar que su identidad es la correcta.

La otra capa de seguridad que se implementa para autentificar identidades es el análisis del comportamiento, el cual se utiliza para complementar la autenticación de múltiples factores, también conocida como AMF.Esto permite que los equipos de seguridad aumenten o disminuyan el nivel de seguridad requerida en función no solo del valor de los datos o la transacción, sino también de los riesgos de seguridad presentados durante toda la sesión. En situaciones en las que se determina que el riesgo es bajo y la experiencia del usuario es primordial, se pueden suprimir factores de autenticación adicionales si no se detecta una actividad anormal, lo que reduce las barreras para completar una transacción.

Todas estas mejoras de seguridad móvil apuntan al uso del propio dispositivo para la autenticación, no a un número de teléfono fácilmente transferible o un mensaje que pueda ser interceptado por un malware móvil. Cada nivel de defensa cuenta,pero como muestran los secuestros de teléfonos, las medidas de autenticación solo funcionan si no son el eslabóndébil. Ningún método único de autenticación será adecuado siempre para cada situación. Más temprano que tarde, las empresas deberían adoptar un enfoque basado en el riesgo que utilice la autenticación de múltiples factores y tenga en cuenta la ubicación, el análisis del comportamiento y muchos otros indicadores de identidad.


por
trad. Teresa Woods

Sridhar Muppidi es un ingeniero destacado de IBM y el director tecnológico de Soluciones de Identidades y Acceso de IBM Security Systems. En este puesto, Sridhar impulsa la estrategia técnica, la arquitectura y las soluciones de gestión de identidades y acceso, incluidas la seguridad móvil y la seguridad en la nube. Tiene más de 20 años de experiencia en la seguridad, el desarrollo de productos de software y la arquitectura de soluciones de seguridad para varias de las verticales de la industria.

También te pueden interesar