Publicado: 20 de diciembre de 2023
Colaboradores: Matthew Kosinski, Amber Forrest
La autenticación de dos factores o 2FA es un método de verificación de identidad en el que los usuarios deben proporcionar dos pruebas, como una contraseña y un código de acceso único, para demostrar su identidad y obtener acceso a una cuenta en línea u otros recursos confidenciales.
Es probable que la mayoría de los usuarios de Internet estén familiarizados con los sistemas 2FA basados en texto SMS. En esta versión, una aplicación envía un código numérico al teléfono móvil del usuario cuando inicia sesión. El usuario debe introducir tanto su contraseña como este código para continuar. Introducir solo uno no es suficiente.
La 2FA es la forma más común de autenticación multifactor (MFA), que hace referencia a cualquier método de autenticación donde los usuarios deben proporcionar al menos dos pruebas.
La 2FA se ha adoptado ampliamente porque ayuda a fortalecer la seguridad de la cuenta. Las contraseñas de los usuarios se pueden descifrar o falsificar fácilmente. 2FA añade otro nivel de seguridad al requerir un segundo factor. Los hackers no solo deben robar dos credenciales para entrar en un sistema, sino que el segundo factor suele ser algo difícil de hackear, como una huella dactilar o un código de acceso limitado por tiempo.
IBM ha sido reconocida como líder en el último informe Gartner Magic Quadrant for Access Management
Suscríbase al boletín de IBM
Cuando un usuario intenta acceder a un recurso protegido por un sistema de seguridad 2FA, como una red corporativa, por ejemplo, el sistema le pide al usuario que introduzca su primer factor de autenticación. A menudo, este primer factor es una combinación de nombre de usuario/contraseña.
Si el primer factor es válido, el sistema solicita un segundo. Suele haber más variación en los segundos factores, que pueden ir desde códigos temporales hasta datos biométricos, entre otros. El usuario solo puede acceder al recurso si ambos factores se desbloquean.
Si bien 2FA generalmente se asocia con sistemas informáticos, también puede proteger ubicaciones y activos físicos. Por ejemplo, un edificio restringido podría requerir que las personas muestren una tarjeta de identificación y pasen un escaneo de huellas dactilares para ingresar.
Existen varios tipos de factores de autenticación que pueden utilizar los sistemas 2FA, y los sistemas verdaderos de 2FA utilizan dos factores de dos tipos diferentes. El uso de dos tipos diferentes de factores se considera más seguro que el uso de dos factores del mismo tipo, ya que los hackers necesitan utilizar métodos distintos para descifrar cada factor.
Por ejemplo, los hackers podrían robar la contraseña de un usuario instalando un software espía en su ordenador. Sin embargo, ese spyware no detectaría códigos de acceso únicos en el teléfono del usuario. Los hackers tendrían que encontrar otra forma de interceptar esos mensajes.
En la mayoría de las implementaciones de 2FA, un factor de conocimiento sirve como primer factor de autenticación. Un factor de conocimiento es un fragmento de información que, en teoría, solo el usuario conocería. Una contraseña es el factor de conocimiento más común. Los números de identificación personal (PIN) y las respuestas a las preguntas de seguridad también son típicos.
A pesar de su uso generalizado, los factores de conocimiento en general, y las contraseñas en particular, son el tipo de factor de autenticación más vulnerable. Los hackers pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, instalar malware en los dispositivos de los usuarios o estadificar ataques de fuerza bruta en los que utilizan bots para generar y probar contraseñas potenciales en una cuenta hasta que funcione.
Otros tipos de factores de conocimiento no presentan un desafío mucho mayor. Respuestas a muchas preguntas de seguridad, como la clásica "¿Cuál es el segundo apellido de su madre?": se puede descifrar fácilmente mediante investigaciones básicas o ataques de ingeniería social que engañan a los usuarios para que divulguen información personal.
Vale la pena señalar que la práctica común de requerir una contraseña y una pregunta de seguridad no es verdadera 2FA porque utiliza dos factores del mismo tipo. En este caso, dos factores de conocimiento. Más bien, este sería un ejemplo de un proceso de verificación en dos pasos.
La verificación en dos pasos puede ser más segura que una contraseña sola porque requiere dos factores. Aun así, porque estos son dos factores del mismo tipo, son más fáciles de robar que los verdaderos factores de 2FA.
Los factores de posesión son cosas que una persona posee y que puede usar para autenticarse. Los dos tipos más comunes de factores de posesión son los tokens de software y los tokens de hardware.
