MFA - ¿Qué es la autenticación de múltiples factores?

Definición

Para incrementar la seguridad de las cuentas de los usuarios, la autenticación multifactor o multifactor authentication (MFA) añade una capa de protección contra los hackers. Si un atacante logra obtener la contraseña de un usuario mediante phishing u otra estratagema de ingeniería social, el atacante no podría autenticarse correctamente en la cuenta sin el requisito de la autenticación secundaria. La autenticación de múltiples factores ofrece diversas opciones, incluyendo la biometría, un token de seguridad (PIN) o una señal de ubicación.

La formación en ciberseguridad empieza aquí

La prueba gratuita funciona de la siguiente manera:

  • Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
  • En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
  • ¡Conozca nuestra tecnología en acción!
  • Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.

Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.

Un representante de Proofpoint se comunicará con usted en breve.

Cómo funciona la autenticación de múltiples factores

La MFA fue introducida para contrarrestar el hecho de que la creciente potencia de los ordenadores ha facilitado los ataques de fuerza bruta para descifrar contraseñas. Las capacidades de ordenadores actuales le permiten a un atacante ejecutar millones de intentos por segundo para intentar adivinar la contraseña cifrada de un usuario. Y cuando finalmente se implementen los ordenadores cuánticos, las contraseñas básicas quedarán simplemente obsoletas, incluso las que cuenten con las bibliotecas de cifrado más complejas.

Otro de los problemas con los actuales flujos de trabajo de contraseñas es la reutilización de las mismas contraseñas en múltiples sistemas. Es imposible para un usuario recordar contraseñas únicas de 10 caracteres en docenas de sistemas, así que con frecuencia usan la misma en múltiples plataformas. Si un atacante puede robar la contraseña de una cuenta, es posible que ese mismo atacante logre vulnerar múltiples plataformas. Los almacenes de contraseñas ofrecen a los usuarios una manera de almacenar múltiples contraseñas sin memorizarlas, pero si se vulnera un almacén se crea la misma vulnerabilidad.

Para neutralizar los ataques de fuerza bruta y el phishing, se introdujo la MFA. La manera en que funciona, depende del requisito de autenticación secundario, pero la funcionalidad básica es la misma. El usuario recibe un nombre de usuario y una contraseña para su cuenta. Estos dos componentes de autentificación son estándar en la mayoría de los sistemas. Cuando la autenticación multifactor se integra en el proceso, se presenta un requisito de autentificación secundaria al usuario durante el flujo de trabajo.

El método más comúnmente utilizado en los flujos de trabajo de MFA es un token de acceso, que suele ser una contraseña de un solo uso (OTP) que se envía al smartphone del usuario mediante un mensaje de texto. La manera más común de añadir MFA al proceso de autentificación es enviar un número de identificación personal (PIN) al smartphone del usuario. La mayoría de los usuarios tienen smartphones, así que esta es una manera de asegurarse de que los usuarios no puedan usar el sistema de autenticación multifactorial.

Los factores de la MFA deben incluir al menos dos de los siguientes componentes:

  • Algo que el usuario tiene: El usuario podría tener una llave física, un dispositivo USB o una llave bancaria para identificarse.
  • Algo que el usuario sabe: Generalmente, esto es una contraseña memorizada, pero puede ser cualquier insumo que solamente el usuario conoce.
  • Algo que el usuario es: Los datos biométricos, como las huellas digitales, la voz o el iris pueden distinguir la identidad del usuario.
  • Un lugar en que el usuario se encuentra: Las señales emitidas desde dispositivos del usuario, tales como la ubicación por GPS, identifican que el usuario se encuentra cerca del sistema.

Al usar al menos dos de los factores de autenticación anteriores, las probabilidades estadísticas de que un atacante logre tener acceso a ambos componentes son muy bajas. Sin embargo, es necesario tener presente que el protocolo utilizado para enviar mensajes de texto a un usuario, que se llama Signaling System No 7 (SS7), fue hackeado, lo cual hace posible interceptar los números PIN enviados a smartphones. Esta reciente vulnerabilidad en el protocolo SS7 ha llevado a las organizaciones a cambiarse a otras estrategias para usar la autenticación de múltiples factores usando canales de datos. Los ataques dirigidos de ingeniería social se han usado para convencer a los usuarios de que divulguen sus números PIN, dándoles a los atacantes acceso a cuentas de usuarios, sin importar la MFA.

