¿Qué es la Autenticación Multifactor y por qué utilizarla?
La semana pasada hablamos de cómo protegernos de un filtrado de datos personales, entre las recomendaciones estaba utilizar Autenticación Multifactor. Hoy vamos a profundizar en este concepto.
Los métodos de Verificación de Identidad Electrónica tradicionales usan un enfoque de 2 fases. En la primera fase se le pide al usuario que diga quién es, usando su nombre, teléfono, fecha de nacimiento, número de cédula, etc. La segunda fase requiere que el usuario demuestre quien es, utilizando información privada que sólo su dueño debería conocer. Este método, llamado Autenticación Basada en Conocimiento lleva muchos años siendo el estándar de la industria pero, como muchas otras prácticas seguridad, se está volviendo obsoleto. Mucha de la información utilizada es fácil de obtener o adivinar y los atacantes tienen herramientas cada vez más sofisticadas.
La evolución de los actores maliciosos y sus ataques ha causado que se busquen nuevas y más seguras formas de autenticación. La más prominente actualmente es MFA o Autenticación Multifactor. Este método se basa en colocar capas adicionales de seguridad obligando al usuario a probar su identidad utilizando 2 o más factores. Estos factores generalmente incluyen:
- Algo que sabes: contraseña, PIN
- Algo que tienes: dispositivo móvil, tarjeta de proximidad, memoria USB, token de seguridad
- Algo que eres: huella digital, reconocimiento facial, retina, iris, reconocimiento de voz
Cuando sólo usamos una contraseña, los atacantes lo único que deben conseguir para hacerse pasar por el usuario es dicha contraseña. Al combinar 2 o más de los factores mencionados, reducimos considerablemente la capacidad de los atacantes de obtener acceso a nuestra información.
La combinación más común que vemos hoy en día es la de contraseña (factor de conocimiento) más dispositivo móvil (factor físico). Se utiliza un mensaje de texto con un código, o una notificación push desde una aplicación en el teléfono para corroborar la identidad del usuario. Adicionalmente se está volviendo cada vez más común utilizar la variable del tiempo para agregar una capa adicional, haciendo que el código enviado al celular del usuario tenga una duración establecida y caduque después de que transcurra el tiempo establecido. Para que un atacante pueda hacerse pasar por el usuario necesitaría no sólo la contraseña, sino también acceso a ver el teléfono del usuario en la ventana de tiempo específica durante la cual está vigente el código de confirmación.
Cada vez es más común que los diferentes servicios que usamos nos den la posibilidad de utilizar MFA, sobre todo en servicios bancarios o financieros. Les recomendamos que siempre que esté disponible, adopten estas herramientas para proteger mejor su información personal.