¿Qué es 2FA?

La mayoría de las personas están familiarizadas con los sistemas de seguridad de autenticación de dos factores (2FA) basados en texto SMS. En esta versión, una aplicación envía un código numérico al teléfono móvil del usuario al iniciar sesión. El usuario debe ingresar tanto su contraseña como este código para continuar. Ingresar solo uno u otro no es suficiente para la autenticación.

La 2FA es la forma más común de autenticación multifactor (MFA), que se refiere a cualquier método de autenticación donde los usuarios deben proporcionar más de un factor de autenticación para probar su identidad. 

Si bien la 2FA generalmente se asocia con sistemas informáticos, también puede proteger ubicaciones y activos físicos. Por ejemplo, un edificio restringido podría requerir que las personas exhiban un gafete de identificación y pasen un escaneo de huella digital para ingresar.

Según el Informe del costo de una filtración de datos de IBM, las credenciales comprometidas causan el 10 % de las filtraciones de datos. Las contraseñas son relativamente fáciles de robar para los actores de amenazas a través de ataques de phishing, spyware o fuerza bruta.

La autenticación de dos factores ayuda a fortalecer la seguridad de la cuenta al requerir un segundo factor. Los hackers no solo necesitan robar dos credenciales para entrar en un sistema, sino que el segundo factor suele ser algo difícil de hackear. Los segundos factores comunes incluyen las huellas dactilares y la biometría, las claves de physical security y los códigos de acceso que caducan.

Los factores de autenticación son las credenciales que los usuarios proporcionan para verificar su identidad. Los sistemas de autenticación de dos factores usan varios tipos de factores de autenticación, y los verdaderos sistemas 2FA emplean dos factores de dos tipos diferentes. 

El uso de dos tipos diferentes de factores se considera más seguro que el uso de dos factores del mismo tipo porque los hackers necesitan utilizar métodos diferentes para descifrar cada factor.

Por ejemplo, los hackers pueden robar la contraseña de un usuario infiltrando spyware en su computadora. Sin embargo, ese spyware no captaría códigos de acceso únicos en el teléfono del usuario. Los hackers necesitarían encontrar otra forma de interceptar esos mensajes. 
 
Los tipos comunes de factores de autenticación incluyen:

• Factores de conocimiento
• Factores de posesión
• Factores inherentes 
• Factores de comportamiento

Un factor de conocimiento es una pieza de información que, en teoría, solo el usuario sabría. Una contraseña es el factor de conocimiento más común. Los números de identificación personal (PIN) y las respuestas a las preguntas de seguridad también son habituales.

En la mayoría de las implementaciones de 2FA, un factor de conocimiento sirve como primer factor de autenticación. 

A pesar de su uso generalizado, los factores de conocimiento son el tipo más vulnerable de factor de autenticación. Los hackers pueden obtener contraseñas a través de ataques de phishing, malware o ataques de fuerza bruta en los que usan bots para generar y probar posibles contraseñas en una cuenta hasta que una funcione.

Tampoco otros tipos de factores de conocimiento presentan un gran desafío para los delincuentes cibernéticos. Las respuestas a muchas preguntas de seguridad, como la clásica “¿Cuál es el apellido de soltera de tu madre?”, pueden descifrarse fácilmente al realizar una investigación básica o por medio de ataques de ingeniería social que engañan a los usuarios para que divulguen información personal. 

La práctica común de exigir una contraseña y una pregunta de seguridad no es una verdadera 2FA porque utiliza dos factores del mismo tipo, en este caso, dos factores de conocimiento.

Dos factores de conocimiento serían un ejemplo de un proceso de verificación de dos pasos. El proceso tiene dos pasos:ingresar una contraseña y responder una pregunta, pero utiliza solo un tipo de factor.

La verificación en dos pasos puede ser más segura que una contraseña sola porque requiere dos pruebas. Sin embargo, debido a que estos son dos factores del mismo tipo, son más fáciles de robar que dos tipos diferentes de factores.

Los factores de posesión son cosas que una persona posee. Los dos tipos más comunes de factores de posesión son tokens de software y tokens de hardware.

Los tokens de software suelen adoptar la forma de contraseñas de un solo uso (OTP). Las OTP son códigos de acceso de 4 a 8 dígitos y de un solo uso que vencen después de un tiempo determinado. Los tokens de software pueden enviarse al teléfono del usuario por SMS, correo electrónico o mensaje de voz. Los tokens también pueden ser generados por una aplicación de autenticación instalada en el dispositivo.

