La autenticación multifactor (MFA) es un excelente equilibrio entre seguridad y comodidad cuando se trata de proteger las cuentas y los datos de tus usuarios. Implementar un sistema MFA eficaz ayuda a tu negocio a cumplir con las regulaciones de protección de datos y a reducir tu responsabilidad legal si la cuenta de un usuario se ve comprometida.

Sin embargo, ninguna medida de seguridad es infalible, y hacer que MFA funcione en toda tu organización puede implicar algunos desafíos que tendrás que superar.

¿Qué es la autenticación multifactor (MFA)?

MFA requiere que los usuarios proporcionen dos o más categorías diferentes de evidencia que demuestren su identidad antes de permitirles iniciar sesión. Los factores de autenticación normalmente se categorizan en:

• Algo que sabes (como una contraseña o un PIN)

• Algo que tienes (como tu dispositivo móvil o un token de clave de autenticación)

• Algo que eres (como reconocimiento facial, huellas dactilares y otras biometrías)

La mayoría de los sistemas MFA solicitan algo que sabes y algo que tienes. En otras palabras, para obtener acceso no autorizado a una cuenta protegida con MFA, un atacante tendría que tener acceso al dispositivo móvil de un usuario y conocer su nombre de usuario y contraseña.

Bajas tasas de adopción

Una de las primeras dificultades que una organización puede enfrentar al implementar la autenticación multifactor es lograr que las personas la usen en primer lugar. 68% de las personas no usan MFA en todos los lugares donde está disponible. Desafortunadamente, muchos usuarios ven el paso adicional de seguridad como una inconveniencia que evitarán si pueden. Esto es especialmente cierto si no son conscientes de la seguridad adicional que les ofrece. La autenticación multifactor puede proteger a las empresas de ataques que pueden resultar en enormes filtraciones de datos. Solo pregúntale a Uber. Allá por 2016, unos hackers robaron los datos personales de 57 millones de personas al obtener acceso no autorizado a la red de Uber, y no fue un ataque sofisticado. Más bien, un desarrollador de software de Uber había dejado inadvertidamente expuestas sus credenciales de usuario en el código que compartió en GitHub. Cualquiera con acceso a su repositorio de GitHub podía entonces iniciar sesión en su cuenta de desarrollador de Uber y acceder a datos sensibles. Cualquier forma de autenticación multifactor habría evitado este método de ataque.

Como resultado, la mejor manera de mitigar este desafío es hacer que MFA sea lo más conveniente posible, permitiendo que las personas se autentiquen con métodos que ya usan, como mensajes de texto o una aplicación de autenticación. Esto significa que tu sistema MFA no se suma a los muchos sistemas diferentes de autenticación e inicio de sesión que los usuarios tienen que administrar y recordar en sus numerosas cuentas.

Intentos automatizados de phishing

Aumentar la cantidad de información o acceso que necesita un usuario no autorizado para iniciar sesión hace que sea más difícil para los atacantes obtener todo lo que necesitan mediante phishing. Sin embargo, no es imposible, y al buscar la información correcta un atacante puede interceptar mensajes de autenticación enviados a un dispositivo personal, o hacerse pasar por el dispositivo de un usuario para iniciar sesión.

Los sistemas de autenticación multifactor más sofisticados se están volviendo cada vez más resistentes a este método de ataque. A menos que eduques a tus usuarios sobre cómo detectar intentos automatizados de phishing y cómo responder a ellos, incluso un sistema MFA resistente al phishing no detendrá todos los ataques.

Dispositivos personales

Los dispositivos personales como teléfonos y laptops a menudo se usan como parte de los procesos de autenticación multifactor, como enviar códigos de autenticación por SMS o correo electrónico, o usar una app para generar una clave de autenticación.

Los dispositivos personales como estos suelen ser uno de los eslabones más débiles en la seguridad de las cuentas de usuario, aparte de los propios usuarios. Hay numerosas formas en que usuarios malintencionados pueden interceptar datos destinados a un dispositivo personal o hacerse pasar por estar conectándose desde el dispositivo de un usuario legítimo. Y, por supuesto, pueden simplemente ser robados o controlados de forma remota, dando a un atacante acceso a cualquier inicio de sesión guardado o dato sin protección en el dispositivo.

Usar dispositivos personales en la autenticación multifactor suele ser un compromiso necesario a pesar de estos desafíos. Es el método MFA más fácil para la mayoría de los usuarios. También ayuda a aumentar el número de personas que eligen usar tu sistema de autenticación multifactor. Los riesgos potenciales de los dispositivos personales pueden mitigarse siguiendo las mejores prácticas para usar dispositivos en casa y en el trabajo. Para una seguridad adicional, las empresas pueden alentar a los clientes y empleados a usar métodos de autenticación basados en hardware, como generadores de claves. Según Google, las cuentas de Google que estaban protegidas por autenticación basada en hardware fueron inmunes a casi todos los ataques automatizados y masivos de phishing.

Reporte de posibles brechas de seguridad

En promedio, se tardan casi 200 días en identificar una brecha de seguridad. Es vital educar a tus usuarios sobre la importancia de reportar de inmediato posibles brechas de seguridad, dándote tiempo para restringir el acceso a sus cuentas antes de que se produzcan más daños. Esto es particularmente relevante cuando se usan sistemas MFA que requieren cuentas adicionales o el uso de un dispositivo personal como un teléfono.

A menos que se lo dejes claro, es posible que los usuarios no se den cuenta de inmediato de que algo podría comprometer la seguridad de su cuenta. Por ejemplo, supongamos que el teléfono de un usuario es robado, o que su cuenta de correo electrónico es hackeada. Usaron ese teléfono o ese correo electrónico para autenticarse con tu sistema. En ese caso, el ladrón ya podría tener acceso, o los datos que necesita, para acceder a otras cuentas.

Supongamos que los usuarios no entienden que esto podría comprometer una cuenta que tienen con tu empresa. En ese caso, es posible que no te enteres de la posible brecha de seguridad hasta que sea demasiado tarde para actuar. Por lo tanto, también es esencial ayudar a los usuarios a entender cómo detectar las señales de que una cuenta ha sido comprometida para que puedan reportar el problema más rápido.

Las señales comunes de una cuenta en línea comprometida incluyen:

• La contraseña ha sido cambiada.

• El usuario ha recibido correos electrónicos sobre un cambio de contraseña o de información de la cuenta que no solicitó.

• El usuario ha recibido correos electrónicos de phishing, lo cual se puede hacer fácilmente con cualquiera de las plataformas populares de email marketing, que contienen datos personales asociados con una cuenta.

• El usuario ha recibido notificaciones sobre intentos de inicio de sesión desde ubicaciones o direcciones IP desconocidas.

Conclusión

La autenticación multifactor, como cualquier otro sistema de seguridad, no es infalible. Sí dificulta significativamente la vida de un posible atacante, haciendo que tu organización y tus usuarios sean un objetivo menos atractivo para el fraude y el robo de datos. Sin embargo, es vital implementar la autenticación multifactor de una manera conveniente para tus usuarios, ya que no puede proteger sus cuentas si no quieren usarla.