¿Qué es la autenticación multifactor?

Cuando accede a un recurso protegido, se autentica en un almacén de datos con la información de sus credenciales. Consiste en una identidad reivindicada y un secreto asociado a ella. Tradicionalmente, esto se ha hecho con un simple nombre de usuario y contraseña, y es el método de autenticación más común hoy en día. Por desgracia, se ha demostrado que la autenticación mediante nombre de usuario y contraseña es bastante vulnerable al phishing y al pirateo de credenciales. Como las contraseñas pueden ser difíciles de recordar, la gente tiende a elegir una sencilla y a reutilizarla en sus distintos servicios en línea y en la nube. Esto significa que cuando se piratea una credencial en un servicio, los intrusos malintencionados la prueban en otros servicios digitales personales y profesionales. 

La autenticación multifactor (AMF) está diseñada para proteger frente a este y otros tipos de amenazas, exigiendo al usuario que proporcione dos o más métodos de verificación antes de poder acceder a un recurso específico como una aplicación, almacenamiento de datos o red privada.

El término "factor" describe los diferentes tipos o métodos de autenticación utilizados para verificar la identidad declarada de alguien. Los distintos métodos son:

• Algo que conozcas, como una contraseña, un PIN memorizado o preguntas de desafío.
• Algo que tienes: aunque históricamente era una ficha, hoy en día es más común que sea un smartphone o una llave USB segura.
• Algo que eres: los datos biométricos más comunes son las huellas dactilares y el reconocimiento facial; menos comunes son los datos biométricos como la voz u otras tecnologías de reconocimiento.

¿Cómo decido cuántos factores debo configurar para un recurso protegido?

Los requisitos de seguridad y facilidad de uso dictan el proceso utilizado para confirmar la declaración de identidad del solicitante. La autenticación multifactor permite a los equipos de seguridad responder al contexto o situación del solicitante (persona o proceso programático), siendo la eliminación del acceso el escenario más común. Además de determinar cuántos tipos de autenticación deben exigirse, los informáticos también tienen que equilibrar el coste de los requisitos de usabilidad con el coste de su implantación.

Autenticación de factor único (SFA)

El SFA ha sido y sigue siendo el método por defecto para garantizar el acceso a información e instalaciones móviles, en línea y de otro tipo. Por su ubicuidad y bajo coste, el tipo más común de SFA es el de nombre de usuario y contraseña. Aun así, las tecnologías sin contraseña se están adoptando a un ritmo cada vez mayor para evitar las amenazas que plantean diversos ataques de phishing. Por ejemplo, la mayoría de las aplicaciones móviles permiten el uso de huellas dactilares o el reconocimiento facial en lugar del tradicional nombre de usuario y contraseña. 

En la actualidad, los servicios en línea ofrecidos por Microsoft y Yahoo ofrecen una opción de SFA sin contraseña, y otros proveedores como Apple y Google ofrecerán la misma opción el año que viene.

Dado que se utilizan para verificar identidades, los tokens de autenticación deben estar protegidos frente a extraños. Además de la seguridad de los tokens, suelen estar configurados para caducar con cierta frecuencia, lo que aumenta su frecuencia de actualización. Aunque la implantación de tokens de corta duración utilizados bajo la interfaz sin contraseña aumenta la seguridad, no alcanza el nivel que ofrece la autenticación de dos factores.

Autenticación de dos factores (2FA)

2FA refuerza la seguridad al requerir que el usuario proporcione un segundo tipo (sabe, tiene, es) para la verificación de la identidad. Una prueba de identidad puede ser un token físico, como un carné de identidad, y la otra algo memorizado, como un reto/respuesta, un código de seguridad o una contraseña. Un segundo factor eleva considerablemente el listón para que los malhechores y otros agentes externos logren burlar la seguridad. 

