¿Qué es la MFA (autenticación multifactor)?

Muchos internautas están familiarizados con la forma más común de MFA, la autenticación de dos factores (2FA). La autenticación de dos factores solo pide dos pruebas, pero algunas implementaciones de la MFA piden tres o más.

Por ejemplo, para iniciar sesión en una cuenta de correo electrónico protegida por MFA, es posible que un usuario deba introducir la contraseña de cuenta correcta (el primer factor) y un código de acceso de un solo uso que el proveedor de correo electrónico envía al teléfono móvil del usuario en un mensaje de texto (el segundo factor). Para una cuenta especialmente sensible, podría ser necesaria una tercera prueba, como la posesión de una clave de hardware.

El usuario puede acceder al sistema solo si se verifican todos los factores requeridos. Si algo va mal, el intento de inicio de sesión fallará.

Los métodos de MFA se utilizan para acceder a todo tipo de cuentas, activos y sistemas confidenciales. Incluso aparecen sin conexión: utilizar una tarjeta bancaria (la primera prueba) y un PIN (la segunda prueba) para retirar dinero en efectivo de un cajero automático es una forma de MFA.

La MFA se ha convertido en una pieza cada vez más importante de las estrategias de gestión de identidades y accesos (IAM) corporativas. Los métodos estándar de autenticación de factor único se basan en nombres de usuario y contraseñas, que son fáciles de robar o piratear. De hecho, las credenciales comprometidas causan el 10 % de las vulneraciones de datos, según el Informe "Cost of a Data Breach".

Los sistemas de MFA añaden una capa adicional de seguridad al requerir más de una prueba para confirmar la identidad de un usuario. Incluso si un hacker roba una contraseña, no tiene suficiente para obtener acceso no autorizado a un sistema. Todavía necesita ese segundo factor.

Además, el segundo factor suele ser algo mucho más difícil de descifrar que una simple contraseña, como un escaneo de huellas dactilares o un token de seguridad físico.

En un sistema de MFA, los usuarios necesitan al menos dos elementos de prueba, llamados "factores de autenticación", para demostrar su identidad. Los sistemas de MFA pueden utilizar varios tipos de factores de autenticación, y los sistemas de MFA auténticos utilizan al menos dos tipos diferentes.

El uso de diferentes tipos de factores se considera más seguro que el uso de varios factores del mismo tipo, ya que los ciberdelincuentes necesitan utilizar métodos separados a través de diferentes canales para descifrar cada factor.

Por ejemplo, los hackers pueden robar la contraseña de un usuario plantando spyware en el ordenador de la víctima. Sin embargo, ese software espía no recogería ningún código de acceso de un solo uso enviado al smartphone del usuario, ni copiaría la huella digital de este. Los atacantes tendrían que interceptar el mensaje SMS que lleva el código de acceso o hackear el escáner de huellas dactilares para recopilar todas las credenciales que necesitan.

Los tipos de factores de autenticación incluyen:

• Factores de conocimiento
• Factores de posesión
• Factores inherentes
• Factores de comportamiento

Los factores de conocimiento son datos que, en teoría, solo el usuario conoce, como contraseñas, PIN y respuestas a preguntas de seguridad. Los factores de conocimiento, normalmente las contraseñas, son el primer factor en la mayoría de las implementaciones de MFA.

Sin embargo, los factores de conocimiento también son los factores de autenticación más vulnerables. Los hackers pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, instalando malware en los dispositivos de los usuarios u organizando ataques de fuerza bruta en los que utilizan bots para generar y probar posibles contraseñas en una cuenta hasta que una funcione.

Otros tipos de factores de conocimiento también son vulnerabilidades. Respuestas a muchas preguntas de seguridad (como la clásica "¿Cuál es el segundo apellido de su madre?") pueden se descifrados fácilmente mediante investigaciones básicas en redes sociales o ataques de ingeniería social que engañan a los usuarios para que divulguen información personal.

