El uso de múltiples factores de autenticación crea una falsa seguridad

Las dos grandes preocupaciones de los usuarios son la seguridad y el anonimato. Hoy vamos a centrarnos en el primero, donde uno de los elementos clave es tener una contraseña segura. Además, conviene reforzarla con la autenticación multifactor o MFA. Así, en el caso de que nuestra contraseña fuese pirateada no van a poder hacer inicio de sesión porque les faltaría un segundo paso que suele ser introducir un código que tenemos en nuestro smartphone. Sin embargo, esta forma de trabajar si no se implementa bien puede tener sus fallos. En este artículo vamos a ver cómo la utilización de múltiples factores de autenticación crea una falsa sensación de seguridad.

¿Qué es el MFA?

MFA (Múltiples Factores de Autenticación) permiten a los usuarios proteger sus cuentas online utilizando diferentes modos de autenticación, como una contraseña, un PIN que llega por SMS al móvil, un código temporal de un solo uso generado por su smartphone e incluso una llave USB de seguridad. Hoy en día cualquiera de nosotros en las cuentas de correo electrónico y en muchos sitios online como PayPal, Amazon y en las redes sociales, hacemos uso de varios factores de autenticación, principalmente el nombre de usuario y la contraseña para acceder, y posteriormente un segundo factor de autenticación que suele ser un código numérico generado por nuestro smartphone o una llave USB física.

La incorporación del MFA a todas las cuentas online ha supuesto un gran avance contra los ataques, para ponérselo mucho más complicado a los ciberdelincuentes, porque no solamente tendrán que vulnerar nuestra contraseña del servicio sino también hacerse con el segundo factor de autenticación que hayamos configurado. Dependiendo de la cuenta online que estemos configurando, una buena opción sería contar con una llave USB que solamente nosotros tengamos físicamente, para que

Seguimos expuestos a ataques a las credenciales

A pesar de la adopción de la confianza cero y redes Zero Trust todavía muchas empresa están expuestas a los ataques de credenciales debido a dos causas:

  • Los métodos insuficientes de autenticación multifactor (MFA).
  • La falta de urgencia después de un posible ataque o filtración de datos.

En un informe publicado recientemente, se ha descubierto que más de la mitad de usuarios a los que les han pirateado las cuentas no mejoraron sus controles de autenticación después del ataque. La utilización de MFA está creando una falsa sensación de seguridad. Por otra parte, comenta que se aprecia un aumento de la concienciación de ir más allá de MFA, y los beneficios generales de la autenticación sin contraseña a medida que las organizaciones continúan implementando sus programas de confianza cero.

Las empresas no se están protegiendo bien

Un punto destacado de este informe ha desvelado que el 89% de los entrevistados declaró que habían sufrido un ataque de Phishing en 2021. Por otra parte, el 34% experimentó el relleno de credenciales en el que se aprecia un aumento del 17 % con respecto al año anterior.

Otros datos relacionados con ataques a las pequeñas y medianas empresas fueron:

  • El aumento de ataques a los teletrabajadores, al fin y al cabo, la seguridad de la red doméstica de un trabajador cuando está desde su casa es claramente inferior a cuando está en la empresa físicamente, ya que no cuentan con tecnologías avanzadas de seguridad como IDS o IPS entre otras herramientas fundamentales.
  • Más de la mitad de los trabajadores afirman no tener contraseña, utilizan métodos como el SMS que no es nada seguro, aunque un gran porcentaje utilizan una contraseña de un solo uso (One Time Password).

El modelo de seguridad de confianza cero y la utilización de MFA están aumentando. No obstante, esto no implica que haya ciertas reticencias para su implementación. Por ese motivo, ven a la MFA tradicional con contraseña así:

  • La mitad explican que han tenido una mala experiencia de usuario, por lo que no les gusta este método de autenticación.
  • Falta de interoperabilidad con diferentes servicios y fabricantes, y hacen complicado la integración del sistema en la empresa.
  • Las soluciones empresariales son caras, y muchas pequeñas empresas no se lo pueden permitir.

Por lo tanto, muchos entrevistados consideraron que la utilización de MFA con contraseña era más una carga que un punto a favor, y creaba un mayor impacto en la productividad general. Más de la mitad de los encuestados no habían podido acceder a información crítica del trabajo por no poder recordar una contraseña.

La necesidad de usar métodos sin contraseña

A medida que el trabajo remoto se convierte en una opción permanente, más empresas se están cambiando a la utilización de MFA sin contraseña. En ese aspecto el 82% de los entrevistados cree en fortalecer su programa de seguridad de autenticación con la adopción de MFA sin contraseña.

Si se compara con la utilización de MFA tradicional se observa una mejora de la experiencia del usuario como el segundo factor más importante con un 67 %. Además, con un 40% los entrevistados piensan que la utilización de MFA sin contraseña ayuda con el cumplimiento normativo.

1 Comentario