La autenticación multifactor (MFA) es un método de verificación de identidad que requiere que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, o al menos dos factores de autenticación en lugar de una contraseña, para obtener acceso a un sitio web, aplicación o red.
Debido a que cuesta más hackear múltiples factores de autenticación que solo una contraseña, y debido a que otros tipos de factores son más difíciles de robar o falsificar que las contraseñas, MFA protege mejor a una organización del acceso no autorizado que una autenticación de un solo factor (nombre de usuario y contraseña).
MFA se ha convertido en un componente fundamental de las estrategias de administración de acceso e identidad de muchas organizaciones. Con frecuencia es un método de autenticación obligatorio o recomendado en muchas industrias y agencias gubernamentales. La mayoría de los empleados o usuarios de Internet se han encontrado con un subtipo de MFA, llamado autenticación de dos factores (2FA), que requiere que los usuarios proporcionen una contraseña y un segundo factor, normalmente un código de acceso enviado a un teléfono móvil o e-mail, para iniciar sesión en un sistema o sitio web. Pero cualquiera que haya accedido a un cajero automático usando una tarjeta bancaria y un número de identificación personal (PIN) ha usado una forma de MFA.
La MFA confunde a los hackers en dos niveles. En el nivel más básico, resulta más difícil hackear dos o más factores que solo uno. Pero, en última instancia, la intensidad de cualquier esquema de MFA depende de los tipos de factores de autenticación que requiere que proporcione un usuario.
Factores de conocimiento: algo que el usuario sabe
Los factores de conocimiento son piezas de información que, en teoría, solo el usuario conocería, como contraseñas, PIN y respuestas a preguntas de seguridad. Los factores de conocimiento son tanto el tipo de factor de autenticación más utilizado como el más vulnerable. Los hackers pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, instalando registradores de pulsaciones de teclas o spyware en los dispositivos de los usuarios, o al ejecutar scripts o bots que generan y prueban posibles contraseñas hasta que una funciona.
Otros factores de conocimiento no presentan mucha más dificultad. Las respuestas a algunas preguntas de seguridad pueden ser descifradas por un hacker que conoce al usuario o investiga un poco en las redes sociales. Otras pueden ser relativamente fáciles de adivinar. No es de extrañar, entonces, que las credenciales comprometidas fueran el vector de ataque inicial más comúnmente explotado en 2022, según el informe del costo de una brecha de seguridad de datos de 2022.
Una idea errónea común es que requerir dos factores de conocimiento, como una contraseña y la respuesta a una pregunta de seguridad, constituye MFA. Requerir un segundo factor de conocimiento brinda cierta seguridad adicional, pero el verdadero MFA requiere el uso de dos o más tipos de factores.
Factores de posesión: algo que el usuario tiene
Los factores de posesión son objetos físicos que los usuarios tienen consigo, como un llavero o una tarjeta de identificación que otorga acceso a una cerradura física, un dispositivo móvil con una aplicación de autenticación instalada o una tarjeta inteligente que contiene información de autenticación.
Muchas implementaciones de MFA utilizan un método llamado "teléfono como token", en el que el teléfono móvil del usuario recibe o genera la información que necesita para convertirse en un factor de posesión. Como se indicó anteriormente, MFA comúnmente envía una contraseña de un solo uso (OTP) al teléfono de una persona a través de un mensaje de texto, un mensaje de e-mail o una llamada telefónica. Pero las OTP también pueden generarse mediante aplicaciones móviles especiales llamadas aplicaciones de autenticación. Y algunos sistemas de autenticación envían notificaciones automáticas que los usuarios simplemente pueden tocar para confirmar su identidad.
Otros sistemas de soluciones MFA utilizan tokens físicos o claves de seguridad de hardware dedicadas. Algunos tokens físicos se conectan al puerto USB de una computadora y transmiten información de autenticación a la página de inicio de sesión. Otros generan OTP para que el usuario las ingrese.
