Construir un futuro más seguro podría parecer arriesgado: ¿se adaptarán los clientes fácilmente a pautas más estrictas? Pensemos en la autenticación multifactor. Cada vez más, es evidente que la MFA presenta un excelente equilibrio entre seguridad y conveniencia cuando se trata de proteger nuestros datos.

Sin embargo, persisten puntos de dolor. El liderazgo podría creer que pedirle a la gente que piense más allá de la contraseña es un desafío demasiado grande. Pero alrededor de dos tercios de las personas que conocen la MFA la utilizan regularmente, según nuestro informe Oh Behave de 2023. Y el 94% de las personas que la han habilitado continúan utilizándola. Nuestros datos no respaldan la opinión de que la MFA es demasiado pedir para las personas. Bien hecho, es rápido y conveniente.

A medida que aumenta la adopción de la autenticación multifactor (MFA), Salesforce es un excelente caso de estudio reciente sobre cómo implementar MFA en una vasta base de clientes que abarca muchas industrias. 

El 1 de febrero de 2022, Salesforce comenzó a requerir que todos los clientes utilicen MFA al acceder a sus productos, que incluyen plataformas B2B populares como Sales Cloud, Service Cloud y Einstein. 

Le preguntamos a Salesforce por qué decidieron requerir la adopción de MFA para todos sus productos, cuáles fueron los desafíos con esta iniciativa y cómo está funcionando el requisito dos años después de que se implementó por primera vez. 

MFA: Aumentando la seguridad para todos

El requisito de MFA inicialmente surgió de la necesidad de seguridad más allá de una contraseña. Como tecnología, las contraseñas se remontan a la década de 1960 y ya no son un medio efectivo para asegurar cuentas. Una contraseña es un sistema de autenticación de un solo factor, mientras que la autenticación multifactor (como sugiere el nombre) requiere múltiples formas de información de identificación. Generalmente, esto incluye una contraseña y otro factor, que podría ser una huella digital, iniciar sesión en una aplicación de autenticación independiente o un nuevo sistema de claves de acceso. 

"La confianza es nuestro valor número uno, y no hay nada más importante que la confianza y el éxito de nuestros clientes. Creemos que proteger los datos de los clientes es una responsabilidad compartida para Salesforce y nuestros clientes," explicó Lynn Simons, directora senior de compromiso de seguridad en Salesforce. "A medida que los ciberataques se vuelven más comunes, las contraseñas ya no brindan suficientes salvaguardias contra el acceso no autorizado a cuentas." 

La MFA proporciona una capa adicional de protección contra amenazas comunes de seguridad, como el phishing, el relleno de credenciales y la toma de control de cuentas. Implementar MFA aumenta la seguridad tanto para el cliente como para Salesforce.

La estrategia

Exigir MFA en todos sus productos no solo demandó conocimiento técnico, sino que también significó que Salesforce tuvo que convencer a las partes interesadas de que era lo correcto. Afortunadamente, la evidencia de los beneficios de la MFA es abrumadora: la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) dice que usar MFA en una cuenta reduce la probabilidad de un hackeo en un 99%.

"Salesforce cree que la MFA es un componente crítico para asegurar el acceso a cuentas," continuó Lynn.

Aunque existe un riesgo potencial de compromiso de contraseñas, es muy poco probable que un actor malintencionado también pueda adivinar o piratear un código desde la aplicación de autenticación del usuario.

Desde el 1 de febrero de 2022, se requiere que los clientes de Salesforce utilicen MFA para acceder a los productos de Salesforce. Esto significa que todos los usuarios internos que inician sesión en productos de Salesforce, incluidas soluciones de socios, a través de la interfaz de usuario, deben usar MFA para cada inicio de sesión.

Lo importante es que los productos de Salesforce incluyen funcionalidad de MFA sin costo adicional.

Usando los factores más seguros

Aunque creemos que cualquier forma de MFA es mejor que ninguna, la verdad es que algunos factores son más seguros que otros. Tu huella digital es más difícil de comprometer que una contraseña sencilla de cuatro caracteres, por ejemplo. Con su iniciativa de MFA, Salesforce optó por apoyar los métodos más seguros. 

