Página de inicio de OpenText.
Temas técnicos

¿Qué es la autenticación multifactor?

Ilustración de elementos informáticos centrada en una bombilla

Descripción general

Cuando accede a un recurso protegido, se autentica contra un almacén de datos con la información de sus credenciales. Consiste en una identidad reivindicada y un secreto asociado a ella. Tradicionalmente, eso se ha hecho con un simple nombre de usuario y contraseña, que es el método de autenticación más común hoy en día. Lamentablemente, se ha demostrado que la autenticación mediante nombre de usuario/contraseña es bastante vulnerable al phishing y al pirateo de credenciales. Dado que las contraseñas pueden ser difíciles de recordar, la gente tiende a elegir una sencilla y a reutilizarla en sus distintos servicios en línea y en la nube. Esto significa que cuando se piratea una credencial en un servicio, los intrusos malintencionados la prueban en otros servicios digitales personales y profesionales. 

La autenticación multifactor (AMF) está diseñada para proteger frente a este y otros tipos de amenazas, exigiendo al usuario que proporcione dos o más métodos de verificación antes de poder acceder a un recurso específico como una aplicación, almacenamiento de datos o red privada.

El término "factor" describe los diferentes tipos o métodos de autenticación utilizados para verificar la identidad declarada de alguien. Los distintos métodos son:

  • Algo que conozca, comouna contraseña, un PIN memorizado o preguntas de desafío
  • Algo que usted tiene: aunquehistóricamente era una ficha dura, lo más habitual es que sea un teléfono inteligente o una llave USB segura.
  • Algo que usted es:la biometría comúnes el reconocimiento de huellas dactilares o facial; menos común es la biometría como la voz u otras tecnologías de reconocimiento.

Autenticación multifactor

¿Cómo decide cuántos factores debe configurar para un recurso protegido?

Los requisitos de seguridad y facilidad de uso dictan el proceso utilizado para confirmar la declaración de identidad del solicitante. La autenticación multifactor permite a los equipos de seguridad responder al contexto o situación del solicitante (persona o proceso programático), siendo la eliminación del acceso el escenario más común. Además de determinar cuántos tipos de autenticación deben exigirse, los informáticos también tienen que equilibrar el coste de los requisitos de usabilidad con el coste de su implantación.

Autenticación de factor único (SFA)

El SFA ha sido y sigue siendo el método por defecto para garantizar el acceso a información e instalaciones móviles, en línea y de otro tipo. Por su ubicuidad y bajo coste, el tipo más común de SFA es el de nombre de usuario y contraseña. Aun así, las tecnologías sin contraseña se están adoptando a un ritmo cada vez mayor para evitar las amenazas que plantean diversos ataques de phishing. Por ejemplo, la mayoría de las aplicaciones móviles permiten el uso de huellas dactilares o el reconocimiento facial en lugar del tradicional nombre de usuario y contraseña.

Las opciones sin contraseña (por ejemplo, FIDO2 y passkeys) están actualmente disponibles en los principales proveedores de plataformas, incluidos Microsoft, Apple y Google.

Dado que se utilizan para verificar identidades, los tokens de autenticación deben estar protegidos frente a extraños. Además de la seguridad de los tokens, suelen estar configurados para caducar con cierta frecuencia, lo que aumenta su frecuencia de actualización. Aunque la implantación de tokens de corta duración utilizados bajo la interfaz sin contraseña aumenta la seguridad, no alcanza el nivel que ofrece la autenticación de dos factores.

Los mecanismos modernos sin contraseña, como las passkeys o WebAuthn, no suelen clasificarse como simple SFA: son formas más fuertes de autenticación que a menudo combinan múltiples garantías criptográficas (algo que se tiene y a veces algo que se es). La verdadera autenticación sin contraseña puede ser en sí misma una forma de autenticación fuerte multifactor o avanzada cuando se implementa correctamente.

Autenticación de dos factores (2FA)

2FA refuerza la seguridad al requerir que el usuario proporcione un segundo tipo (sabe, tiene, es) para la verificación de la identidad. Una prueba de identidad puede ser un token físico, como un carné de identidad, y la otra algo memorizado, como un reto/respuesta, un código de seguridad o una contraseña. Un segundo factor eleva considerablemente el listón para que los malhechores y otros agentes externos logren burlar la seguridad.