A causa de la vulnerabilidad del protocolo SS7, muchas empresas que usan MFA han comenzado a enviar OTP usando canales de datos. El correo electrónico es una opción, pero deja vulnerable al usuario si le hackean su cuenta. El uso de autentificadores instalados en el dispositivo del usuario es una mejor opción. Los autentificadores muestran PIN que un usuario pueden introducir en el sistema de autentificación, que funciona como paso secundario durante la autentificación de múltiples factores.

La biometría es una opción mucho más segura que usar PIN, porque este paso secundario de autentificación no se puede interceptar. Sin embargo, este método tiene sus propias desventajas. Los sistemas biométricos son costosos y no se han perfeccionado, lo que los hace difíciles de integrar en los sistemas de los usuarios y las empresas. Se han vuelto mucho más baratos y tienen un mayor nivel de adopción (por ejemplo, los smartphones), pero no son fáciles de integrar en aplicaciones para equipos de sobremesa.

¿Por qué es importante la MFA?

La MFA se introdujo cuando el phishing y la ingeniería social se convirtieron en los métodos principales de ciberataques. Los correos electrónicos de phishing con enlaces malintencionados, los keyloggers y las solicitudes de credenciales privadas son un problema serio para empresas e individuos por igual. Los ataques de phishing que desembocan en robos de credenciales les cuestan a las empresas millones de dólares por concepto de filtraciones de datos. También crean una amenaza para los particulares. Si no se incluye la MFA en el proceso de autentificación, un atacante con credenciales robadas puede autenticarse en la cuenta de un usuario.

Los atacantes usan la ingeniería social por una variedad de motivos, pero uno de ellos es convencer a los usuarios de que divulguen las credenciales de sus cuentas. Una sencilla llamada telefónica convincente podría dar a los atacantes acceso a cuentas altamente privilegiadas, lo que a su vez podría llevar a una filtración de datos a gran escala. En ataques más avanzados, un atacante podría usar una combinación de phishing e ingeniería social para robar credenciales.

Con la autenticación multifactor integrada en un sistema de autenticación, el phishing y la ingeniería social quedan prácticamente neutralizados. Un atacante podría hacer phishing a las credenciales del usuario, pero no tendría acceso al método de autenticación secundario. Podrían aplicar la ingeniería social a un usuario para lograr que revelara las credenciales de su cuenta, pero entonces los atacantes no tendrían acceso a la información de autenticación secundaria.

El uso de métodos secundarios de autenticación es eficaz en la mayoría de los casos, pero los atacantes ocasionalmente logran sortear la MFA usando la ingeniería social. Los atacantes enfocados en individuos específicos los llaman después de robar las credenciales para convencer al usuario objetivo de que suministre su PIN de MFA. La ingeniería social no funciona con los datos biométricos, pero la mayoría de las organizaciones usan el PIN como método de autenticación secundario. Hasta que el uso de la biometría esté más generalizado, la ingeniería social seguirá siendo un problema para los sistemas de MFA que usen códigos PIN.

¿Cuándo se debe usar la MFA?

Cualquier página web o sistema interno que almacene y funcione con datos delicados debe usar MFA. Si no se añade la MFA a un flujo de trabajo de autenticación, un sistema accesible para atacantes podría quedar vulnerable ante ataques de fuerza bruta para descifrar contraseñas y también ante el robo de credenciales. Es un gasto adicional para los desarrolladores, así que algunos sistemas que no almacenan datos delicados simplemente omiten la MFA.

Antes de que un desarrollador determine que la MFA no es necesaria, las normativas de cumplimiento deben ser revisadas anteriormente para garantizar que no haya vulneraciones a las regulaciones. Algunos estándares normativos establecen que la MFA debe ser obligatoria en sistemas clave que almacenan datos delicados. Cualquier sistema que almacene datos financieros, información de identificación personal (PII) o datos médicos debe tener MFA para autenticarse en la red. Es posible que la MFA no se necesite internamente, pero los administradores que autentifican remotamente podrían necesitar la MFA para garantizar el cumplimiento.

Las opciones de integración externas facilitan el incluir la MFA en un flujo de trabajo de autenticación. Si el sistema está disponible para un público en que el atacante podría autentificarse usando credenciales robadas, la MFA debe incluirse en el flujo de trabajo. Otros sistemas de detección de fraudes se pueden usar para detectar ataques de fuerza bruta o credenciales robadas, pero el primer paso es usar la MFA para detener a los atacantes.