"Salesforce ofrece soluciones MFA que logran el equilibrio entre seguridad fuerte y conveniencia para el usuario," dijo Lynn. 

Los métodos de verificación admitidos por Salesforce incluyen:

• App Autenticadora de Salesforce: Esta opción de aplicación móvil propietaria fue creada como una solución rápida y sin fricciones de notificaciones push simples que se integran en el proceso de inicio de sesión de Salesforce.

• Apps Autenticadoras de Terceros: También puedes cumplir con el requisito de MFA usando otras aplicaciones móviles independientes, específicamente aquellas que generan códigos temporales basados en el algoritmo de contraseña de un solo uso en función del tiempo (TOTP) de OATH.

• Llaves de Seguridad: Estos son dispositivos físicos que utilizan criptografía de clave pública, ¡los teléfonos inteligentes más populares de hoy en día tienen estas llaves integradas! 

• Autenticadores Integrados: Un servicio de autenticación integrado en el dispositivo de escritorio o móvil, como Windows Hello, Face ID o Touch ID. Esta opción a menudo involucra biometría, identificadores difíciles de falsificar que son únicos para ti, como tu huella digital o rostro.

Algunos segundos factores no son tan fuertes y son intrínsecamente más vulnerables a la interceptación, suplantación y otros ataques. Debido a esto, Salesforce decidió no utilizar estos como opciones de MFA:

• Preguntas de seguridad: Estas podrían ser adivinadas con información públicamente disponible sobre el usuario. 

• Códigos de un solo uso enviados por correo electrónico, mensaje de texto o llamada telefónica: Si alguna de estas cuentas está comprometida, entonces su utilidad en cuanto a MFA es nula. Además, estos métodos son más fácilmente comprometidos por ataques de fatiga de MFA. 

Si necesitas MFA, coincidimos en que es mejor usar las opciones más fuertes disponibles en este momento.

Resultados

A partir de 2024, Salesforce tiene una tasa de inscripción del 100% entre sus empleados, confirmó Lynn. Todos los productos de software de Salesforce, conocidos como nubes, ofrecen MFA y casi todos han ayudado a los clientes a asegurar sus datos mediante la aplicación o activación automática de MFA para sus usuarios.

"Gracias a la asociación de nuestros clientes y su compromiso para proteger el acceso a las cuentas de usuario, el programa para habilitar automáticamente MFA ha sido extremadamente exitoso," señaló Lynn.

Conclusión: La seguridad es un deporte de equipo

Durante las últimas dos décadas, el NCA ha estado en una misión para empoderar a todos en línea para aumentar la seguridad digital. Todos tenemos un papel: empresas, gobiernos, sitios web e individuos. El exitoso requisito de MFA de Salesforce muestra cómo un cambio positivo puede tener efectos dominó en todo el mundo: se estima que 150,000 empresas usan Salesforce en todo el mundo, y ahora todos sus empleados y clientes usan MFA. 

"La seguridad es un deporte de equipo, y solo es eficaz cuando todos están en la misma página," sugirió Lynn. 

Mejores prácticas

Lynn recomendó algunas mejores prácticas para las empresas que intentan implementar una estrategia de MFA a largo plazo.

• Entender a tu fuerza laboral: Para los líderes de TI, el primer paso incluye comprender la fuerza laboral de la empresa, sus interacciones con la tecnología esencial y dónde existen posibles vulnerabilidades en el sistema.

• Ofrecer opciones que se adapten a los flujos de trabajo existentes: En lugar de implementar una sola pieza de tecnología para todos los equipos, mejorar las soluciones existentes y ofrecer soluciones que se adapten a una variedad de flujos de trabajo hará que sea más probable que la MFA funcione para todos. Un ejemplo de esto sería que Salesforce lanzara su propia aplicación de autenticación que se integra con sus productos. 

• Facilitarlo para los administradores: Invertir en desarrollar los materiales de aprendizaje adecuados y el soporte de habilitación para que quienes gestionan la MFA puedan navegar la transición sin problemas. 

Para más información, Lynn recomienda este módulo en Trailhead, la plataforma de aprendizaje en línea gratuita de Salesforce. El NCA también tiene muchos recursos sobre MFA.