¿Qué es la MFA (autenticación multifactor)?

Muchos usuarios de Internet están familiarizados con la forma más común de MFA, que es la autenticación de dos factores (2FA). La autenticación de dos factores solicita solo dos pruebas, pero algunas implementaciones de MFA solicitan tres o más.

Por ejemplo, para iniciar sesión en una cuenta de correo electrónico protegida por MFA, un usuario podría necesitar ingresar la contraseña de cuenta correcta (el primer factor) y un código de acceso de un solo uso que el proveedor de correo electrónico envía al teléfono móvil del usuario en un mensaje de texto (el segundo factor). En el caso de un caso especialmente delicado, podría requerir una tercera prueba (como la posesión de una clave de hardware).

El usuario puede acceder al sistema solo si se verifican todos los factores requeridos. Si algo va mal, el intento de inicio de sesión fallará.

Los métodos de MFA se utilizan para acceder a todo tipo de cuentas, activos y sistemas confidenciales. Incluso se usan fuera de línea: usar una tarjeta bancaria (la primera prueba) y un PIN (la segunda prueba) para retirar efectivo de un cajero automático es una forma de MFA.

La MFA se ha convertido en una pieza cada vez más importante de las estrategias de gestión de identidad y acceso (IAM) corporativas. Los métodos estándar de autenticación de un solo factor se basan en nombres de usuario y contraseñas, que son fáciles de robar o hackear. De hecho, las credenciales comprometidas causan el 10 % de las filtraciones de datos, según el Informe del costo de una filtración de datos de IBM.

Los sistemas de MFA agregan una capa adicional de seguridad al requerir más de una prueba para confirmar la identidad de un usuario. Incluso si un hacker roba una contraseña, no tiene suficiente para obtener acceso no autorizado a un sistema. Todavía necesitan ese segundo factor.

Además, el segundo factor suele ser mucho más difícil de descifrar que una simple contraseña, como un escaneo de huellas dactilares o un token de physical security.

En un sistema de MFA, los usuarios necesitan al menos dos pruebas, llamadas "factores de autenticación", para probar sus identidades. Los sistemas MFA pueden usar múltiples tipos de factores de autenticación, y los verdaderos sistemas de MFA usan al menos dos tipos diferentes de factores.

El uso de diferentes tipos de factores se considera más seguro que el uso de múltiples factores del mismo tipo porque los delincuentes cibernéticos necesitan usar métodos separados en diferentes canales para descifrar cada factor.

Por ejemplo, los hackers pueden robar la contraseña de un usuario plantando spyware en la computadora de la víctima. Sin embargo, ese spyware no detectaría ningún código de acceso único enviado al teléfono inteligente del usuario, ni copiaría la huella digital del usuario. Los atacantes tendrían que interceptar el mensaje SMS que lleva el código de acceso o hackear el escáner de huellas digitales para recopilar todas las credenciales que necesitan.

Los tipos de factores de autenticación incluyen:

• Factores de conocimiento
• Factores de posesión
• Factores inherentes
• Factores de comportamiento

Los factores de conocimiento son piezas de información que, en teoría, solo el usuario conocería, como contraseñas, PIN y respuestas a preguntas de seguridad. Los factores de conocimiento, generalmente las contraseñas, son el primer factor en la mayoría de las implementaciones de MFA.

Sin embargo, los factores de conocimiento también son los factores de autenticación más vulnerables. Los hackers pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, al instalar malware en los dispositivos de los usuarios o realizar ataques de fuerza bruta en los que utilizan bots para generar y probar contraseñas potenciales en una cuenta hasta que una funcione. 

Otros tipos de factores de conocimiento también son vulnerabilidades. Las respuestas a muchas preguntas de seguridad, como la clásica “¿Cuál es el apellido de soltera de tu madre?”, pueden descifrarse al realizar una investigación básica en redes sociales o por medio de ataques de ingeniería social que engañan a los usuarios para que divulguen información personal. 

