La autenticación de multifactores (MFA, por sus siglas en inglés) es un método de verificación de identidad que requiere que los usuarios proporcionen al menos un factor de autenticación además de una contraseña, o al menos dos factores de autenticación en lugar de una contraseña, para ganar acceso a un sitio web, aplicación o red.
Como cuesta más hackear varios factores de autenticación que solo una contraseña, y como otros tipos de factores son más difíciles de robar o falsificar que las contraseñas, la MFA protege mejor a una organización del acceso no autorizado que la autenticación de un solo factor (nombre de usuario y contraseña).
La MFA se ha convertido en un componente base de las estrategias de gestión de accesos e identidades de muchas organizaciones. Con frecuencia, es un método de autenticación exigido o recomendado en muchos sectores y agencias gubernamentales. La mayoría de los empleados o usuarios de Internet se han encontrado alguna vez con un subtipo de MFA, llamado autenticación de dos factores (2FA), que requiere que los usuarios proporcionen una contraseña y un segundo factor – normalmente un código de acceso enviado a un teléfono móvil o correo electrónico – para iniciar sesión en un sistema o sitio web. Pero cualquiera que haya accedido a un cajero automático utilizando una tarjeta bancaria y un número de identificación personal (PIN) ha utilizado una forma de MFA.
La MFA confunde a los hackers en dos niveles. En el nivel más básico, resulta más difícil hackear dos o más factores que solo uno. Pero, en última instancia, la intensidad de cualquier esquema de MFA depende de los tipos de factores de autenticación que requiere que proporcione un usuario.
Factores de conocimiento: algo que el usuario sabe
Los factores de conocimiento son informaciones que, en teoría, solo el usuario el usuario debería conocer, como contraseñas, PIN y respuestas a preguntas de seguridad. Los factor de conocimiento son el tipo de factor de autenticación más utilizado pero también el más vulnerable. Los hackers pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, instalando grabadoras de teclas o spyware en los dispositivos de los usuarios, o ejecutando scripts o bots que generan y prueban posibles contraseñas hasta que una funciona.
Otros factores de conocimiento tampoco presentan un gran reto. Las respuestas a algunas preguntas de seguridad pueden ser descifradas por un hacker que conozca al usuario o que investigue un poco en las redes sociales. Otros pueden ser relativamente fáciles de adivinar. No es de extrañar que las credenciales comprometidas fueran el vector de ataque inicial más explotado en 2022, según el estudio del coste de una brecha de seguridad en los datos de 2022 de IBM.
Una idea errónea muy extendida es que requerir dos factores de conocimiento, como una contraseña y la respuesta a una pregunta de seguridad, constituye MFA. Requerir un segundo factor de conocimiento proporciona cierta seguridad adicional, pero una MFA verdadera requiere el uso de dos o más tipos de factores.
Factores de posesión: algo que tiene el usuario
Los factores de posesión son objetos físicos que los usuarios tienen consigo, como un fob o una tarjeta de identificación que otorga acceso a un mecanismo de bloqueo físico, un dispositivo móvil con una aplicación de autenticación instalada o una tarjeta inteligente que contiene información de autenticación.
Muchas implementaciones de MFA utilizan un método denominado "teléfono como identificador", en el cual el teléfono móvil del usuario recibe o genera la información que necesita para convertirse en un factor de posesión. Como se ha indicado anteriormente, la MFA normalmente envía una contraseña única (OTP, por sus siglas en inglés) al teléfono de una persona a través de un mensaje de texto, un correo electrónico o una llamada telefónica. Pero las OTP también pueden generarse mediante aplicaciones móviles especiales llamadas aplicaciones de autenticación. Y algunos sistemas de autenticación envían notificaciones push que los usuarios pueden simplemente aceptar para confirmar su identidad.
Otros sistemas de soluciones MFA utilizan identificadores (o tokens) físicos o claves de seguridad de hardware dedicadas. Algunos identificadores físicos se conectan al puerto USB de un ordenador y transmiten información de autenticación a la página de inicio. Otros generan OTP para que el usuario las introduzca.
Los factores de posesión ofrecen ciertas ventajas sobre los factores de conocimiento. Los actores maliciosos deben tener el factor en sus manos en el momento de iniciar sesión para suplantar a un usuario. Como operan sobre una red (SMS) distinta a la aplicación (IP), un hacker necesitaría interceptar dos canales de comunicación diferentes para robar las credenciales. Incluso si un hacker pudiera obtener una OTP, necesitaría obtenerla y utilizarla antes de que caducara y no podría volverla a utilizar.