He aquí una lista común de métodos de autenticación populares: 

• Contraseñas de un solo uso - TOTP, HOTP, YubiKey y otros dispositivos compatibles con FIDO
• Otros fuera de banda - llamada de voz, push móvil
• PKI - certificados
• Biometría : huellas dactilares, reconocimiento facial y de voz
• Proximidad : tarjetas, geocercas para aplicaciones móviles
• Lo que sabe: contraseñas, preguntas de seguridad
• Credenciales sociales

Autenticación de tres factores (3FA) 

Añade otro factor a los dos factores para dificultar aún más la falsificación de una identidad reivindicada. Un escenario típico podría ser añadir biometría a un nombre de usuario/contraseña existente más un inicio de sesión con tarjeta de proximidad. Dado que añade un notable nivel de fricción, debe reservarse para situaciones que requieran un alto nivel de seguridad. Los bancos pueden encontrar situaciones en las que la 3FA tenga sentido, al igual que varias agencias gubernamentales. Las zonas específicas de alto control dentro de una parte de un aeropuerto u hospital también son áreas en las que los equipos de seguridad han considerado necesaria la 3FA.

¿Dónde se utiliza normalmente la AMF?

Aunque muchas organizaciones consideran la verificación de usuarios como una idea tardía, es importante señalar que el DBIR anual de Verizon muestra sistemáticamente el pirateo de credenciales como una de las principales estrategias de violación. Es simplemente cuestión de tiempo que prácticamente todas las organizaciones sufran un suceso en el que pierdan información confidencial que provoque una pérdida financiera tangible y una pérdida potencial de la confianza de los clientes.

Lo que hace que estas tendencias sean notables es que nunca ha habido un momento en el que la autenticación multifactor sea tan cómoda y asequible de implantar como lo es hoy. Tradicionalmente, las organizaciones han limitado sus implantaciones de AMF a un pequeño subconjunto de usuarios especializados que trabajan con información que plantea un mayor nivel de riesgo para la empresa. El coste y la facilidad de uso han sido a menudo los factores limitantes que han impedido un despliegue más amplio de la tecnología de autenticación robusta. Históricamente, los métodos de autenticación robusta eran caros de adquirir, implantar (incluida la inscripción de los usuarios) y administrar. Pero recientemente se ha producido una serie de cambios radicales en todos los sectores, en las propias organizaciones, en sus clientes (o pacientes, ciudadanos, socios, etc.) y en la tecnología a la que tienen acceso.

¿Cuáles son los principales motores empresariales para implantar la autenticación multifactor?

Aunque cada organización tiene sus propios requisitos concretos, hay impulsores empresariales de alto nivel que suelen ser comunes a todas ellas: 

• La mayoría de las industrias deben cumplir algún tipo de ley de privacidad relativa a la información de clientes, pacientes o financiera. Además, los organismos públicos siguen afianzando sus políticas que exigen la AMF para verificar la identidad de los usuarios.
• Trabajo a distancia: más que nunca, los profesionales trabajan fuera de la oficina, ya sea como guerreros de la carretera o como empleados a distancia. Ya sea como parte de sus prácticas de gestión de riesgos o como parte de una iniciativa de cumplimiento que cubra información (cliente, paciente, ciudadano, RRHH, etc.) sujeta a mandatos gubernamentales de autenticación.
• Los usuarios avanzados y las organizaciones en las que trabajan lo hacen en un mundo omnipresentemente conectado, lo que significa que cuando sus credenciales son violadas, la vulnerabilidad expuesta a su empleador es una fuerza convincente para asegurar sus cuentas con MFA.
• Prácticamente todo el mundo tiene un ordenador conectado (smartphone) en el bolsillo desde el que dirige su vida: redes sociales, contenidos personalizados para el consumidor y comercio electrónico. Dado que los clientes esperan interactuar con las empresas digitalmente en sus dispositivos, las organizaciones suelen seguir una agresiva estrategia de aplicaciones móviles que necesitan la AMF para gestionar sus riesgos. 

¿Qué mandatos exigen que las organizaciones utilicen la AMF para cumplir la normativa?