Los factores de posesión ofrecen varias ventajas sobre los factores de conocimiento. Los actores malintencionados deben tener el factor en su poder en el momento de iniciar sesión para hacerse pasar por un usuario. Debido a que operan en una red diferente (SMS) que la aplicación (IP), un hacker necesitaría interceptar dos canales de comunicación diferentes para robar las credenciales. Incluso si un hacker pudiera obtener una OTP, necesitaría obtenerla y usarla antes de que caducara y no pudiera volver a usarla.
Pero hay riesgos. Debido a que son objetos (y generalmente pequeños), los tokens físicos pueden ser robados, perdidos o extraviados. Si bien las OTP son más difíciles de robar que las contraseñas tradicionales, aún son susceptibles a ataques sofisticados de phishing o de intermediarios, o a la clonación de SIM, en la que los actores malintencionados crean un duplicado funcional de la tarjeta SIM del smartphone de la víctima.
Factores inherentes: algo exclusivo del usuario como persona
Los factores inherentes, también llamados biométricos, son características físicas o rasgos únicos del usuario. Las huellas dactilares, la voz, los rasgos faciales o los patrones del iris y la retina de una persona son ejemplos de factores inherentes. Hoy en día muchos dispositivos móviles se pueden desbloquear mediante huellas dactilares o reconocimiento facial. Algunas computadoras pueden usar huellas dactilares para ingresar contraseñas en sitios web o aplicaciones.
Los factores inherentes son los factores más difíciles de hackear. No se pueden olvidar, perder o extraviar, y son extraordinariamente difíciles de replicar.
Pero eso no significa que sean infalibles. Si los factores inherentes se almacenan en una base de datos, pueden ser robados. Por ejemplo, en 2019 se vulneró una base de datos biométrica que contenía las huellas dactilares de 1 millón de usuarios. En teoría, los hackers podrían robar estas huellas dactilares o vincular sus propias huellas dactilares con el perfil de otro usuario en la base de datos.
Cuando los datos biométricos se ven comprometidos, no se pueden cambiar rápida ni fácilmente, y esto puede dificultar que las víctimas detengan los ataques en curso.
Factores de comportamiento: algo que hace el usuario
Los factores de comportamiento son artefactos digitales que verifican la identidad de un usuario en función de patrones de comportamiento. Un rango de direcciones IP o datos de ubicación desde los que un usuario suele iniciar sesión en una aplicación son ejemplos de factores de comportamiento.
Las soluciones de autenticación de comportamiento utilizan inteligencia artificial para determinar una línea de base para los patrones de comportamiento normales de los usuarios y luego marcar la actividad anómala, como iniciar sesión desde un nuevo dispositivo, número de teléfono, navegador web o ubicación. También se usan comúnmente en esquemas de autenticación adaptativa (también llamada autenticación basada en riesgos), en los que los requisitos de autenticación cambian cuando cambia el riesgo, como cuando un usuario intenta iniciar sesión desde un dispositivo que no es de confianza, intenta acceder a una aplicación por primera vez o intenta acceder a datos especialmente confidenciales.
Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios, requieren recursos y experiencia significativos para su implementación. Además, si un hacker obtiene acceso a un dispositivo confiable, puede usarlo como factor de autenticación.
Debido a que los factores de conocimiento comprometidos son el vector inicial más común en las brechas de ciberseguridad, muchas organizaciones están explorando la autenticación sin contraseña. La autenticación sin contraseña se basa en la posesión y en factores inherentes y de comportamiento para verificar identidades. La autenticación sin contraseña reduce el riesgo de ataques de phishing y relleno de credenciales, en el que los hackers usan las credenciales robadas de un sistema para obtener acceso a otro.
Si bien la autenticación sin contraseña elimina lo que se considera ampliamente el eslabón más débil en la cadena de verificación de identidad, aún es susceptible a las vulnerabilidades de posesión y factores inherentes y de comportamiento. Las organizaciones pueden mitigar estas vulnerabilidades mediante la implementación de un enfoque en el que los usuarios deben proporcionar varios tipos de credenciales de autenticación de factor sin conocimiento. Por ejemplo, pedirle a un usuario una huella digital y un token físico constituiría una MFA sin contraseña.