Pero existen riesgos. Debido a que son objetos (y generalmente pequeños), los identificadores físicos pueden ser robados, perderse o extraviarse. Si bien las OTP son más difíciles de robar que las contraseñas tradicionales, aún son susceptibles a ataques sofisticados de phishing o de intermediario (man-in-the-middle), o a la clonación de SIM, en la cual los actores maliciosos crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima.
Factores inherentes: algo exclusivo del usuario como persona
Factores inherentes, también llamados biométrica, son características físicas o rasgos exclusivos del usuario. Las huellas dactilares, la voz, los rasgos faciales o los patrones del iris y la retina de una persona son ejemplos de factores inherentes. Muchos dispositivos móviles actuales pueden desbloquearse mediante la huella dactilar o el reconocimiento facial y algunos ordenadores pueden utilizar las huellas dactilares para especificar contraseñas en sitios web o aplicaciones.
Los factores inherentes son los factores más difíciles de hackear. No pueden olvidarse, perderse ni extraviarse, y son extraordinariamente difíciles de replicar.
Pero eso no significa que sean infalibles. Si los factores inherentes se almacenan en una base de datos, pueden ser robados. Por ejemplo, en 2019, se vulneró una base de datos biométrica que contenía un millón de huellas dactilares de usuarios. Teóricamente, los hackers podían robar esas huellas digitales o vincular sus propias huellas digitales al perfil de otro usuario en la base de datos.
Cuando se comprometen datos biométricos, no se pueden cambiar de forma rápida ni sencilla, la cual cosa dificulta la detención de los ataques en curso para las víctimas.
Factores de comportamiento: algo que hace el usuario
Los factores de comportamiento son artefactos digitales que verifican la identidad de un usuario en función de patrones de comportamiento. Un rango de direcciones IP, o datos de la ubicación desde la cual un usuario normalmente inicia sesión en una aplicación, son ejemplos de factores de comportamiento.
Las soluciones de autenticación de comportamiento utilizan inteligencia artificial para determinar una línea base para los patrones de comportamiento normal de los usuarios y, finalmente, señalan la actividad anómala, como el inicio de sesión desde un nuevo dispositivo, número de teléfono, navegador web o ubicación. También se suelen utilizar en esquemas de autenticación adaptativa (también llamada autenticación basada en riesgo), en los cuales los requisitos de autenticación se modifican cuando el riesgo cambia, como cuando un usuario intenta iniciar sesión desde un dispositivo que no es de confianza, intenta acceder a una aplicación por primera vez o trata de acceder a datos especialmente sensibles.
Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios, su despliegue requiere una cantidad significativa de recursos y experiencia. Además, si un hacker obtiene acceso a un dispositivo de confianza, puede utilizarlo como factor de autenticación.
Debido a que los factores de conocimiento comprometido son el vector inicial más común en las brechas de ciberseguridad, muchas organizaciones están explorando la autenticación sin contraseña. La autenticación sin contraseña se basa en factores inherentes, de comportamiento y de posesión para verificar identidades. La autenticación sin contraseña reduce el riesgo de ataques de phishing y relleno de credenciales (credencial stuffing), en los que los hackers utilizan credenciales robadas de un sistema para obtener acceso a otro.
Si bien la autenticación sin contraseña elimina lo que generalmente se considera el eslabón más débil en la cadena de verificación de identidad, aún es susceptible a las vulnerabilidades de factores inherentes, de comportamiento y de posesión. Las organizaciones pueden mitigar estas vulnerabilidades implementando un enfoque en el que los usuarios deben proporcionar varios tipos de credenciales de autenticación de factor que no sean de conocimiento. Por ejemplo, solicitar a un usuario una huella dactilar y un identificador físico constituiría MFA sin contraseña.