• El Consejo Federal de Examen de las Instituciones Financieras (FFIEC) publicó en octubre de 2005 unas orientaciones en las que exigía a los bancos que reevaluaran sus protocolos de inicio de sesión por considerar que la autenticación de un solo factor, cuando se utiliza como único mecanismo de control, es inadecuada para las transacciones de alto riesgo que implican acceso o movimiento de fondos, y que mejoraran la autenticación en función del riesgo de su servicio. Más allá del mandato, las instituciones financieras también están sometidas a un listón muy alto para ganarse la confianza de sus clientes.
• Ley Gramm-Leach-Bliley (GLBA): las instituciones financieras estadounidenses deben garantizar la seguridad y confidencialidad de los registros de sus clientes.
• El artículo 404 de la Ley Sarbanes-Oxley (SOX ) exige que el Director General y el Director Financiero de las empresas que cotizan en bolsa certifiquen la eficacia de los controles internos de la organización.
• El requisito 8.2 de PCI DSS define los requisitos de autenticación que incluyen la AMF para el acceso remoto al Entorno de Datos del Titular de la Tarjeta (CDE).  También recomienda qué métodos deben utilizarse.

¿Cuáles son algunas formas de hacer que la AMF sea menos intrusiva en la experiencia del usuario?

TI tiene acceso a algunas tecnologías para reducir la fricción que la AMF puede imponer potencialmente a los usuarios:

• Inicio de sesión único.
• Evaluación del riesgo de una solicitud de acceso.
• Asigne el mejor tipo de autenticación al usuario.

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) permite a un usuario autenticarse en múltiples recursos a partir de una única interacción del usuario, lo que significa que el usuario introduce una única credencial a partir de la cual la infraestructura que tiene debajo se autentica en cada uno de los recursos protegidos en su nombre durante esa sesión. El enfoque más seguro para SSO es que el motor de autenticación utilice un conjunto único de credenciales para cada recurso que se configura para SSO. Esto aumenta la seguridad a un alto nivel porque:

• El usuario no conoce la credencial real del recurso, sino sólo la credencial utilizada proporcionada a la pasarela de autenticación. Esto obliga al usuario a utilizar la pasarela de autenticación en lugar de ir directamente al recurso. También significa que cada recurso tiene una credencial única, de modo que si el almacén de identidades de uno de ellos es violado no compromete a los demás. Este enfoque permite a los informáticos cumplir los requisitos de la AMF al tiempo que realizan autenticaciones en serie de los recursos protegidos.  
• Al aprovechar el contexto del usuario, la tecnología basada en el riesgo (RBA) puede utilizarse para invocar la AMF sólo cuando sea necesario. Ya sea para cumplir un mandato gubernamental o para hacer cumplir la política de gestión de riesgos de la organización, la RBA puede utilizarse para reducir los casos en los que se impone una solicitud de autenticación a un usuario. Las políticas suelen ser una mezcla de ubicación, dispositivo y hora de acceso. 

Opciones de autenticación de baja fricción

Aunque las OTP/TOTP tradicionales seguirán siendo el tipo más común de autenticación de segundo factor, puede haber otras opciones que tengan más sentido para una situación. Las aplicaciones móviles push fuera de banda ofrecen una opción de baja fricción a la OTP porque todo lo que el usuario tiene que hacer es pulsar el botón de aceptar. Para situaciones de mayor riesgo, algunas aplicaciones push tienen la opción Las aplicaciones móviles push pueden configurarse para requerir una huella dactilar para verificar la identidad de la persona, así como una confirmación de la información, como un número, presentada en el ordenador de sobremesa para verificar aún más que el usuario posee tanto el ordenador de sobremesa como el smartphone.