Los tokens de software suelen adoptar la forma de contraseñas únicas (OTP). Los OTP son códigos de acceso de 4 a 8 dígitos de un solo uso que caducan después de un período de tiempo determinado. Los tokens de software se pueden enviar al teléfono de un usuario a través de un mensaje de texto (o correo electrónico o mensaje de voz) o generarse mediante una aplicación de autenticación instalada en el dispositivo.
En cualquier caso, el dispositivo del usuario actúa esencialmente como el factor de posesión. El sistema 2FA asume que solo el usuario legítimo tendrá acceso a cualquier información compartida o generada por ese dispositivo.
Aunque las OTP basadas en SMS son algunos de los factores de posesión más fáciles de utilizar, también son los menos seguros. Los usuarios necesitan una conexión a Internet o celular para recibir estos códigos, y los piratas informáticos pueden robarlos a través de sofisticados ataques de phishing o ataques de intermediario (man-in-the-middle). Las OTP también son vulnerables a la clonación de SIM, en la que los delincuentes crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima y lo usan para interceptar sus mensajes de texto.
Las aplicaciones de autenticación pueden generar tokens sin una conexión de red. El usuario empareja la aplicación con sus cuentas y la aplicación utiliza un algoritmo para generar continuamente contraseñas únicas basadas en el tiempo (TOTP). Cada TOTP caduca en 30-60 segundos, lo que dificulta robar. Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP; cuando un usuario intenta iniciar sesión en una cuenta, la aplicación envía una notificación push a su teléfono, que debe tocar para confirmar que el intento es legítimo.
Las aplicaciones de autenticación más comunes incluyen Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator y Duo. Si bien estas aplicaciones son más difíciles de descifrar que los mensajes de texto, no son infalibles. Los hackers pueden usar malware especializado para robar los TOTP directamente de los autenticadores1 o lanzar ataques de fatiga de MFA, con los que bombardean a un dispositivo con notificaciones push fraudulentas con la esperanza de que la víctima confirme accidentalmente una.
Los tokens de hardware son dispositivos dedicados (llaveros, tarjetas de identificación, dongles) que funcionan como llaves de seguridad. Algunos tokens de hardware se conectan al puerto USB de un ordenador y transmiten la información de autenticación a la página de inicio de sesión; otros generan códigos de verificación para que el usuario la introduzca manualmente cuando se le solicite.
Si bien los tokens de hardware son extremadamente difíciles de piratear, se pueden robar, al igual que los dispositivos móviles de los usuarios que contienen tokens de software. De hecho, los dispositivos perdidos y robados son un factor en hasta el 6 por ciento de las vulneraciones de datos, según el informe "Coste de una filtración de datos" de IBM.
Los factores inherentes también llamados "biométricos" son características físicas o rasgos únicos para el usuario, como huellas dactilares, características faciales y patrones retinianos. Muchos smartphones y portátiles producidos hoy en día tienen lectores integrados de rostro y huellas dactilares, y muchas aplicaciones y sitios web pueden utilizar estos datos biométricos como factor de autenticación.
Aunque los factores inherentes son los más difíciles de romper, pueden ser desastrosos cuando están. En 2019, se vulneró una base de datos biométrica que contenía 1 millones de huellas dactilares de los usuarios.2 En teoría, los hackers podrían robar estas huellas dactilares o vincular sus propias huellas dactilares al perfil de otro usuario en la base de datos.
Además, los avances en la generación de imágenes de IA tienen expertos en ciberseguridad preocupados por que los hackers puedan utilizar estas herramientas para engañar al software de reconocimiento facial.
Cuando los datos biométricos se ven comprometidos, no se pueden cambiar de forma rápida o fácil, lo que dificulta detener los ataques en curso.
Los factores conductuales son artefactos digitales que verifican la identidad de un usuario en función de los patrones de comportamiento. Algunos ejemplos son el rango de direcciones IP típico de un usuario, la ubicación habitual y la velocidad media de escritura.
Los sistemas de autenticación de comportamiento utilizan inteligencia artificial para determinar una línea de base para los patrones normales de los usuarios y marcar actividades anómalas, como iniciar sesión desde un nuevo dispositivo, número de teléfono o ubicación. Algunos sistemas 2FA aprovechan los factores de comportamiento al permitir que los usuarios registren dispositivos de confianza como factores de autenticación. Aunque es posible que el usuario tenga que proporcionar dos factores al iniciar sesión por primera vez, el uso del dispositivo de confianza actuará automáticamente como segundo factor en el futuro.