La práctica común de exigir una contraseña y una pregunta de seguridad no es una verdadera 2FA porque utiliza dos factores del mismo tipo, en este caso, dos factores de conocimiento. Más bien, este sería un ejemplo de un proceso de verificación en dos pasos. La verificación en dos pasos proporciona cierta seguridad adicional porque requiere más de un factor, pero no es tan segura como la verdadera MFA.

Los factores de posesión son cosas que una persona posee y que puede usar para probar su identidad. Los factores de posesión incluyen tokens de software digital y tokens de hardware físico.

Más comunes hoy en día, los tokens de software son claves de seguridad digitales almacenadas o generadas por un dispositivo que posee el usuario, normalmente un smartphone u otro dispositivo móvil. Con tokens, el dispositivo del usuario actúa como factor de posesión. El sistema de MFA asume que solo el usuario legítimo tendrá acceso al dispositivo y a la información que contenga.

Los tokens de seguridad de software pueden adoptar muchas formas, desde certificados digitales que autentican automáticamente a un usuario hasta contraseñas de un solo uso que cambian cada vez que el usuario se conecta.

Algunas soluciones de MFA envían OTP al teléfono del usuario por SMS, correo electrónico o llamada. Otras implementaciones de MFA emplean aplicaciones de autenticación: aplicaciones móviles especializadas que generan continuamente contraseñas de un solo uso (TOTP) basadas en el tiempo. Muchos TOTP caducan en 30 a 60 segundos, lo que dificulta su robo y uso antes de que se agote el tiempo y la contraseña quede obsoleta.

Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP. Cuando un usuario intenta iniciar sesión en una cuenta, la aplicación envía una notificación push directamente al sistema operativo iOS o Android del dispositivo del usuario. El usuario debe tocar la notificación para confirmar el intento de inicio de sesión.

Las aplicaciones de autenticación comunes incluyen Google Authenticator, Microsoft Authenticator y LastPass Authenticator.

Otros sistemas de autenticación usan piezas de hardware dedicadas que actúan como tokens. Algunos tokens físicos se conectan al puerto USB de una computadora y transmiten información de autenticación automáticamente a aplicaciones y sitios. Otros tokens de hardware son dispositivos autónomos que generan OTP bajo demanda.

Los tokens de hardware también pueden incluir llaves de seguridad más tradicionales, como un llavero que abre una cerradura física o una tarjeta inteligente que un usuario debe deslizar a través de un lector de tarjetas.

La principal ventaja de los factores de posesión es que los actores maliciosos deben tener el factor en su posesión para hacerse pasar por un usuario. A menudo, eso consiste en robar un teléfono inteligente físico o una clave de seguridad. Además, las OTP vencen después de un período de tiempo determinado. Incluso si los hackers hacen un robo, no hay garantía de que funcione.

Pero los factores de posesión no son infalibles. Los tokens físicos pueden ser robados, perdidos o extraviados. Los certificados digitales se pueden copiar. Las OTP son más difíciles de robar que las contraseñas tradicionales, pero siguen siendo susceptibles a ciertos tipos de malware, estafas de phishing focalizado o ataques de intermediario.

Los hackers también pueden utilizar medios más sofisticados. En una estafa de clonación de SIM, los atacantes crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima, lo que les permite interceptar los códigos de acceso enviados al número de teléfono del usuario.

Los ataques de fatiga de MFA usen los sistemas MFA que utilizan notificaciones push. Los hackers inundan el dispositivo del usuario con notificaciones fraudulentas con la esperanza de que la víctima confirme accidentalmente una, permitiendo que el hacker entre en su cuenta.

También llamados “biométricos”, los factores inherentes son rasgos físicos únicos del usuario, como huellas dactilares, características faciales y escaneos de retina. Muchos smartphones y computadoras portátiles incorporan escáneres faciales y lectores de huellas dactilares, y muchas aplicaciones y sitios web pueden emplear estos datos biométricos como factor de autenticación.