He aquí una lista común de métodos de autenticación populares:

  • Contraseñas de un solo uso-TOTP, HOTP, YubiKey y otros dispositivos compatibles con FIDO
  • Otrasllamadas fuera de banda, push móvil
  • Certificados PKI
  • Biometría: huellas dactilares, reconocimiento facial y de voz
  • Tarjetas de proximidad, geocercas para aplicaciones móviles
  • Lo que sabe: contraseñas, preguntas de desafío

Autenticación de tres factores (3FA)

Este método añade otro factor a dos para dificultar aún más la falsificación de una identidad reivindicada. Un escenario típico podría ser añadir la biometría a un nombre de usuario/contraseña existente más un inicio de sesión con tarjeta de proximidad. Dado que añade un notable nivel de fricción, debe reservarse para situaciones que requieran un alto nivel de seguridad. Los bancos pueden encontrar situaciones en las que la 3FA tenga sentido, al igual que diversas agencias gubernamentales. Las zonas específicas de alto control dentro de una parte de un aeropuerto o de un hospital son también áreas en las que los equipos de seguridad han considerado necesario el 3FA. El 3FA es poco común y el MFA adaptativo (que evalúa el riesgo del contexto) es la dirección predominante en la industria.

¿Dónde se utiliza normalmente la AMF?

Aunque muchas organizaciones consideran la verificación de usuarios como una idea tardía, es importante señalar que el DBIR anual de Verizon muestra sistemáticamente el pirateo de credenciales como una de las principales estrategias de violación. Es simplemente cuestión de tiempo que prácticamente todas las organizaciones sufran un suceso en el que pierdan información confidencial que provoque una pérdida financiera tangible y una pérdida potencial de la confianza de los clientes.

Lo que hace que estas tendencias sean notables es que nunca ha habido un momento en el que la autenticación multifactor sea tan cómoda y asequible de implantar como lo es hoy. Tradicionalmente, las organizaciones han limitado sus implantaciones de AMF a un pequeño subconjunto de usuarios especializados que trabajan con información que plantea un mayor nivel de riesgo para la empresa. El coste y la facilidad de uso han sido a menudo los factores limitantes que han impedido un despliegue más amplio de la tecnología de autenticación robusta. Históricamente, los métodos de autenticación robusta eran caros de adquirir, implantar (incluida la inscripción de los usuarios) y administrar. Pero recientemente se ha producido una serie de cambios radicales en todos los sectores, en las propias organizaciones, en sus clientes (o pacientes, ciudadanos, socios, etc.) y en la tecnología a la que tienen acceso.

¿Cuáles son los principales motores empresariales para implantar la autenticación multifactor?

Aunque cada organización tiene sus propios requisitos concretos, hay impulsores empresariales de alto nivel que suelen ser comunes en todas ellas:

  • La mayoría de las industrias deben cumplir algún tipo de ley de privacidad relativa a la información de clientes, pacientes o financiera. Además, los organismos públicos siguen afianzando sus políticas que exigen la AMF para verificar la identidad de los usuarios.
  • Más que nunca, los profesionales realizan su trabajo fuera de la oficina, ya sea como guerreros de la carretera o como empleados a distancia. Utilizan la AMF como parte de sus prácticas de gestión de riesgos o como parte de una iniciativa de cumplimiento que cubre información (cliente, paciente, ciudadano, RRHH, etc.) que está sujeta a mandatos de autenticación gubernamentales.
  • Los usuarios avanzados y las organizaciones en las que trabajan lo hacen en un mundo omnipresentemente conectado, lo que significa que cuando sus credenciales son violadas, la vulnerabilidad expuesta a su empleador es una fuerza convincente para asegurar sus cuentas con MFA.
  • Prácticamente todo el mundo tiene un ordenador conectado (smartphone) en el bolsillo desde el que dirige su vida: redes sociales, contenidos personalizados para el consumidor y comercio electrónico. Dado que los clientes esperan interactuar digitalmente con las empresas en sus dispositivos, las organizaciones suelen seguir una agresiva estrategia de aplicaciones móviles que necesita de la AMF para gestionar su riesgo.