Con un token de software, el dispositivo del usuario actúa como factor de posesión. El sistema 2FA asume que sólo el usuario legítimo tiene acceso a cualquier información entregada o generada por ese dispositivo. 

Si bien las OTP basadas en SMS son algunos de los factores de posesión más fáciles de usar, también son los menos seguros. Los usuarios necesitan una conexión a Internet o celular para recibir estos códigos de autenticación, y los hackers pueden usar ataques de phishing o ataques de intermediario para robarlos. 

Las OTP también son vulnerables a la clonación de SIM, en la que los delincuentes crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima y la utilizan para interceptar sus mensajes de texto.

Las aplicaciones de autenticación, como Google Authenticator, Authy, Microsoft Authenticator y Duo, pueden generar tokens sin una conexión de red. Un usuario vincula la aplicación de autenticación con un servicio, generalmente escaneando un código QR. Luego, la aplicación genera continuamente contraseñas de un solo uso basadas en el tiempo (TOTP) para el servicio emparejado. Cada TOTP vence en 30-60 segundos, lo que dificulta robarlas. 

Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP. Cuando un usuario inicia sesión en una cuenta, la aplicación envía una notificación push a su sistema operativo iOS o Android, que debe tocar para confirmar que el intento es legítimo.

Si bien las aplicaciones de autenticación son más difíciles de descifrar que los mensajes de texto, no son infalibles. Los hackers pueden usar malware para robar TOTP directamente de los autenticadores. También pueden lanzar ataques de fatiga de MFA, en los que inundan un dispositivo con notificaciones push fraudulentas con la esperanza de que la víctima confirme una accidentalmente. 

Los tokens de hardware son dispositivos dedicados, como llaveros, tarjetas de identificación o dongles, que funcionan como llaves de seguridad. Algunos tokens de hardware se conectan al puerto USB de una computadora y transmiten información de autenticación a la página de inicio de sesión. Otros tokens generan códigos de verificación para que el usuario los ingrese manualmente cuando se le da la instrucción.

Aunque los tokens de hardware son difíciles de hackear, pueden ser robados, al igual que los dispositivos móviles de los usuarios que contienen tokens de software. Según el Informe del costo de una filtración de datos de IBM, los dispositivos perdidos y robados son un factor en hasta un 6 % de las filtraciones de datos.

También llamados “factores biométricos”, los factores inherentes son características físicas o rasgos únicos del usuario, como las huellas dactilares, los rasgos faciales o los patrones de la retina. Muchos de los teléfonos inteligentes y computadoras portátiles que se fabrican hoy en día incorporan lectores faciales y de huellas dactilares, y muchas aplicaciones y sitios web pueden utilizar estos datos biométricos como factor de autenticación.

Aunque los factores inherentes son los más difíciles de descifrar, los resultados pueden ser desastrosos cuando estos se descifran. Si un hacker obtiene acceso a una base de datos biométrica, puede robar esos datos o vincular sus propios datos biométricos al perfil de otro usuario. Cuando los datos biométricos se ven comprometidos, no se pueden cambiar de forma rápida o sencilla, lo que dificulta detener los ataques en curso.

Los avances en la generación de imágenes de inteligencia artificial (IA) tienen a los expertos en ciberseguridad preocupados de que los hackers puedan usar estas herramientas para engañar al software de reconocimiento facial. 

Los factores de comportamiento son artefactos digitales que verifican la identidad de un usuario en función de patrones de comportamiento. Los ejemplos incluyen el rango de direcciones IP habitual de un usuario, la ubicación habitual y la velocidad promedio de escritura.

Los sistemas de autenticación de comportamiento utilizan IA y machine learning (ML) para determinar una referencia para los patrones normales de un usuario y marcar la actividad anómala, como el registro desde un nuevo dispositivo, número de teléfono o ubicación.

Algunos sistemas de autenticación de dos factores permiten a los usuarios registrar dispositivos de confianza como factores. Aunque es posible que el usuario tenga que proporcionar dos factores en el primer inicio de sesión, el uso del dispositivo de confianza actúa automáticamente como segundo factor en el futuro.

Los factores de comportamiento también desempeñan un papel en los sistemas de autenticación adaptativa, que cambian los requisitos de autenticación en función del nivel de riesgo. Por ejemplo, es posible que un usuario solo necesite una contraseña para iniciar sesión en una aplicación desde un iPhone de confianza en la red de la compañía. Es posible que ese usuario deba agregar un segundo factor para iniciar sesión desde un dispositivo nuevo o una red desconocida. 

Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios finales, requieren recursos y experiencia significativos para desplegarlos. Además, si un hacker obtiene acceso a un dispositivo confiable, puede hacerse pasar por el usuario.  

Los sistemas de autenticación de dos factores sin contraseña solo aceptan factores de posesión, inherentes y de comportamiento, no factores de conocimiento. Por ejemplo, pedirle a un usuario una huella digital junto con un token físico constituiría una 2FA sin contraseña.

La autenticación sin contraseña elimina los factores de conocimiento porque son fáciles de comprometer. Aunque la mayoría de los métodos de 2FA actuales utilizan contraseñas, los expertos de la industria prevén un futuro cada vez más sin contraseñas. 

Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas más comunes de autenticación sin contraseña. Emplean criptografía de clave pública para verificar la identidad de un usuario.

Según el Informe del costo de una filtración de datos, las credenciales comprometidas y el phishing se encuentran entre los vectores de ciberataque más comunes más comunes. En conjunto, representan alrededor del 26 % de las filtraciones de datos. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los hackers pueden utilizar para secuestrar cuentas y dispositivos legítimos, y causar estragos.

Los hackers suelen atacar las contraseñas porque son comparativamente fáciles de descifrar mediante fuerza bruta o engaño. Además, debido a que las personas reutilizan contraseñas, los hackers a menudo pueden usar una sola contraseña robada para ingresar a varias cuentas. Las consecuencias de una contraseña robada pueden ser significativas para los usuarios y las organizaciones, lo que lleva al robo de identidad, el robo monetario, el sabotaje del sistema y más.

La autenticación de dos factores ayuda a frustrar el acceso no autorizado al agregar una capa adicional de seguridad a los sistemas de gestión de identidad y acceso (IAM). Incluso si los hackers pueden robar una contraseña, aún necesitan un segundo factor para obtener acceso a una cuenta. 

Además, estos segundos factores suelen ser más difíciles de robar que un factor de conocimiento. Los hackers tendrían que falsificar datos biométricos, imitar comportamientos o robo de dispositivos físicos. 

Los métodos de autenticación de dos factores también pueden ayudar a las organizaciones a cumplir con ciertas obligaciones de cumplimiento. Por ejemplo, la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) exige explícitamente MFA para los sistemas que manejan datos de tarjetas de pago.

Otras regulaciones, incluyendo la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD), no exigen explícitamente la 2FA. Sin embargo, la 2FA puede ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.

Si bien la autenticación de dos factores es más sólida que los métodos de autenticación de un solo factor (especialmente aquellos que usan solo contraseñas), la 2FA no es infalible. Específicamente, los hackers pueden abusar de los sistemas de recuperación de cuentas para eludir la 2FA y apoderarse de una cuenta.

Por ejemplo, un hacker puede hacerse pasar por un usuario válido que ha perdido el acceso y necesita restablecer las credenciales de su cuenta. Los sistemas de recuperación de cuentas a menudo requieren otros medios de autenticación, como la respuesta a una pregunta de seguridad. Si esa pregunta es tan básica como "apellido de soltera de la madre", el hacker puede descubrir la respuesta con un poco de investigación. El hacker puede restablecer la contraseña de la cuenta, bloqueando al usuario real.  

Los hackers también pueden comprometer una cuenta al obtener acceso a otra. Por ejemplo, si un atacante quiere entrar en un sistema corporativo confidencial, primero podría apoderarse de la cuenta de correo electrónico de un usuario. A continuación, pueden aplicar un restablecimiento de la contraseña con el sistema corporativo, que envía un correo electrónico a la cuenta que ahora tiene bajo su control el hacker.

La 2FA basada en SMS, quizás la forma más común de 2FA, puede hackearse mediante ingeniería social sofisticada. El atacante puede hacer pasar por su objetivo y llamar a su proveedor de telefonía y argumentar que le robaron el teléfono y que debe transferir su número a uno nuevo. Luego, los OTP se envían al teléfono que controla el hacker en lugar del teléfono del objetivo.  

Los usuarios pueden defenderse contra estos ataques asegurándose de que todas sus cuentas, desde cuentas de correo electrónico hasta cuentas con proveedores de telefonía, requieran una 2FA o MFA sólida. Configurar MFA en todo dificulta que los hackers usen una cuenta para comprometer otra.

Los usuarios también pueden asegurarse de que los factores de autenticación que elijan sean difíciles de descifrar. Los datos biométricos y los tokens de physical security, por ejemplo, son más difíciles de robar que las respuestas a preguntas de seguridad.