Construir un futuro más seguro puede parecer arriesgado: ¿los clientes se adaptarán fácilmente a controles más estrictos? Pensemos en la autenticación multifactor. Cada vez es más evidente que MFA ofrece un excelente equilibrio entre seguridad y conveniencia cuando se trata de proteger nuestros datos.

Sin embargo, persisten algunos puntos de fricción. El liderazgo podría pensar que pedirle a la gente que vaya más allá de la contraseña es pedir demasiado. Pero, según nuestro informe de 2023 Oh Behave, alrededor de dos tercios de las personas que conocen MFA lo usan con regularidad. Y el 94% de las personas que lo habilitaron sigue utilizándolo. Nuestros datos no respaldan la idea de que MFA sea demasiado pedirle a la gente. Si se implementa bien, es rápido y conveniente.

A medida que aumenta la adopción de la autenticación multifactor (MFA), Salesforce es un excelente caso de estudio reciente sobre cómo implementar MFA en una enorme base de clientes que abarca muchos sectores. 

El 1 de febrero de 2022, Salesforce comenzó a exigir que todos los clientes usaran MFA al acceder a sus productos, entre los que se incluyen plataformas B2B populares como Sales Cloud, Service Cloud y Einstein. 

Le preguntamos a Salesforce por qué decidió exigir la adopción de MFA en todos sus productos, cuáles fueron los desafíos de esta iniciativa y cómo funciona el requisito dos años después de haberse implementado por primera vez.  

MFA: Aumentar la seguridad para todos

El requisito de MFA surgió inicialmente de la necesidad de tener seguridad más allá de una contraseña. Como tecnología, las contraseñas datan de la década de 1960 y ya no son un medio eficaz para proteger las cuentas. Una contraseña es un sistema de un solo factor para la autenticación, mientras que la autenticación multifactor (como su nombre lo indica) requiere múltiples formas de información de identificación. Por lo general, esto incluye una contraseña y otro factor, que podría ser una huella digital, iniciar sesión en una aplicación de autenticación independiente o un nuevo sistema de claves de acceso. 

"La confianza es nuestro valor número uno, y no hay nada más importante que la confianza y el éxito de nuestros clientes. Creemos que proteger los datos de los clientes es una responsabilidad compartida entre Salesforce y nuestros clientes", explicó Lynn Simons, directora sénior de participación en seguridad de Salesforce. "A medida que los ciberataques se vuelven más comunes, las contraseñas ya no ofrecen suficientes medidas de protección contra el acceso no autorizado a las cuentas". 

MFA ofrece una capa adicional de protección contra amenazas de seguridad comunes, como el phishing, el relleno de credenciales y el secuestro de cuentas. Implementar MFA aumenta la seguridad tanto para el cliente como para Salesforce.

La estrategia

Exigir MFA en todos sus productos no solo requería conocimientos técnicos, sino que también significaba que Salesforce tenía que convencer a las partes interesadas de que era lo correcto. Por suerte, la evidencia de los beneficios de MFA es abrumadora: la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) dice que usar MFA en una cuenta reduce en 99% la probabilidad de que la pirateen!

"Salesforce considera que MFA es un componente fundamental para proteger el acceso a las cuentas", continuó Lynn.

Aunque existe un posible riesgo de que se comprometa la contraseña, es muy poco probable que una persona malintencionada también pueda adivinar o hackear un código de la aplicación de autenticación del usuario.

Desde el 1 de febrero de 2022, los clientes de Salesforce deben usar MFA para acceder a los productos de Salesforce. Esto significa que todos los usuarios internos que inician sesión en los productos de Salesforce, incluidas las soluciones para socios, a través de la interfaz de usuario, deben usar MFA en cada inicio de sesión.

Es importante destacar que los productos de Salesforce incluyen la funcionalidad de MFA sin costo adicional.

Usar los factores más seguros

Aunque creemos que cualquier forma de MFA es mejor que no usar MFA, la verdad es que algunos factores son más seguros que otros. Por ejemplo, es más difícil comprometer una huella digital que una contraseña fácil de cuatro caracteres. Con su iniciativa de MFA, Salesforce optó por admitir los métodos más seguros. 