¿Qué mandatos exigen que las organizaciones utilicen la AMF para cumplir la normativa?

El AMF es ahora un requisito básico en:

  • PCI DSS v4.0-paratodos los accesos remotos a sistemas que manejen datos de titulares de tarjetas.
  • HIPAA-paraasegurar la información sanitaria electrónica protegida (ePHI).
  • NIS2 y DORA, que exigenfuertes controles de acceso en sectores críticos.
  • Pólizas de seguro cibernético: la mayoría exigen AMF para la cobertura.

¿Cuáles son algunas formas de hacer que la AMF sea menos intrusiva en la experiencia del usuario?

TI tiene acceso a algunas tecnologías para reducir la fricción que la AMF puede imponer potencialmente a los usuarios:

  • Inicio de sesión único.
  • Evaluación del riesgo de una solicitud de acceso.
  • Adaptar el mejor tipo de autenticación al usuario.

Inicio de sesión único (SSO)

El SSO permite a los usuarios autenticarse en múltiples recursos a partir de una única interacción del usuario, lo que significa que los usuarios introducen una única credencial a partir de la cual la infraestructura que se encuentra bajo ella se autentica en cada uno de los recursos protegidos en su nombre durante esa sesión. El enfoque más seguro para el SSO es que el motor de autenticación utilice un conjunto único de credenciales para cada recurso que se configure para el SSO. Esto aumenta la seguridad a un alto nivel porque:
  • El usuario no conoce la credencial real del recurso, sino sólo la credencial proporcionada a la pasarela de autenticación. Esto obliga al usuario a utilizar la pasarela de autenticación en lugar de ir directamente al recurso. También significa que cada recurso tiene una credencial única. De modo que si el almacén de identidades de uno de ellos es violado, no compromete a los demás. Este enfoque permite al departamento de TI cumplir los requisitos de la AMF al tiempo que realiza autenticaciones en serie en los recursos protegidos.
  • Al aprovechar el contexto del usuario, la tecnología basada en el riesgo (RBA) puede utilizarse para invocar la AMF sólo cuando sea necesario. Ya sea para cumplir un mandato gubernamental o para hacer cumplir la política de gestión de riesgos de la organización, la RBA puede utilizarse para disminuir los casos en los que se impone una solicitud de autenticación a un usuario. Las políticas suelen ser una mezcla de ubicación, dispositivo y hora de acceso.

Opciones de autenticación de baja fricción

Aunque las OTP/TOTP tradicionales seguirán siendo el tipo más común de autenticación de segundo factor, puede haber otras opciones que tengan más sentido para una situación. Las aplicaciones móviles push fuera de banda ofrecen una opción de baja fricción a la OTP porque lo único que tiene que hacer el usuario es pulsar el botón de aceptar. Para situaciones de mayor riesgo, algunas aplicaciones push pueden estar configuradas para requerir una huella dactilar para verificar la identidad de la persona, así como una confirmación de la información (como un número presentado en el escritorio) para verificar aún más que el usuario posee tanto el escritorio como el smartphone.

El reconocimiento facial se está convirtiendo rápidamente en la autenticación biométrica preferida. La naturaleza de baja fricción de Windows Hello, teniendo en cuenta que mejora con el tiempo, ofrece una experiencia de usuario cómoda. El mayor reto es que Windows Hello no funciona bien con diversas situaciones de iluminación. Este fallo en el reconocimiento de los rostros a través de la iluminación puede gestionarse con registros faciales adicionales. Más recientemente, algunas aplicaciones móviles ofrecen la posibilidad de registrar los patrones del iris de los ojos de una persona. Utilizadas conjuntamente (facial, huella dactilar, iris), las opciones de autenticación biométrica ponen el listón de la seguridad muy alto para que un intruso pueda vencerlas. Los métodos biométricos son también una excelente opción para las organizaciones que buscan una forma poco friccionada de protegerse contra los ataques de phishing.

El reconocimiento de voz ha ganado popularidad en el sector de los servicios financieros. A las instituciones les gusta porque es totalmente pasivo para los clientes mientras hablan con un representante del servicio. El representante recibe una notificación cuando se ha verificado la identidad del cliente. Utilizan el reconocimiento de voz en lugar de preguntas de reto con clientes que suelen tener dificultades para recordar las respuestas correctas a las mismas. En este caso, se optimizan la seguridad y la usabilidad.