Los factores de comportamiento también desempeñan un papel en los sistemas de autenticación adaptativa, que cambian los requisitos de autenticación en función del nivel de riesgo. Por ejemplo, es posible que un usuario solo necesite una contraseña para iniciar sesión en una aplicación desde un dispositivo de confianza en la red de la empresa, pero puede que deba agregar un segundo factor para iniciar sesión desde un nuevo dispositivo o una red desconocida.
Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios finales, su implementación requiere importantes recursos y experiencia. Además, si un pirata informático obtiene acceso a un dispositivo de confianza, puede hacerse pasar por el usuario.
Dado que los factores de conocimiento son tan fáciles de comprometer, muchas organizaciones están explorando sistemas de autenticación sin contraseña que sólo aceptan factores de posesión, inherentes y de comportamiento. Por ejemplo, pedir a un usuario una huella dactilar y un token físico constituiría una configuración de 2FA sin contraseña.
Si bien la mayoría de los métodos actuales de 2FA utilizan contraseñas, los expertos del sector anticipan un futuro cada vez más sin contraseñas. Los principales proveedores de tecnología, como Google, Apple, IBM y Microsoft, han empezado a implementar opciones de autenticación sin contraseña.3
Según el informe "Coste de una filtración de datos" de IBM, el phishing y las credenciales comprometidas se encuentran entre los vectores de ciberataque más comunes. Juntos, representan el 31 % de las vulneraciones de datos. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los hackers pueden utilizar para secuestrar cuentas y dispositivos legítimos y causar estragos.
Los hackers suelen centrarse en las contraseñas porque son bastante fáciles de descifrar mediante fuerza bruta o engaño. Además, como la gente reutiliza las contraseñas, los piratas informáticos a menudo pueden utilizar una sola contraseña robada para entrar en varias cuentas. Las consecuencias de una contraseña robada pueden ser importantes para los usuarios y las organizaciones, ya que pueden dar lugar a robos de identidad, robos monetarios, sabotaje del sistema, etc.
La 2FA ayuda a combatir el acceso no autorizado añadiendo una capa adicional de seguridad. Incluso si los hackers pueden robar una contraseña, aún necesitan un segundo factor para entrar. Además, estos segundos factores suelen ser más difíciles de robar que un factor de conocimiento; los hackers tendrían que falsificar datos biométricos, imitar comportamientos o robar dispositivos físicos.
Las organizaciones también pueden utilizar métodos de autenticación de dos factores para cumplir con los requisitos de cumplimiento. Por ejemplo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) requiere explícitamente MFA para los sistemas que gestionan los datos de las tarjetas de pago.4 Otras regulaciones, como la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD), no requieren explícitamente 2FA. Sin embargo, la 2FA puede ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.
En algunos casos, las organizaciones se han visto obligadas a adoptar la autenticación multifactorial a raíz de las vulneraciones de datos. Por ejemplo, en 2023, la Comisión Federal de Comercio ordenó al vendedor de bebidas alcohólicas en línea Drizly que implementara la MFA tras una infracción que afectó a 2,5 millones de clientes.5
Añada un contexto profundo, inteligencia y seguridad a las decisiones sobre qué usuarios deben tener acceso a los datos y aplicaciones de su organización, localmente o en la nube.
Infunde el IAM en la nube con el contexto profundo necesario para la autenticación basada en riesgos. Permita un acceso seguro y de baja fricción para sus consumidores y empleados con las soluciones IAM en la nube IBM Security Verify.
Vaya más allá de la autenticación básica con opciones de autenticación multifactor o sin contraseña.
La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad centrada en la gestión de las identidades de los usuarios y los permisos de acceso en una red informática.
La autenticación multifactor (MFA) es un método de verificación de identidad que requiere que los usuarios proporcionen dos o más pruebas para demostrar sus identidades.
Prepárese mejor para las vulneraciones de datos comprendiendo sus causas y los factores que aumentan o reducen sus costes.
Notas a pie de página
Todos los vínculos residen fuera de ibm.com
1 Android malware can steal Google Authenticator 2FA codes, ZDNET, 26 de febrero de 2020
2 '1m fingerprint' data leak raises doubts over biometric security, ScienceDirect, septiembre de 2019
3 You no longer need a password to sign in to your Google account, The Verge, 3 de mayo de 2023
4 PCI DSS: v4.0, Consejo de Normas de Seguridad, marzo de 2022
5 In the Matter of Drizly, LLC, Comisión Federal de Comercio, 10 de enero de 2023