Es bastante increíble y absurdo, como en pleno 2020 la contraseña más utilizada en todo el mundo sigue siendo “123456”, y así ha sido por lo menos por lo menos por los últimos 7 años, después de haber destronado a “password”, la cual se mantuvo en primer lugar por lo menos 3 años.
Es una competencia sumamente vergonzosa, ya que estos datos nos demuestran que los usuarios seguimos siendo el eslabón más débil en la seguridad informática. Los atacantes suelen utilizar estas listas como primeras opciones al intentar acceder a las cuentas de sus víctimas, ya que esto les garantiza por lo menos un 10% de probabilidades de lograrlo.
Algunas compañías intentan forzar a los usuarios a mejorar sus contraseñas, exigiendo una mayor cantidad de caracteres y/o combinaciones con números y símbolos, pero esos intentos han servido muy poco, más sin embargo nos ha traído maravillas como “123abc”, “qwerty123” y “1q2w3e4r”. Esto nos deja muy claro una cosa: No podemos dejar la seguridad de los datos tan solo en manos de los propios usuarios.
Ademas de todo, las empresas tienen que invertir una buena cantidad de capital para atender los problemas relacionados con contraseñas, en el mejor de los casos con el personal de TI encargado de administrar las cuentas, pero en el peor caso, reparando los daños y pérdidas causadas por intrusiones.
Con el aumento exponencial de los ataques informáticos, combinado con la gran debilidad en las contraseñas, debemos buscar mejores métodos de reforzar los métodos de autenticación. Aquí es donde entra en juego la Autenticación Multi Factor (MFA).
MFA
La autenticación de varios pasos es una herramienta atractiva para muchas empresas, esta requiere al menos dos pasos para verificar la identidad de un usuario. Estos pasos pueden involucrar algo que el usuario conoce, que tiene o incluso que el usuario es.
Aunque tiene años entre nosotros, la autenticación multi factor no ha sido tan aceptada o implementada como debería, esto se debe a que muchos directores de TI consideran que es algo solo para compañías muy grandes o que sería demasiado costoso.
Existen diversos métodos de autenticación multi factor, aquí te dejamos algunos para que puedas guiarte y escoger el que más te convenga.
SMS
Este método requiere que el usuario, además de su contraseña, debe ingresar un código de 4-6 dígitos que ha sido enviado a su teléfono como un mensaje de texto. Sin embargo, esa característica es también su mayor problema, ya que los SMS son extremadamente vulnerables por varias razones:
- Cualquiera puede ver los códigos que recibes por SMS, sobre todo si las notificaciones están activadas en la pantalla de bloqueo.
- La tarjeta SIM puede usarse en otro teléfono, dando acceso a los SMS.
- Los SMS pueden ser interceptados.
- Cualquier vendedor de teléfonos móviles, puede cambiar tu número a una nueva tarjeta SIM.
- Alguien con conocimiento puede leer los SMS directamente del servidor que los transmite.
Definitivamente es el método menos recomendable y el cual ha dejado un lastre de inseguridad en la autenticación multi factor.
Códigos de un solo uso en papel
Son bastante sencillos, aunque un poco rústicos. A petición del usuario, se generan varios códigos que solo pueden usarse una vez cada uno, Estos códigos se pueden enviar en un archivo o entregarse físicamente y guardar en algún lugar seguro.
Este método es más bien utilizado como opción de respaldo en caso de perder el acceso, pero tiene un gran inconveniente, tarde o temprano se acabarán y te quedarás sin códigos en el momento más inoportuno.
Aplicaciones de autenticación
Afortunadamente hay un método más efectivo para los códigos de un solo uso. Estos se pueden generar al momento, a través de una pequeña aplicación generalmente muy simple.
Los códigos se crean sobre la base de una clave generada por el sistema y la hora actual, redondeada 30 segundos. Ambos componentes son los mismos para ti y el servicio, por lo que los códigos se generan de forma sincronizada. Este algoritmo es conocido como OATH TOTP (Time-based One-time Password).
Este método es de lejos el más utilizado ya que su generación sincrónica permite una gran flexibilidad y seguridad al mismo tiempo. Aunque hay gran variedad de aplicaciones de este tipo, no te recomendamos instalar la primera que te encuentres, recuerda que estás confiando las códigos de tus cuentas. Aunque no compartas tu contraseña, conviene utilizar aplicaciones diseñadas por desarrolladores de confianza, te dejamos algunos ejemplos ampliamente utilizados:
- Google Authenticator
- Duo Mobile
- Microsoft Authenticator
- Free OTP
- Authy
- Yandex Key
Autenticadores físicos
Si una aplicación que genera códigos te parece una forma endeble y no tan fiable de proteger tus cuentas, o necesitas algo más tangible y sólido, tu opción son los token en hardware, basados en el estándar U2F (Universal 2nd Factor), creado por FIDO Alliance.
Estos son los preferidos por los especialistas en seguridad. Funcionan muy fácilmente y son probablemente el método más seguro de todos, aunque requieren de inversión que puede llegar a ser algo elevada.
Son dispositivos físicos que se conectan al dispositivo donde deseas autenticarte, solo hay que registrarlos con un servicio compatible. En su mayoría, son muy parecidos a una memoria USB, lo que los hace muy portátiles además de pasar fácilmente desapercibidos.
Una vez configurados, solo tienes que conectarlo y en algunos casos presionar un botón o poner tu huella digital y estarás dentro. Su funcionamiento se basa en el sistema de llave pública y llave privada, muy utilizado en criptografía.
Existen varios fabricantes de estos dispositivos, sin embargo te dejamos algunos de los más conocidos:
- Yubikey
- Google Titan
- Thetis
- Kensington Verimark
- CryptoTrust OnlyKey
Notificación Push
La última novedad en cuestión de MFA es la autenticación utilizando notificaciones push. Este método ha recibido mucho impulso de grandes compañías tecnológicas como Microsoft o Google. Está última, recientemente logró la certificación FIDO2 para cualquier dispositivo Android como método de autenticación multi factor.
En este método, primero debes registrar uno o más smartphones, los cuales quedan vinculados a la cuenta. Después, cuando intentes acceder a esa cuenta, una notificación será enviada al dispositivo vinculado, ahí podrás decidir aprobar o denegar el acceso. De esta manera, siempre estarás al tanto de los intentos de acceso a tu cuenta. Es posible incluso, añadir un nivel más de seguridad, solicitando el desbloqueo del smartphone, ya sea con el pin, patron, huella digital o el método de desbloqueo que se tenga configurado.
No hay claves adicionales que recordar, no hay acciones complicadas que realizar, ni siquiera toma demasiado tiempo. Esta gran facilidad de uso en combinación con el alto grado de seguridad que ofrece,
Algunas otras compañías que ofrecen este tipo de autenticación son: Symantec Corporation, Twilio, SecureAuth, RSA Security, Gemalto, Okta Inc, entre otras.
Por supuesto como en cualquier otro cambio mayor, se necesita investigar cuál método se adapta mejor a las necesidades de cada compañía, también debe tomarse en cuenta cómo los usuarios responderán a este cambio.
Las organizaciones deben encontrar la manera de brindarle a sus usuarios las herramientas más seguras, cómodas y accesibles para protegerse. Por supuesto no podemos dejar de lado el costo, pero no olvidemos que una pequeña inversión, puede resultar en un gran ahorro tanto en tiempo como en dinero y esfuerzo.