Si bien los factores inherentes se encuentran entre los más difíciles de descifrar, sí es posible lograrlo. Por ejemplo, los investigadores de seguridad encontraron una manera de hackear los escáneres de huellas dactilares de Windows Hello en ciertas computadoras portátiles. Los investigadores pudieron reemplazar las huellas dactilares de los usuarios registrados por las propias, otorgándoles efectivamente el control de los dispositivos.

Los avances en la generación de imágenes de inteligencia artificial (IA) también plantean preocupaciones para los expertos en ciberseguridad, ya que los hackers podrían usar estas herramientas para engañar al software de reconocimiento facial.

Cuando los datos biométricos se ven comprometidos, no se pueden cambiar rápida o fácilmente, lo que dificulta detener los ataques en curso y recuperar el control de las cuentas.

Los factores de comportamiento son artefactos digitales que ayudan a verificar la identidad de un usuario con base en patrones de comportamiento, como el rango de direcciones IP típico del usuario, la ubicación y la velocidad promedio de escritura.

Por ejemplo, al realizar el registro en una aplicación desde una red privada virtual (VPN) corporativa, es posible que un usuario solo necesite proporcionar un factor de autenticación. Su presencia en la VPN de confianza cuenta como el segundo factor.

De manera similar, algunos sistemas permiten a los usuarios registrar dispositivos confiables como factores de autenticación. Siempre que el usuario accede al sistema desde el dispositivo confiable, el uso del dispositivo funciona automáticamente como el segundo factor.

Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios, los hackers aún pueden hacerse pasar por los usuarios copiando su comportamiento.

Por ejemplo, si un hacker obtiene acceso a un dispositivo confiable, puede usarlo como factor de autenticación. Del mismo modo, los atacantes pueden falsificar sus direcciones para que parezca que están conectados a la VPN corporativa.

La MFA adaptativa utiliza la autenticación adaptativa, también llamada "autenticación basada en riesgos". Los sistemas de autenticación adaptativa utilizan IA y machine learning (ML) para evaluar la actividad del usuario y ajustar dinámicamente los desafíos de autenticación. Cuanto más riesgosa es una situación, más factores de autenticación debe proporcionar el usuario.

Por ejemplo, si un usuario intenta iniciar sesión en una aplicación de bajo nivel desde un dispositivo conocido en una red confiable, es posible que solo necesite ingresar una contraseña.

Si ese mismo usuario intenta iniciar sesión en esa misma aplicación desde una conexión wifi pública no segura, es posible que deba proporcionar un segundo factor.

Si el usuario intenta acceder a información especialmente confidencial o alterar información crítica de la cuenta, es posible que deba proporcionar un tercer o incluso un cuarto factor.

Los sistemas de autenticación adaptativa pueden ayudar a las organizaciones a resolver algunos de los problemas más comunes de las implementaciones de MFA. Por ejemplo, los usuarios pueden resistirse a la MFA porque la encuentran menos conveniente que una simple contraseña. La MFA adaptativa hace que los usuarios solo necesiten múltiples factores para situaciones sensibles, lo que mejora la experiencia del usuario.

En una organización, diferentes activos y partes de la red pueden requerir diferentes niveles de seguridad. Exigir MFA para cada aplicación y actividad podría generar una mala experiencia de usuario con pocos beneficios de seguridad.

Los sistemas de autenticación adaptables permiten a las organizaciones definir procesos de gestión de accesos más detallados en función de los usuarios, las actividades y los recursos implicados, en lugar de aplicar una solución única para todos.

Dicho esto, los sistemas adaptativos pueden requerir más recursos y experiencia para mantener que una solución MFA estándar.

Los sistemas MFA sin contraseña solo aceptan factores de posesión, inherentes y de comportamiento, no factores de conocimiento. Por ejemplo, pedirle a un usuario una huella digital junto con un token físico constituiría una MFA sin contraseña.

Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas más comunes de autenticación sin contraseña. Emplean criptografía de clave pública para verificar la identidad de un usuario.