"Salesforce ofrece soluciones de MFA que logran el equilibrio entre una seguridad sólida y la comodidad para el usuario", dijo Lynn. 

Los métodos de verificación compatibles con Salesforce incluyen:

• Salesforce Authenticator App: Esta opción de aplicación móvil propia fue creada como una solución rápida y sin fricciones de simples notificaciones push que se integran en el proceso de inicio de sesión de Salesforce.

• Aplicaciones de autenticación de terceros: También puede cumplir con el requisito de MFA usando otras aplicaciones móviles independientes, específicamente las que generan códigos temporales basados en el algoritmo OATH de contraseña de un solo uso basada en tiempo (TOTP).

• Claves de seguridad: Son dispositivos físicos que usan criptografía de clave pública; los teléfonos inteligentes más populares de hoy en día traen estas claves integradas. 

• Autenticadores integrados: El servicio de autenticación integrado de un dispositivo de escritorio o móvil, como Windows Hello, Face ID o Touch ID. Esta opción a menudo implica biometría, identificadores difíciles de falsificar y únicos para usted, como su huella digital o su rostro.

Algunos segundos factores no son tan sólidos y son intrínsecamente más vulnerables a la interceptación, la suplantación de identidad y otros ataques. Por eso, Salesforce decidió no usar estos como opciones de MFA:

• Preguntas de seguridad: Podrían adivinarse con información disponible públicamente sobre el usuario. 

• Códigos de un solo uso enviados por correo electrónico, mensaje de texto o llamada telefónica: Si una de estas cuentas se ve comprometida, entonces su utilidad como MFA es nula. Además, estos métodos son más fáciles de comprometer mediante ataques de fatiga de MFA. 

Si va a exigir MFA, coincidimos en que bien podría usar ahora mismo las opciones más seguras disponibles.

Resultados

A partir de 2024, Salesforce tiene una tasa de inscripción del 100% entre sus empleados, confirmó Lynn. Todos los productos de software de Salesforce, llamados nubes, ofrecen MFA, y casi todos han ayudado a los clientes a proteger sus datos al exigir o habilitar automáticamente MFA para sus usuarios.

"Gracias a la colaboración de nuestros clientes y a su compromiso de proteger el acceso a las cuentas de usuario, el programa para habilitar MFA automáticamente ha tenido un éxito enorme", señaló Lynn.

Conclusión: la seguridad es un deporte de equipo

Durante las últimas dos décadas, la NCA ha tenido la misión de empoderar a todas las personas en línea para aumentar la seguridad digital. Todos tenemos un papel: las empresas, los gobiernos, los sitios web y las personas. El exitoso requisito de MFA de Salesforce muestra cómo un cambio positivo puede tener efectos en cadena en todo el mundo: se estima que 150,000 empresas usan Salesforce en todo el mundo, y ahora todos sus empleados y clientes usan MFA. 

"La seguridad es un deporte de equipo, y solo es efectiva cuando todos están en la misma página", sugirió Lynn. 

Mejores prácticas

Lynn recomendó algunas buenas prácticas para las empresas que intentan implementar una estrategia de MFA a largo plazo.

• Entienda a su fuerza laboral: Para los líderes de TI, el primer paso incluye comprender a la fuerza laboral de la empresa, sus interacciones con la tecnología esencial y dónde existen posibles vulnerabilidades en el sistema.

• Ofrezca opciones que se integren en los flujos de trabajo existentes: En lugar de implementar una sola pieza de tecnología para todos los equipos, mejorar las soluciones existentes y ofrecer opciones que se adapten a diversos flujos de trabajo hará que sea más probable que MFA funcione para todos. Un ejemplo de esto sería que Salesforce lanzara su propia aplicación de autenticación que se integre con sus productos. 

• Facilite las cosas a los administradores: Invierta en desarrollar los materiales de aprendizaje y el apoyo de habilitación adecuados para ayudar a quienes gestionan MFA a navegar la transición sin problemas. 

Para obtener más información, Lynn recomienda este módulo en Trailhead, la plataforma gratuita de aprendizaje en línea de Salesforce. La NCA también tiene muchos recursos sobre MFA.