En respuesta a la creciente ola de ciberataques, los gobiernos y las agencias gubernamentales han comenzado a exigir MFA para los sistemas que gestionan datos confidenciales. En 2020, el Servicio de Impuestos Internos (IRS) ordenó el uso de MFA para los proveedores de sistemas de preparación de impuestos en línea. La orden ejecutiva del presidente Joseph Biden de 2021 sobre la mejora de la seguridad cibernética de la nación hizo que la MFA fuera un requisito para todas las agencias federales. Un memorando de seguimiento requiere que todos los sistemas de seguridad nacional, del Departamento de Defensa y de la comunidad de inteligencia implementen MFA antes del 18 de agosto de 2022.
Un buen número de regulacionesde la industria, incluido el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), requieren específicamente MFA para los sistemas que gestionan datos de tarjetas de crédito y tarjetas de pago. Muchas otras regulaciones, incluidas Sarbanes-Oxley (SOX) e HIPAA, recomiendan encarecidamente la MFA como fundamental para garantizar la conformidad. Algunas regulaciones estatales han exigido MFA durante años. Las empresas que no han cumplido con las disposiciones de MFA de la regulación de seguridad cibernética 23 NYCRR 500 de 2017 del Departamento de Servicios Financieros de Nueva York (NYDFS) se han enfrentado multas de hasta USD 3 millones (enlace externo a ibm.com).
El inicio de sesión único (SSO) es un método de autenticación que permite a los usuarios acceder a múltiples aplicaciones y servicios relacionados a través de un conjunto de credenciales de inicio de sesión. El usuario inicia sesión una vez y una solución de SSO autentica su identidad y genera un token de autenticación de sesión. Este token actúa como clave de seguridad del usuario para varias aplicaciones y bases de datos interconectadas.
Para aliviar el riesgo de depender de un solo conjunto de credenciales de inicio de sesión para múltiples aplicaciones, las organizaciones generalmente requieren autenticación adaptable para SSO. El SSO adaptativo aplica la funcionalidad de autenticación adaptativa a los sistemas de SSO. Si un usuario muestra un comportamiento anormal al intentar iniciar sesión a través de SSO, o durante su sesión autenticada por SSO, se le pedirá que proporcione factores de autenticación adicionales. Los ejemplos de comportamiento anormal pueden incluir conectarse a través de una VPN no reconocida o acceder a una aplicación o datos no cubiertos por el token de autenticación de sesión del usuario.
Las arquitecturas de ciberseguridad de confianza cero, en las cuales nunca se confía en la identidad de un usuario y, por tanto, siempre se verifica, a menudo usan una combinación de SSO adaptativo y MFA para fines de autenticación. Al verificar continuamente la identidad del usuario a lo largo de la sesión y solicitar factores de autenticación adicionales basados en el riesgo, el SSO adaptativo y la MFA refuerzan la gestión de accesos sin obstaculizar la experiencia del usuario.
Soluciones inteligentes de gestión de acceso e identidad para la empresa híbrida y multinube. Basadas en IA. Avaladas por IBM® Security.
Centralice el control de acceso para aplicaciones locales y en la nube.
Vaya más allá de la autenticación básica con opciones de autenticación multifactor o sin contraseña.
Conozca su entorno de ciberseguridad y priorice las iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de análisis de Design Thinking de 3 horas, virtual o presencial y sin costo alguno.
La gestión de accesos e identidades, o IAM, es la disciplina de seguridad que hace posible que las entidades correctas (personas o cosas) utilicen los recursos correctos (aplicaciones o datos) cuando lo necesiten.
La gestión de dispositivos móviles (MDM) es una metodología y un conjunto de herramientas comprobados que se utilizan para proporcionar a la fuerza laboral herramientas y aplicaciones de productividad móvil mientras se mantienen seguros los datos corporativos.
Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de ellos de forma deliberada o accidental.
Comprenda sus riesgos de ataques cibernéticos con una visualización global del panorama de las amenazas.