La práctica común de requerir una contraseña y una pregunta de seguridad no es una auténtica MFA, ya que utiliza dos factores del mismo tipo. En este caso, dos factores de conocimiento. Más bien, este sería un ejemplo de un proceso de verificación en dos pasos. La verificación en dos pasos proporciona cierta seguridad adicional porque requiere más de un factor, pero no es tan segura como la verdadera MFA.

Los factores de posesión son cosas que una persona posee y que puede utilizar para demostrar su identidad. Los factores de posesión incluyen tanto tokens de software digital como tokens de hardware físico.

Más comunes hoy en día, los tokens de software son claves de seguridad digitales almacenadas o generadas por un dispositivo del usuario, normalmente un smartphone u otro dispositivo móvil. Con tokens de software, el dispositivo del usuario actúa como factor de posesión. El sistema de MFA asume que solo el usuario legítimo tendría acceso al dispositivo y a cualquier información que contenga.

Los tokens de seguridad de software pueden adoptar muchas formas, desde certificados digitales que autentican automáticamente a un usuario hasta contraseñas de un solo uso (OTP) que cambian cada vez que el usuario inicia sesión.

Algunas soluciones de MFA envían OTP al teléfono del usuario por SMS, correo electrónico o llamada. Otras implementaciones de MFA utilizan aplicaciones de autenticación: aplicaciones móviles especializadas que generan continuamente contraseñas de un solo uso basadas en el tiempo (TOTP). Muchas TOTP caducan en 30–60 segundos, lo que dificulta su robo y uso antes de que se agote el tiempo y la contraseña quede obsoleta.

Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP. Cuando un usuario intenta iniciar sesión en una cuenta, la aplicación envía una notificación push directamente al sistema operativo iOS o Android del dispositivo del usuario. El usuario debe tocar la notificación para confirmar el intento de inicio de sesión.

Las aplicaciones de autenticación más comunes incluyen Google Authenticator, Microsoft Authenticator y LastPass Authenticator.

Otros sistemas de autenticación utilizan piezas de hardware dedicadas que actúan como tokens. Algunos tokens físicos se conectan al puerto USB de un ordenador y transmiten información de autenticación automáticamente a aplicaciones y sitios. Otros tokens de hardware son dispositivos autónomos que generan OTP bajo demanda.

Los tokens de hardware también pueden incluir llaves de seguridad más tradicionales, como un llavero que abre una cerradura física o una tarjeta inteligente que el usuario debe pasar por un lector de tarjetas.

La principal ventaja de los factores de posesión es que los actores maliciosos deben tener el factor en su poder para suplantar a un usuario. A menudo, eso significa robar un smartphone o una llave de seguridad físicos. Además, las OTP caducan después de un tiempo determinado. Incluso si los hackers roban una, no hay garantía de que funcione.

Pero los factores de posesión no son infalibles. Los tokens físicos se pueden robar, perder o extraviar. Los certificados digitales se pueden copiar. Las OTP son más difíciles de robar que las contraseñas tradicionales, pero siguen siendo susceptibles a ciertos tipos de malware, spear phishing o ataques de intermediario.

Los hackers también pueden utilizar medios más sofisticados. En una estafa de clonación de tarjetas SIM, los atacantes crean un duplicado funcional de la tarjeta SIM del smartphone de la víctima, lo que les permite interceptar los códigos de acceso enviados al número de teléfono del usuario.

Los ataques de fatiga MFA se benefician de sistemas MFA que utilizan notificaciones push. Los hackers bombardean el dispositivo del usuario con notificaciones fraudulentas con la esperanza de que la víctima confirme accidentalmente una, permitiendo al hacker acceder a su cuenta.

También llamados "biométricos", los factores inherentes son rasgos físicos exclusivos del usuario, como huellas dactilares, características faciales y escáneres de retina. Muchos smartphones y ordenadores portátiles vienen con escáneres faciales y lectores de huellas dactilares, y muchas aplicaciones y sitios web pueden utilizar estos datos biométricos como factor de autenticación.