El reconocimiento facial se está convirtiendo rápidamente en la autenticación biométrica preferida. La naturaleza de baja fricción de Windows Hello, teniendo en cuenta que mejora con el tiempo, ofrece una experiencia de usuario cómoda. El mayor reto es que Windows Hello no funciona bien con diversas situaciones de iluminación. Este fallo en el reconocimiento de rostros a través de la iluminación puede gestionarse con registros faciales adicionales. Más recientemente, algunas aplicaciones móviles ofrecen la posibilidad de registrar los patrones del iris de los ojos de una persona. Utilizadas conjuntamente (facial, huella dactilar, iris), las opciones de autenticación biométrica ponen el listón de la seguridad bastante alto para que un intruso pueda vencerlas. Los métodos biométricos son también una excelente opción para las organizaciones que buscan una forma poco friccionada de protegerse contra los ataques de phishing.

El reconocimiento de voz ha ganado popularidad en el sector de los servicios financieros. A las instituciones les gusta porque es totalmente pasivo para los clientes mientras hablan con un representante del servicio. El representante recibe una notificación cuando se ha verificado la identidad del cliente. Utilizan el reconocimiento de voz en lugar de preguntas de reto con clientes que suelen tener dificultades para recordar las respuestas correctas a las mismas. En este caso, se optimizan la seguridad y la usabilidad.

FIDO/FIDO2 son opciones atractivas para los casos en que los usuarios utilizan varios dispositivos de forma itinerante. Parte de lo que hace que FIDO sea una opción de autenticación atractiva es su amplio apoyo por parte de los proveedores y su enfoque en la facilidad de uso. FIDO ha ganado notable tracción en las universidades que tratan con un gran número de estudiantes que utilizan una variedad de servicios digitales. FIDO permite la portabilidad de la autenticación sin contraseña a través de diferentes dispositivos y plataformas.

El perfilado de los gestos de los teléfonos inteligentes es un tipo de análisis del comportamiento que realiza una heurística de cómo el propietario maneja e interactúa físicamente con su dispositivo. El resultado son índices de confianza basados en los patrones gestuales de seguimiento. Con el tiempo, el perfil aumenta en confianza y fidelidad gestual. Aunque en principio no es lo bastante potente para ser la forma principal de verificación de la identidad, el perfil gestual podría servir como método adecuado utilizado junto con otros tipos de autenticación.

¿En qué se diferencia NetIQ de otras soluciones AMF?

Los equipos de seguridad suelen implantar el software de apoyo que acompaña a la autenticación que están adoptando. Esto parece funcionar bien hasta que se compran diferentes dispositivos que requieren una implementación de software diferente, creando otro silo más. En las grandes organizaciones, es muy posible que haya varios silos de tecnologías sin contraseña utilizadas para la autenticación multifactor o para satisfacer algún otro requisito de autenticación. El punto débil de esta situación es que cada silo de autenticación tiene su propio conjunto de políticas. Mantener actualizados estos múltiples almacenes de políticas requiere una mayor sobrecarga administrativa e introduce el riesgo de tener políticas desiguales.

OpenText™ NetIQ™ Advanced Authentication está diseñado para satisfacer las necesidades de autenticación multifactor de las organizaciones más grandes. Su enfoque basado en estándares proporciona una arquitectura abierta libre de los riesgos de la dependencia del vendedor. El marco admite una gran variedad de dispositivos y métodos adicionales, pero también puede ampliarse a medida que aparecen nuevas tecnologías en el mercado.

Independientemente de la plataforma (web, móvil, cliente), AA también ofrece compatibilidad inmediata con las plataformas y aplicaciones más comunes. Además de servir como motor central de políticas de autenticación en toda la empresa, AA también ofrece un motor basado en riesgos para controlar cuándo se invoca la AMF, así como para controlar qué tipos de autenticación se ofrecen en función de los distintos niveles de riesgo. Además de su propio motor incorporado, AA se integra con NetIQ Access Manager, que proporciona un sólido conjunto de opciones de inicio de sesión único y métricas de riesgo que pueden utilizarse como parte de los casos de uso de gestión de acceso adaptable.