En respuesta a la creciente oleada de ciberataques, el gobierno y las agencias gubernamentales han comenzado a requerir MFA para los sistemas que manejan datos sensibles. En 2020, el Servicio de Impuestos Internos (IRS, por sus siglas en inglés) implantó MFA para los proveedores de sistemas de preparación de impuestos en línea. De acuerdo con la orden ejecutiva del presidente Joseph Biden de 2021 sobre la mejora de la ciberseguridad de la nación, la MFA es ya un requisito para todas las agencias federales. Un memorando de seguimiento establece que toda la seguridad nacional, el Departamento de Defensa y los sistemas de comunidad de la información deben implementar MFA antes del 18 de agosto de 2022.
Un buen número de regulaciones del sector, incluido el Payment Card Industry Data Security Standard (PCI-DSS), requieren específicamente MFA para los sistemas que manejan datos de tarjetas de crédito y débito. Muchas otras regulaciones, incluidas Sarbanes-Oxley (SOX) e HIPAA, recomiendan encarecidamente la MFA como elemento fundamental para garantizar la conformidad normativa. Algunas regulaciones estatales llevan años exigiendo MFA. Las empresas que no han cumplido con las disposiciones de MFA de la normativa sobre ciberseguridad 23 NYCRR 500 de 2017 del Departamento de Servicios Financieros de Nueva York (NYDFS) han recibido sanciones de hasta 3 millones de dólares (enlace externo a ibm.com).
Inicio de sesión único (SSO, por sus siglas en inglés) es un método de autenticación que permite a los usuarios acceder a varias aplicaciones y servicios relacionados a través de un conjunto de credenciales de inicio de sesión. El usuario inicia sesión una vez, y una solución SSO autentica su identidad y genera un identificador de autenticación de sesión. Este identificador actúa como clave de seguridad del usuario para varias aplicaciones y bases de datos interconectadas.
Para aliviar el riesgo de depender de un conjunto único de credenciales de inicio de sesión para varias aplicaciones, las organizaciones normalmente requieren autenticación adaptativa para SSO. El SSO adaptativo aplica la funcionalidad de la autenticación adaptativa a los esquemas de SSO. Si un usuario muestra un comportamiento anormal al intentar iniciar sesión a través de SSO, o durante su sesión autenticada por SSO, se le pedirá que proporcione factores de autenticación adicionales. Ejemplos de comportamiento anormal podrían incluir conectarse a través de una VPN no reconocida o acceder a una aplicación o datos no cubiertos por el identificador de autenticación de sesión del usuario.
Las arquitecturas de ciberseguridad de confianza cero, en las cuales nunca se confía en la identidad de un usuario y, por tanto, siempre se verifica, a menudo utilizan una combinación de SSO adaptativo y MFA para la autenticación. Al verificar continuamente la identidad del usuario a lo largo de la sesión y solicitar factores de autenticación adicionales basados en el riesgo, el SSO adaptativo y la MFA refuerzan la gestión de accesos sin obstaculizar la experiencia del usuario.
Conecte a cada usuario con el nivel preciso de acceso con la solución IBM Security® Verify IAM.
Centralice el control de acceso para aplicaciones en local y cloud.
Vaya más allá de la autenticación básica con opciones para la autenticación de multifactores o sin contraseña.
Proteja a los usuarios y activos con la autenticación basada en riesgos asistida por IA con IBM Security Verify.
Aplique la IAM en cloud con contexto detallado para la autenticación basada en riesgos para obtener acceso seguro y fluido.
Infunda confianza de riesgo en los sistemas de IAM para proporcionar una autenticación más inteligente con el software IBM Security Verify Trust.
Descubra soluciones de seguridad en torno a cada usuario, cada dispositivo y cada conexión.
Obtenga visibilidad, gestión y seguridad para puntos finales y usuarios
Conozca su entorno de ciberseguridad y priorice las iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de análisis de Design Thinking de 3 horas, virtual o presencial y sin coste alguno.
Conozca por qué IAM es una parte fundamental de su programa de seguridad para ayudar a proteger los datos mediante el control del acceso a la red corporativa.
Descubra cómo implementar MDM en las herramientas y aplicaciones de productividad, garantizando la protección de los datos corporativos.
Conozca por qué las amenazas internas son peligrosas, los tipos de amenazas internas, indicadores, cómo mitigarlas y las soluciones de IBM.
Descubra por qué la seguridad de los datos es más importante que nunca. Conozca los tipos de seguridad de datos, las estrategias, las tendencias y las soluciones de seguridad de datos de IBM.
Conozca los riesgos de un ciberataque gracias a una visión global del panorama de las amenazas.