FIDO/FIDO2 son opciones atractivas para cuando los usuarios se desplazan a través de varios dispositivos. Parte de lo que hace que FIDO sea una opción de autenticación atractiva es su amplio apoyo por parte de los proveedores y su enfoque en la usabilidad. FIDO ha ganado una notable tracción en las universidades que tratan con un gran número de estudiantes que utilizan una variedad de servicios digitales. FIDO permite la portabilidad de la autenticación sin contraseña a través de diferentes dispositivos y plataformas.

El perfilado de los gestos de los teléfonos inteligentes es una forma de análisis del comportamiento que analiza cómo una persona interactúa físicamente con su dispositivo. Utiliza la heurística para rastrear patrones en los gestos, produciendo puntuaciones de confianza basadas en la coherencia de esos patrones. A medida que se recogen más datos, el sistema adquiere más confianza en el reconocimiento del comportamiento único del usuario, lo que aumenta la precisión -o fidelidad- del perfil gestual. Aunque en un principio no es lo suficientemente potente como para servir de método principal de verificación de la identidad, el perfil gestual puede ser un factor complementario útil cuando se combina con otros métodos de autenticación.

Cómo ayuda OpenText

OpenText™ Advanced Authentication forma parte de nuestra cartera de gestión de identidades y accesos de nivel empresarial. Permite un despliegue flexible de la AMF, incluyendo:

  • Autenticación sin contraseña y biométrica.
  • Decisiones de acceso contextuales y basadas en el riesgo.
  • Aplicación de políticas en entornos híbridos y multi-nube.
  • Integración mediante API, SDK y protocolos de federación (SAML, OAuth, OIDC).

Tanto si está protegiendo a usuarios internos, socios o consumidores, OpenText ofrece una autenticación segura, conforme y escalable a escala empresarial.

¿En qué se diferencia OpenText Advanced Authentication de otras soluciones AMF?

Los equipos de seguridad suelen implementar el software de apoyo que acompaña a la autenticación que están adoptando. Esto parece funcionar bien hasta que se adquieren diferentes dispositivos que requieren una implementación de software diferente, lo que crea otro silo más. En las grandes organizaciones, es posible tener varios silos de tecnologías sin contraseña utilizadas para la autenticación multifactor o para satisfacer algún otro requisito de autenticación. El punto débil de esta situación es que cada silo de autenticación tiene su propio conjunto de políticas. Mantener actualizados estos almacenes de políticas múltiples requiere una mayor sobrecarga administrativa e introduce el riesgo de tener políticas desiguales.

OpenText Advanced Authentication está diseñada para satisfacer las necesidades de autenticación multifactor de las organizaciones más grandes. Su enfoque basado en estándares proporciona una arquitectura abierta libre de los riesgos de la dependencia del vendedor. El marco es compatible con diversos dispositivos y métodos adicionales listos para usar, pero también puede ampliarse a medida que aparecen nuevas tecnologías en el mercado.

Independientemente de la plataforma (web, móvil, cliente), OpenText Advanced Authentication también ofrece compatibilidad inmediata con las plataformas y aplicaciones más comunes. Además de servir como motor central de políticas para las autenticaciones en toda la empresa, OpenText Advanced Authentication también ofrece un motor basado en el riesgo para controlar cuándo se invoca la MFA, así como para controlar qué tipos de autenticación se ofrecen según los distintos niveles de riesgo. Más allá de su propio motor incorporado, OpenText Advanced Authentication se integra con OpenText Access Manager para proporcionar un sólido conjunto de opciones de inicio de sesión único y métricas de riesgo que pueden utilizarse como parte de un caso de uso de gestión de acceso adaptable.

Productos relacionados

OpenText™ Advanced Authentication

Habilite la autenticación multifactor y sin contraseña para una protección sencilla en toda la organización.

OpenText™ Access Manager

Permita el inicio de sesión único y el control de acceso en plataformas móviles, en la nube y heredadas.

OpenText™ Core Identity Foundation

Plataforma de seguridad de identidad nativa en la nube

Ver todos los productos relacionados

¿Cómo podemos ayudar?

Notas al pie