Aunque los factores inherentes se encuentran entre los más difíciles de descifrar, es posible hacerlo. Por ejemplo, los investigadores de seguridad encontraron una forma de piratear los escáneres de huellas dactilares de Windows Hello en ciertos ordenadores portátiles. Los investigadores pudieron reemplazar las huellas dactilares de los usuarios registrados por las suyas propias, lo que les permitió controlar los dispositivos.

Los avances en la generación de imágenes con inteligencia artificial (IA) también preocupan a los expertos en ciberseguridad, ya que los hackers podrían utilizar estas herramientas para engañar al software de reconocimiento facial.

Cuando los datos biométricos se ven comprometidos, no se pueden cambiar rápida ni fácilmente, lo que dificulta detener los ataques en curso y recuperar el control de las cuentas.

Los factores de comportamiento son artefactos digitales que ayudan a verificar la identidad de un usuario en base a patrones conductuales, como el rango típico de direcciones IP del usuario, la ubicación y la velocidad media de escritura.

Por ejemplo, cuando se tiene información de registro en una aplicación desde una red privada virtual (VPN) corporativa, es posible que un usuario solo necesite proporcionar un factor de autenticación. Su presencia en la VPN de confianza cuenta como segundo factor.

Del mismo modo, algunos sistemas permiten a los usuarios registrar dispositivos de confianza como factores de autenticación. Siempre que el usuario accede al sistema desde el dispositivo de confianza, el uso del dispositivo funciona automáticamente como segundo factor.

Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios, los hackers aún pueden hacerse pasar por usuarios copiando su comportamiento.

Por ejemplo, si un hacker obtiene acceso a un dispositivo de confianza, puede utilizarlo como factor de autenticación. Del mismo modo, los atacantes pueden falsificar sus direcciones IP para que parezca que están conectados a la VPN corporativa.

La MFA adaptativa utiliza la autenticación adaptativa, también llamada "autenticación basada en riesgos". Los sistemas de autenticación adaptativa utilizan la IA y el machine learning (ML) para evaluar la actividad de los usuarios y ajustar de forma dinámica los retos de autenticación. Cuanto más arriesgada sea una situación, más factores de autenticación debe proporcionar el usuario.

Por ejemplo, si un usuario intenta iniciar sesión en una aplicación de bajo nivel desde un dispositivo conocido en una red de confianza, es posible que solo tenga que introducir una contraseña.

Si ese mismo usuario intenta iniciar sesión en la misma aplicación desde una conexión wifi pública no segura, es posible que se le solicite proporcionar un segundo factor.

Si el usuario intenta acceder a información especialmente confidencial o alterar información crítica de la cuenta, puede que tenga que proporcionar un tercer o incluso un cuarto factor.

Los sistemas de autenticación adaptativa pueden ayudar a las organizaciones a abordar algunos de los retos más comunes de las implementaciones de MFA. Por ejemplo, los usuarios podrían resistirse a la MFA porque la consideran menos cómoda que una contraseña simple. La MFA adaptativa hace que los usuarios solo necesiten varios factores para situaciones delicadas, lo que mejora la experiencia del usuario.

Para una organización, diferentes activos y partes de la red pueden requerir diferentes niveles de seguridad. Exigir MFA para cada aplicación y actividad puede producir una mala experiencia de usuario con pocos beneficios de seguridad.

Los sistemas de autenticación adaptativa permiten a las organizaciones definir procesos de gestión de acceso más granulares basados en los usuarios, las actividades y los recursos implicados, en lugar de aplicar una solución única para todos.

Dicho esto, los sistemas adaptativos pueden requerir más recursos y experiencia para mantenerlos que una solución MFA estándar.

Los sistemas de MFA sin contraseña solo aceptan factores de posesión, inherentes y de comportamiento, no factores de conocimiento. Por ejemplo, pedir a un usuario una huella dactilar junto con un token físico constituiría una MFA sin contraseña.

Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas más comunes de autenticación sin contraseña. Utilizan criptografía de clave pública para verificar la identidad de un usuario.

