Autenticación multifactor: la barrera esencial contra las amenazas en la red

La sofisticación de las amenazas cibernéticas ha ido al alza en los últimos años, y ha dejado en evidencia la necesidad de reforzar las medidas de seguridad para proteger la información y las credenciales de los usuarios, independiente de que sean grandes o pequeños.

Con la consolidación del trabajo remoto, también se han consolidado como alternativa de protección los sistemas de autenticación multifactor (MFA): una barrera clave para la defensa contra los ciberataques y otros tipos de incidentes. Estos no son solo cruciales para las redes del hogar, sino que parte indispensable de los resguardos que pueden tomar las grandes empresas y aquellas organizaciones que manejan grandes volúmenes de información sensible.

Las estrategias de los ciberatacantes son materia conocida, pero todavía son trampas en las que los usuarios continúan cayendo. Ransomware, phishing avanzando e incluso vulnerabilidades en sistemas específicos, como VMware ESXi, son algunos de las que se mantienen. También hay otros más rudimentarios, como aquellos casos en que los criminales se acercan fingiendo ser especialistas en ciberseguridad, solo para llegar más fácil a los equipos de los usuarios.

En el último tiempo, a estos se sumó el uso de la inteligencia artificial generativa, que se ha prestado para crear engaños más convincentes y ataques automatizados.

De acuerdo al informe ISACA de 2023, el 88% de las organizaciones tuvo al menos un ciberataque significativo en el año. Según el estudio, algunas de las regiones más afectadas son Norteamérica y Europa, en donde los eventos de tipo ransomware y phishing son más comunes. Estados Unidos, Reino Unido y Alemania reportaron las mayores vulnerabilidades debido a su dependencia a las infraestructuras digitales.

“Unos de los principales desafíos al implementar MFA es manejar la variedad de personas y necesidades de los clientes a gran escala”, comenta Arynn Crow, gerente senior de Productos de autenticación de usuarios de AWS, a Piensa Digital. Es crucial hacer la experiencia positiva y apoyar a los clientes en la adopción de MFA, comenta la especialista, en el contexto del reciente Re:Inforce, realizado por AWS en Filadelfia. Durante el evento, la empresa realizó varios anuncios relevantes.

Por ejemplo, impulsaron la expansión de la campaña MFA, destacando la implementación de estas herramientas para los usuarios raíz (root users), con el objetivo de garantizar que sus clientes adopten prácticas de protección robustas y que mantengan una experiencia positiva en el proceso.

Además, lanzaron el soporte para FIDO2 Passkeys. FIDO2 es un estándar de autenticación que busca mejorar la seguridad y simplicidad de la autenticación en línea, elaborado por la Alianza FIDO (Fast IDentity Online) y la W3C.

“Si estás familiarizado con este tipo de autenticación, sabrás que es resistente a phishing y emplea criptografía de clave pública para asegurar una autenticación sólida”, explica. Las passkeys ofrecen una solución más accesible a los usuarios, eliminando algunas de las dificultades relacionadas con las llaves de seguridad.

Adicionalmente, la empresa anunció que AWS Identity and Access Management (IAM) ahora soportará FIDO2, incluyendo tanto las passkeys sincronizables como las llaves de seguridad de tipo hardware que ya estaban soportadas.

Con este estándar, se permite la autenticación sin necesidad de contraseñas convencionales, disminuyendo así la vulnerabilidad a ataques de robo de credenciales. Además, los usuarios pueden demostrar su identidad usando métodos biométricos o a través de llaves físicas, como dispositivos USB a los que solo ellos tengan acceso.

Por ejemplo, mientras habla, Crow muestra su aro de la oreja derecha, donde guarda sus credenciales y con el que puede ingresar a sus dispositivos.

Los usuarios generalmente utilizan más de un método de seguridad. Actualmente, el más tradicional es la autenticación de dos factores (2FA), que combina algo que el consumidor sabe con algo que este posee. Por ejemplo, se puede tratar de una contraseña combinada con otro dispositivo al que luego se le envía un código de verificación mediante un SMS o una app para confirmar de esa manera su identidad.

Pero hoy en día se recomienda subir los niveles de seguridad y añadir otros factores. Y es ahí donde entra el MFA. AWS la define como una práctica que requiere de un segundo factor de autenticación, pero mientras más seguridad o barreras existan, mejor, Se suman los datos biométricos, como las huellas factilares o reconocimiento facial, y otros datos correspondientes al contexto, que pueden incluir momento del día, zona geográfica del procedimiento, etc.

Los MFA, de acuerdo a Crow, son altamente efectivos para prevenir ataques de credenciales y se volveron claves en el último periodo. La especialista destaca que “desde el inicio de la pandemia de Covid-19, hemos visto un aumento en los ataques de robo de credenciales”.

“Creo que siempre fue importante, pero ahora que vemos que cada vez más personas realizan su vida diaria en línea, también se está convirtiendo en algo más importante para la población en general”, dice Crow, que recomienda “encarecidamente” autenticación resistente al phishing, pero que la verdadera prioridad es el uso d eestas herramientas.

En el caso de AWS, los usuarios deben de tener una autenticación que sea exclusiva de ellos, que además sea admitida por la empresa, como aquellos de tipo hardware FIDO o virtuales, como autenticadores que se puedan ejecutar en dispositivos del usuario, sea en un teléfono o un PC.

Con ataques de credenciales, especifica, se refiere a “cosas como el relleno de credenciales, el rociado de credenciales y estos tipos de ataques de fuerza bruta que pueden estar o no dirigidos, o que incluso pueden apuntar a una audiencia más amplia, como alguien que accede en línea a una lista de credenciales que han sido robadas y luego intente apuntar a cualquier cuenta donde estas puedan estar presentes”.

La evolución hacia passkeys sincronizables, que se pueden usar a través de autenticadores de plataforma como Windows Hello, Touch ID y escaneos faciales, que ya están integrados en miles de millones de dispositivos de consumo en todo el mundo, ha hecho que la MFA sea mucho más accesible sin sacrificar la seguridad.

El estándar dentro de la industria solía ser que se necesitaban combinar varios factores para tener una fuerte autenticación. Crow dice que ve menos énfasis en esto y más importancia en asegurar la resistencia al phishing. “Podrías tener una combinación de múltiples factores, pero si son susceptibles al phishing, realmente no tienes la postura necesaria”, sugiere. Y si bien los MFA entregan una capa de seguridad adicional, no pueden prevenir todos los tipos de ataques, pero los mecanismos resistentes a phishing así como FIDO también son especialmente efectivos.

“La adopción de MFA es crucial, porque la mayoría del aumento en los ataques que vemos no son necesariamente extremadamente dirigidos: hay un aumento en los ataques de phishing, pero tendrás una medida de protección mejorada adoptando alguna forma de MFA, incluso si no es resistente al phishing”, aclara Arynn Crow.

Así como sucedió en años anteriores, estas herramientas no pueden ser la única parte de la estrategia de seguridad. Al ser consultada por, por ejemplo, un ataque y robo de información como el que sufrió Santander, dice que “si estás operando en un entorno de gran escala como ese, tu modelo de amenaza es mucho más diverso que el de un usuario individual, que solo es responsable de sí mismo: necesitas protecciones adicionales a otros riesgos”.

Explique que, si un banco experimenta un ataque en el que los atacantes secuestran las credenciales de los usuarios, MFA puede ayudar a evitar el acceso inicial, “que es realmente lo mejor, en lugar de responder de manera reactiva una vez que alguien ya está dentro de la organización, porque así se previene la entrada inicial y que es realmente lo mejor”.