La MFA sin contraseña elimina los factores de conocimiento porque son los más fáciles de comprometer. Aunque la mayoría de los métodos de MFA actuales utilizan contraseñas, los expertos de la industria prevén un futuro cada vez más sin contraseñas. Organizaciones como Google, Apple, IBM y Microsoft ofrecen opciones de autenticación sin contraseña.

Las organizaciones usan sistemas de autenticación para proteger las cuentas de usuario de estos ataques. Sin embargo, en los sistemas de autenticación más básicos, una contraseña es todo lo que se necesita para obtener acceso, lo que no es mucho más seguro que decir "Charlie me envió".

Según el Informe del costo de una filtración de datos de IBM, las credenciales comprometidas y el phishing son dos de los vectores de ciberataque más comunes detrás de las filtraciones de datos. En conjunto, representan alrededor del 26% de las filtraciones. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los hackers pueden utilizar para secuestrar cuentas y dispositivos legítimos, y causar estragos.

Los hackers atacan las contraseñas porque son bastante fáciles de descifrar a través de la fuerza bruta o el engaño. Además, debido a que las personas reutilizan contraseñas, los hackers a menudo pueden usar una sola contraseña robada para ingresar a varias cuentas. Las consecuencias de una contraseña robada pueden ser significativas para los usuarios y las organizaciones, lo que lleva al robo de identidad, el robo monetario, el sabotaje del sistema y más.

La MFA agrega una capa adicional de protección a las cuentas de usuario, lo que ayuda a frustrar el acceso no autorizado al poner más obstáculos entre los atacantes y sus objetivos. Incluso si los hackers pueden robar una contraseña, necesitan al menos un factor más para ingresar.

La MFA también puede ayudar a las organizaciones a cumplir con los requisitos. Por ejemplo, el Payment Card Industry Data Security Standard (PCI-DSS) exige explícitamente MFA para los sistemas que manejan datos de tarjetas de pago.

Otras regulaciones como privacidad de datos y seguridad, como la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD), no exigen explícitamente la MFA. Aun así, los sistemas MFA pueden ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.

En algunos casos, las organizaciones se han visto obligadas a adoptar MFA a raíz de las filtraciones de datos. Por ejemplo, la Comisión Federal de Comercio ordenó al vendedor de alcohol en línea Drizly implementar MFA tras una filtración que afectó a 2.5 millones de clientes.¹

El inicio de sesión único (SSO) es un esquema de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones mediante un único conjunto de credenciales. Si bien el SSO y la MFA se ocupan de la autenticación, cumplen propósitos fundamentalmente diferentes: la MFA mejora la seguridad mientras que el SSO está diseñado para facilitar su uso.

El SSO se utiliza a menudo dentro de organizaciones donde los miembros del personal deben acceder a múltiples servicios o aplicaciones para hacer su trabajo. Requerir que los usuarios creen cuentas separadas para cada aplicación puede provocar fatiga de contraseña, es decir, el estrés asociado con recordar un número irrazonable de inicios de sesión.

El SSO permite a las personas usar un único inicio de sesión para múltiples aplicaciones, lo que mejora la experiencia del usuario.

La MFA no necesariamente resuelve el problema de la experiencia del usuario, pero agrega capas adicionales de seguridad a la dirección del proceso de inicio de sesión.

La MFA y el SSO están relacionadas y son complementarias en el sentido de que los sistemas de SSO modernos a menudo requieren MFA, lo que ayuda a garantizar que el inicio de sesión sea conveniente y relativamente seguro.

La diferencia entre la 2FA y la MFA es que la 2FA utiliza exactamente dos factores, mientras que la MFA puede requerir dos, tres o incluso más factores, dependiendo del nivel de seguridad necesario. 2FA es un tipo de MFA.

La mayoría de las aplicaciones de MFA utilizan 2FA porque dos factores suelen ser lo suficientemente seguros. Sin embargo, las organizaciones pueden requerir factores adicionales para probar una identidad antes de otorgar acceso a información altamente confidencial, como datos financieros o archivos que contienen información de identificación personal (PII).