El número de credenciales expuestas ha aumentado un 300% desde el 2018, según datos de Security Magazine, y ese crecimiento dejó al descubierto que las claves de usuario y contraseñas son un método poco efectivo como autenticación segura. Sin embargo, la gran mayoría de las organizaciones siguen apostando por este modelo.

Al respecto, Appgate, empresa de soluciones de acceso seguro y ciberseguridad, explica la importancia de implementar autenticaciones para protegerse de amenazas digitales.

Lo primero que se debe tener claro, según esta empresa, es que cada factor de autenticación tiene cabida dentro de una de estas tres categorías:

1. Conocimiento: Esta categoría se refiere a algo que se conoce. El ejemplo más sencillo es la contraseña de un usuario. Sin embargo, dado que es fácil manipular estas credenciales, la categoría conocimiento es la menos efectiva a la hora de implementar una autenticación segura.

2. Posesión: Se relaciona a algo que se posee y se considera una categoría de autenticación fuerte debido a que es más difícil de manipular. Que el usuario deba tener algo físicamente consigo añade un desafío, pero aun así no resulta una medida infalible.

3. Inherente: Esta es la categoría más fuerte de autenticación. Es mucho más difícil para los estafadores replicar las características humanas, por lo que esta categoría inherente se convierte en un objetivo menos asequible para los ciberdelincuentes.

“Ninguna de estas tres categorías es suficiente para aplicar con éxito una autenticación segura, por lo que es necesario utilizar al menos dos modelos que pertenezcan a diferentes categorías. Algo que el usuario sabe (conocimiento) combinado con algo que es (inherente), protege de manera más eficiente”, afirmó David López, vicepresidente de Ventas para Latinoamérica de Appgate.

Cada factor de autenticación tiene sus ventajas y desventajas. A continuación, Appgate presenta un panorama de la evolución de la autenticación.

●        El primer sistema basado en contraseñas se creó a principios de los años 60 en el MIT, lo que significa que la contraseña tiene más de cinco décadas e incluso en aquel entonces, tampoco era segura. Pese a que son fáciles de instalar y son rentables, terminan siendo un factor de autenticación débil y fácil de vulnerar.

●        Los hard tokens fueron patentados por primera vez a finales de los años 80. Proporcionaban una contraseña de un solo uso y mostraban un número aleatorio que cambiaba periódicamente. Aunque el código numérico único cambia con la frecuencia y lo convierte en algo difícil de manipular, es un sistema obsoleto que ha sido sustituido por dispositivos inteligentes mucho más accesibles.

●        Reconocimiento de dispositivos. Las cookies se crearon a finales de los 90 y se convirtieron en algo habitual a principio del 2000. Fueron el primer ejemplo de reconocimiento de dispositivos a gran escala. Esta tecnología ha evolucionado y mejorado incorporando diversos métodos que se actualizan constantemente, sin embargo, actores fraudulentos pueden acceder a un dispositivo de forma remota utilizando un Remote Access Trojan (RAT).

●        SMS: Se utilizaron de forma generalizada a inicios del año 2000 y marcaron el inicio de la distribución de contraseñas a teléfonos en general. Es una forma sencilla de implementar un sistema de autenticación seguro. Sin embargo, resulta ser un inconveniente para los usuarios que hayan perdido su dispositivo, o que ya no tengan acceso al número de teléfono registrado.

●        Push: Blackberry fue la primera en utilizar las notificaciones push, pero Google y Apple se encargaron de generalizarlas en 2009 y 2010. Este factor presenta un mensaje pop-up en un dispositivo móvil permitiendo al usuario aceptar o rechazar una transacción o un intento de inicio de sesión. Es un método muy seguro ya que se refuerza a nivel del dispositivo, pero depende de que el usuario tenga acceso al dispositivo registrado originalmente en la cuenta.

●        Biometría de huellas dactilares: El touch ID de Apple popularizó la biometría de huellas dactilares en 2013. Este método requiere simplemente la huella del dedo del usuario registrado para confirmar su identidad, lo que hace que sea difícil de replicar para un estafador.

●        Autenticación por QR: La web de WhatsApp lanzó la autenticación por QR en el año 2015. Los códigos QR ofrecen una manera segura de autenticación, proporcionando a cada usuario un código único. Es una forma de autenticación rápida, cómoda y muy segura, pero sólo puede utilizarse en procesos fuera de banda.

●        Biométrica Facial: El Face ID de Apple fue uno de los primeros ejemplos de biométrica facial para autenticar usuarios. Entre las desventajas está que depende de la iluminación y del ángulo de la cara del usuario y además se puede interceptar mediante una foto o un vídeo del usuario.

“Será interesante ver cómo siguen evolucionando los distintos sistemas de autenticación. Es probable que la biometría sea el camino del futuro y que eliminará las contraseñas por completo. Los datos y el análisis del contexto basados en el comportamiento habitual del usuario proporcionan una visión más amplia, por lo que suponen un reto para el usuario sin causarle problemas”, señaló López.

Añadió que, a pesar de que muchos modelos de autenticación proporcionan cierto nivel de protección, ningún modelo es suficientemente eficaz por sí solo. “Por eso, es importante asegurarse de que las organizaciones implementen autenticaciones seguras utilizando múltiples modelos dentro de diferentes categorías”, concluyó el directivo.