Una de las principales vulnerabilidades en el mundo de la ciberseguridad es el uso de contraseñas básicas o débiles, por lo regular, los usuarios que necesitan crear un password recurren de manera natural a un conjunto o combinación de números y letras que sea fácil de recordar, considerando principalmente información personal, por ejemplo, fechas de cumpleaños, aniversarios, nombres de familiares, mascotas y terminologías relacionadas directamente con sus gustos o aficiones. También es recurrente el uso de palabras como “contraseña” y secuencias de números sin mayor complejidad como “123456789”.
No obstante, los peligros de crear y utilizar una contraseña débil, los usuarios tienden a reutilizarlas para diferentes propósitos, lo cual facilita en gran medida el trabajo de los ciberdelincuentes para acceder a diferentes cuentas que se encuentren protegidas por un factor único de autenticación.
En este aspecto, los ciberatacantes cuentan con una amplia variedad de tácticas y técnicas para robar contraseñas, como el uso de spyware, keyloggers y otros tipos de malware, así como ataques de phishing. También existen “diccionarios de contraseñas comunes”, si alguna contraseña que utilizamos se encuentra dentro de estos diccionarios, el atacante solamente debe esperar a que coincidan en un proceso automatizado y tendrá acceso a la cuenta o sistema, esto es lo que se conoce como un ataque de fuerza bruta. Si esta estrategia falla, se puede poner en práctica lo que se denomina ataques de ingeniería social, donde intentan manipular a la víctima haciéndose pasar por entidades de confianza.
Al utilizar solo un factor de autenticación, la posibilidad de ser atacado con éxito dependería de las habilidades del delincuente y la efectividad de las herramientas de seguridad que hayan sido implementadas en los dispositivos o la red. Asumiendo que la experiencia del ciberdelincuente en este tipo de ataques fuera considerable y que su objetivo fuese un usuario promedio, se podría decir que sería relativamente fácil alcanzar el objetivo.
A nivel empresarial, el cumplimiento normativo insta a utilizar autenticación multifactor o MFA (Multi-Factor Authentication) para aumentar la seguridad al acceder a datos o sistemas. El objetivo es reducir el riesgo de exposición y robo de datos sensibles, ya que si los atacantes lograran obtener la contraseña aún necesitarían del segundo o tercer factor para concretar el acceso. En este tipo de ambientes corporativos, los ciberatacantes utilizan técnicas como el Whaling, que es un tipo de ataque de phishing dirigido a altos directivos, por lo tanto, los daños suelen ser de grandes dimensiones tanto a nivel económico como reputacional.
Cómo trabaja el MFA
La autenticación multifactor o MFA (por sus siglas en inglés) trabaja con base en tres factores:
- Algo que sabes (contraseñas, PIN, preguntas de seguridad)
- Algo que tienes (celular, Tablet, token)
- Algo que eres (huella, voz, reconocimiento facial, etc.)
Se puede inferir que al aplicar los tres niveles de factores la seguridad será mayor, aunque es indispensable considerar la facilidad de uso y la comodidad del usuario. En este sentido, el balance se ha encontrado al utilizar solamente dos factores (2FA), sin embargo, el factor clave que brinda mayor seguridad es el relacionado a “Algo que eres”, debido a que los biométricos rara vez cambian y son más difíciles de falsificar.
MFA es un gran paso para la protección de datos, sin embargo, es imposible dejar toda la carga de seguridad a una buena práctica. De cierto modo se podría comparar con la seguridad de un edificio, tener que usar múltiples llaves para abrir una puerta puede hacerla más segura, pero si no hay nadie ni nada más para impedir o detectar intentos no autorizados, los malhechores tarde o temprano encontraran la forma de abrirla. Para proteger a las organizaciones de brechas es necesario defender en profundidad, brindar distintas capas con soluciones específicas que hagan sentido y brinden valor a la organización.
Empresas de ciberseguridad, como Hillstone Networks, ya cuentan con soluciones de ciberseguridad que incluyen este sistema de MFA, elevando los niveles de protección. En suma, la autenticación multifactor se ha posicionado como una práctica que no debe faltar en la planeación de ciberseguridad de cualquier empresa, sin embargo, no debe ser utilizada de forma aislada sino como parte de una estrategia integral de confianza cero.
Por Rafael Santana, Technical Marketing Engineer en Hillstone Networks