Las empresas necesitan algo más que la autenticación de dos factores para mantener a los usuarios seguros

Calvin Dexter/Getty Images

Todos conocemos los conceptos básicos de la ciberdelincuencia, como los correos electrónicos de suplantación de identidad con enlaces o archivos adjuntos maliciosos o las llamadas telefónicas de servicios de ayuda falsos que buscan apoderarse de su ordenador.

Pero los planes en el mundo cibernético siguen siendo cada vez más sofisticados. Uno de losúltimas estafas hace que los piratas informáticos roben números de teléfono para agotar cuentas de criptomonedas, como Bitcoin. ¿Cómo? Los piratas informáticos han identificado un punto débil en la forma en que utilizamos nuestros teléfonos para autenticar nuestras identidades ante los proveedores de servicios móviles y en las cuentas en línea. Están explotando esta debilidad para robar todo lo que tienen en sus manos. Y todo se basa en la autenticación de dos factores o 2FA.

Si ha activado la autenticación de dos factores en Twitter, Facebook o Google, probablemente haya recibido una contraseña de un solo uso, por mensaje de texto SMS, para iniciar sesión o realizar cambios en la cuenta. Muchas carteras y servicios de criptomonedas online también utilizan los mensajes de texto SMS como segunda forma de autenticación, además de la contraseña que utiliza para acceder a su cuenta. Con los recientes secuestros de teléfonos móviles, lo que están atacando es su número de teléfono como método de comunicación.

El objetivo final aquí es transferir el número de teléfono de una persona a un teléfono desechable o a una tarjeta SIM que no pueda rastrearse hasta el atacante. Cuando el atacante pueda recibir los mensajes de texto SMS destinados a su objetivo, podrá utilizar la práctica pregunta «¿Ha olvidado su contraseña?» enlace en diferentes páginas de inicio de sesión y compruebe su identidad haciéndose pasar por la víctima.

Las contraseñas de un solo uso, ya se entreguen por SMS o correo electrónico, suelen ser la primera forma de autenticación de dos factores que las empresas adoptan para mejorar sus medidas de seguridad. Aunque los ataques móviles son una amenaza creciente para él, este método se sigue considerando beneficioso. En los recientes robos de criptomonedas, se podría argumentar que la autenticación por SMS pasó a ser más un vector de ataque que una medida de seguridad.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

Entonces, ¿cómo defendemos nuestra información contra este último método y contra un fraude de autenticación más amplio? ¿No tendría más sentido si pudiéramos hacer que el proceso de autenticación fuera más inteligente y consciente de los riesgos? Una forma de avanzar es utilizar las notificaciones automáticas para vincular su identidad a un dispositivo y no a su número de teléfono. Las aplicaciones de autenticación son un buen punto de partida para este tipo de funciones (Divulgación: IBM Verify, que ofrece mi empresa, es una de ellas).

Si bien las notificaciones push son una solución para este problema específico, la mejor solución para las empresas es entender mejor todos los puntos de autenticación de su entorno de seguridad. Las empresas y las pymes deberían considerar la posibilidad de utilizar soluciones de gestión y acceso a la identidad para permitir el acceso a los recursos y las aplicaciones, ya sea en la nube, en las instalaciones o en una nube híbrida. Las soluciones modernas gestionan la incorporación y la desincorporación de usuarios, el acceso a las certificaciones y la separación de funciones para ayudar a las organizaciones a cumplir con reglamentos como el GDPR y la PSD2.

Las empresas que analizan detenidamente sus factores de riesgo suelen elegir la solución más sólida posible: la autenticación multifactorial. La mayoría de las instituciones financieras más grandes han adoptado este enfoque por capas para autenticar las identidades en varios puntos de la experiencia del usuario. Por ejemplo, el usuario proporcionará un PIN, una contraseña o una huella digital para iniciar sesión en una aplicación de banca móvil y, si el sistema detecta algún factor de riesgo adicional, es posible que necesite otras formas de autenticación. Si el dispositivo móvil del usuario informa de que se encuentra en un lugar fuera de los patrones de viaje normales del usuario, por ejemplo, el sistema podría marcar la sesión por posible fraude y enviar la siguiente impugnación al usuario, para asegurarse de que es quien dice ser.

La otra capa de seguridad que se despliega ahora para autenticar las identidades es el análisis del comportamiento, que se utiliza para complementar la autenticación multifactorial. Esto permite a los equipos de seguridad aumentar o reducir la seguridad requerida, en función no solo del valor de los datos o la transacción, sino también de los riesgos de seguridad que se presenten a lo largo de toda la sesión. En situaciones en las que se determine que el riesgo es bajo y la experiencia del usuario es primordial, se pueden suprimir otros factores de autenticación si no se detecta ninguna actividad anormal, lo que reduce el obstáculo a la hora de completar una transacción.

Todas estas mejoras de seguridad móvil apuntan a utilizar el propio dispositivo para la autenticación y no un número de teléfono fácilmente transferible o un mensaje que pueda ser interceptado por el malware móvil. Cada capa de defensa cuenta, pero como muestran estos casos de secuestro de teléfonos, las medidas de autenticación solo funcionan si no son el eslabón débil. El panorama general es que ningún método de autenticación será siempre adecuado para todas las situaciones. Más pronto que tarde, las empresas deberían adoptar un enfoque basado en el riesgo que utilice la autenticación multifactorial, teniendo en cuenta la ubicación, el análisis del comportamiento y muchos otros indicadores de identidad.