La MFA sin contraseña elimina los factores de conocimiento porque son los factores más fáciles de comprometer. Mientras que la mayoría de los métodos actuales de MFA utilizan contraseñas, los expertos del sector anticipan un futuro cada vez más libre de contraseñas. Organizaciones como Google, Apple, IBM y Microsoft ofrecen opciones de autenticación sin contraseña.

Las organizaciones utilizan sistemas de autenticación para proteger las cuentas de usuario de estos ataques. Sin embargo, en los sistemas de autenticación más básicos, solo se necesita una contraseña para obtener acceso, lo que no es mucho más seguro que decir "Vengo de parte de Charlie".

Según el informe "Cost of a Data Breach" de IBM, las credenciales comprometidas y el phishing son dos de los vectores de ciberataque más comunes detrás de las vulneraciones de datos. Juntos, representan alrededor del 26 % de las vulneraciones. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los hackers pueden utilizar para secuestrar cuentas y dispositivos legítimos y causar estragos.

Los hackers atacan las contraseñas porque son fáciles de descifrar mediante la fuerza bruta o el engaño. Además, como la gente reutiliza las contraseñas, los hackers a menudo pueden utilizar una sola contraseña robada para entrar en varias cuentas. Las consecuencias derivadas del robo de una contraseña pueden ser graves para los usuarios y las organizaciones, ya que pueden derivar en el robo de identidad o de dinero, el sabotaje del sistema y mucho más.

La MFA añade una capa adicional de protección a las cuentas de usuario, ayudando a frustrar el acceso no autorizado al poner más obstáculos entre los atacantes y sus objetivos. Incluso si los hackers pueden robar una contraseña, necesitan al menos un factor más para entrar.

La MFA también puede ayudar a las organizaciones a cumplir con los requisitos de cumplimiento. Por ejemplo, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) requiere explícitamente la MFA para los sistemas que manejan los datos de las tarjetas de pago.

Otras regulaciones en materia de seguridad y protección de datos , como la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD), no requieren explícitamente la MFA. Aun así, los sistemas de MFA pueden ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.

En algunos casos, las organizaciones se han visto obligadas a adoptar la MFA a raíz de vulneraciones de datos. Por ejemplo, la Comisión Federal de Comercio ordenó al vendedor de alcohol en línea Drizly que implementara la autenticación multifactorial tras una vulneración de seguridad que afectó a 2,5 millones de clientes¹.

El inicio de sesión único (SSO) es un esquema de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones mediante un único conjunto de credenciales. Si bien el SSO y la MFA se ocupan de la autenticación, tienen propósitos fundamentalmente diferentes: la MFA mejora la seguridad, mientras que el SSO está diseñado para facilitar su uso.

El SSO se utiliza a menudo en organizaciones en las que los miembros del personal deben acceder a múltiples servicios o aplicaciones para hacer su trabajo. Exigir a los usuarios que creen cuentas separadas para cada aplicación puede provocar fatiga de contraseñas, es decir, el estrés asociado con recordar un número irrazonable de inicios de sesión.

El SSO permite a los usuarios utilizar un único inicio de sesión para varias aplicaciones, lo que mejora la experiencia del usuario.

La MFA no aborda necesariamente la experiencia del usuario, pero añade capas adicionales de seguridad al proceso de inicio de sesión.

La MFA y el SSO están relacionados y se complementan en el sentido de que los sistemas de SSO modernos a menudo requieren MFA, lo que ayuda a garantizar que el inicio de sesión sea cómodo y relativamente seguro.

La diferencia entre la 2FA y la MFA es que la primera utiliza exactamente dos factores, mientras que la segunda puede requerir dos, tres o incluso más factores, dependiendo del nivel de seguridad necesario. La 2FA es un tipo de MFA.

La mayoría de las aplicaciones de MFA utilizan la 2FA porque dos factores suelen ser suficientemente seguros. Sin embargo, las organizaciones pueden requerir factores adicionales para demostrar una identidad antes de otorgar acceso a información altamente confidencial, como datos financieros o archivos que contienen información de identificación personal (PII).