Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

La autenticación multifactor no es una panacea de seguridad

La autenticación multifactor está tomando fuerza en el mundo de los negocios, pero TI no debe pasar por alto sus defectos.

Los defensores de la autenticación multifactor afirman que nos llevará al nirvana de la seguridad y pondrá de rodillas a los acosadores cibernéticos hackeadores de cuentas, pero hay otra cara en esta historia.

La autenticación multifactor, también conocida como autenticación de dos factores (2FA), no impide el malware, phishing, man-in-the-middle (MitM) y otros malestares basados en la Web. Sin embargo, las empresas que se enfrentan a la creciente marea de la consumerización han comenzado a adoptarla como una manera de asegurar los recursos corporativos sensibles. La autenticación multifactor puede reducir la incidencia de robo de credenciales o el acceso no autorizado a los datos de la empresa, mientras que también añade una capa adicional de seguridad para el acceso local, el acceso a los servicios de back end y otros puntos de entrada comunes a la red. Hay algo de verdad en todo esto, pero es importante destacar que 2FA no ofrece una protección absoluta, al grado al que todo el bombo reciente nos llevaría a creer.

El lado oscuro de la autenticación multifactor

Parte del problema tiene que ver con cómo se implementa la autenticación multifactor. El segundo factor de autenticación que es más popular entre los proveedores de 2FA hoy en día es una contraseña de un solo uso (OTP).

En este tipo de estrategia, la primera capa de autenticación es una contraseña personal, pero el usuario también tiene que introducir un código de un token OTP, por lo general enviado, por medio de SMS, al dispositivo móvil de esa persona. La idea es que el OTP estará disponible solo para esa persona que, en teoría, se supone que debe asegurarse de que un intruso no pueda hacer uso de esas credenciales de acceso.

Sin embargo, la creciente tendencia de enviar OTPs por SMS es de por sí problemático, porque los mensajes se envían a menudo en texto plano. Incluso los hackers principiantes pueden ir en línea para encontrar software o servicios que intercepten mensajes de texto. A partir de ahí, todo lo que necesitan son los números de los teléfonos de destino. Una vez que tienen sus sistemas instalados, pueden interceptar mensajes de texto y remitirlos a otros teléfonos, donde pueden utilizar los OTPs para autenticar esos dispositivos.

La autenticación multifactor también es incapaz de prevenir ataques MITM, que a menudo comienzan con una campaña de phishing en forma de un correo electrónico. Si tiene éxito, el correo electrónico desvía al usuario hacia un sitio web falso diseñado para parecerse a la cosa real, como un portal en línea de un banco. Allí el usuario introduce información para iniciar sesión y otros datos confidenciales, que el hacker interceptor luego utiliza para acceder al sitio real del banco. El usuario no sospecha nada hasta que es demasiado tarde.

¿Y qué pasa cuando los propios mecanismos de autenticación están comprometidos? Ya en 2011, por ejemplo, un ataque cibernético exitoso resultó en el robo de datos relacionados con los tokens de autenticación SecurID de RSA, poniendo en riesgo redes seguras en todo el mundo.

Pero los problemas no terminan ahí. A principios de este año, los atacantes aprovecharon la vulnerabilidad OpenSSL Heartbleed para acceder a los servidores que pertenecían a un cliente de una empresa de servicios de seguridad de Estados Unidos. Los atacantes se deslizaron más allá de la autenticación multifactor para obtener 64 KB de datos confidenciales de cualquier cliente o servidor conectado, incluyendo un número significativo de contraseñas descifradas. Los hackers también podrían haber obtenido la semilla utilizada para generar los tokens OTP necesarios para la autenticación de dos factores del cliente.

Y este verano pasado, los investigadores descubrieron una vulnerabilidad en el proceso de autenticación de PayPal que hizo posible eludir las protecciones de dos factores de la empresa. PayPal confirmó la existencia del error y subrayó que el problema se limitaba a un pequeño número de integraciones con sus programas de Pagos Adaptativos. Todavía se requieren los nombres de usuario y contraseñas para acceder a las cuentas.

La autenticación de dos factores aún es mejor que la de uno

Hay un montón de otros incidentes que apuntan a los agujeros en la autenticación multifactor y, ciertamente, algunos mecanismos de autenticación pueden ser puestos en duda. Aun así, 2FA sigue siendo mejor que depender solamente de contraseñas, aunque eso difícilmente significa que es una panacea de la seguridad.

Debemos tener cuidado de no evangelizar la autenticación multifactor al punto de que nos olvidemos de que es solo una parte de una estrategia más amplia de defensa en profundidad. Cuando evaluamos la seguridad de un servicio, hay que tener en cuenta muchos factores, uno de los cuales es asegurar de que 2FA no se esté aplicando de una manera que pueda dar lugar a otras vulnerabilidades.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close