Press

La autenticación multifactorial (MFA) es un método de autenticación en el que se concede acceso a un usuario unicamente después de presentar correctamente dos o más piezas de evidencia (o factores) a un mecanismo de autenticación: conocimiento (algo que solo el usuario sabe), posesión (algo que solo el usuario tiene), y la herencia (algo que solo el usuario es).

La autenticación de dos factores (también conocida como 2FA) es un tipo, o subconjunto, de autenticación multifactorial. Es un método para confirmar las identidades reclamadas por los usuarios emepleando una combinación de dos factores diferentes: 1) algo que saben, 2) algo que tienen, o 3) algo que son.

Un buen ejemplo de autenticación de dos factores es la retirada de dinero de un cajero automático; sólo la combinación correcta de una tarjeta bancaria (algo que el usuario posee) y un PIN (algo que el usuario conoce) permite realizar la transacción.

Otros ejemplos pueden ser completar una contraseña controlada por el usuario con una contraseña de un solo uso (OTP) o un código generado o recibido por un dispositivo (por ejemplo, un token de seguridad o un teléfono inteligente) que solo el usuario posee.

Muchas personas evitan la configuración doble o multifactorial porque es engorroso y requiere de mayor tiempo, cuando en realidad esto es falso dependiendo del método utilizado. Es cuestión de práctica y buen hábito. Una vez que se familiariza con el tema y se adquiere práctica, la seguridad aumenta siginificativamente e iInclusive existen métodos que son todavía más ágiles y rápidos que la simple utilización de la contraseña.

La verificación o autenticación en dos pasos es un método para confirmar la identidad reivindicada de un usuario mediante la utilización de algo que conocen (contraseña) y un segundo factor distinto de algo que tienen o algo que son. Un ejemplo de un segundo paso es el usuario repitiendo algo que se envió a ellos a través de un mecanismo fuera de banda. O, el segundo paso podría ser un número de seis dígitos generado por una aplicación que es común para el usuario y el sistema de autenticación.

En la tabla se demuestra los diferentes tipos y métodos de autenticación de usuarios y el nivel de seguridad que cada uno de estos métodos provee.

Todos estos métodos pueden ser utilizados en el SecureCloud. Los métodos son ofrecidos de acuerdo con el perfil del usuario, de la criticidad de la información que cada usuario gestiona y del acuerdo de servicios contratado.

El uso de varios factores de autenticación para probar la identidad se basa en la premisa de que es improbable que un actor no autorizado pueda suministrar los factores necesarios para el acceso. Si, en un intento de autenticación, al menos uno de los componentes falta o se suministra incorrectamente, la identidad del usuario no se establece con suficiente certeza y el acceso al activo está protegido por la autenticación multifactorial permanecerá bloqueada. Los factores de autenticación de un esquema de autenticación multifactorial pueden incluir:

• Algún objeto físico en posesión del usuario, como una memoria USB con un token secreto, una tarjeta bancaria, una llave, etc.
• Algún secreto conocido por el usuario, como una contraseña, PIN, TAN, etc.
• Alguna característica física del usuario (biometría), como una huella dactilar, iris ocular, voz, velocidad de mecanografía, patrón en intervalos de pulsación de teclas, etc.
• En algún lugar, como la conexión a una red informática específica o la utilización de una señal GPS para identificar la ubicación.

Los factores de conocimiento son la forma más comúnmente utilizada de autenticación. En este formulario, el usuario debe probar el conocimiento de un secreto para autenticarse.

El uso de las contraseñas y de la preguntas de seguridad son los métodos de verificación y autenticación más débiles que existen. La utilización de doble o múltiple factor de seguridad hace que la responsabilidad por la seguridad no dependa en su totalidad de una contraseña. En un buen sistema de seguridad el uso de la contraseña pasa a un plano completamente secundario y a veces hasta casi irrelevante.

Una contraseña es una palabra secreta o una cadena de caracteres que se utiliza para la autenticación de usuario. Este es el mecanismo de autenticación más comúnmente utilizado. Muchas técnicas de autenticación multifactorial se basan en la contraseña como un factor de autenticación. Las variaciones incluyen las más largas formadas a partir de varias palabras (una frase de contraseña) y el número de identificación personal (PIN) más corto, puramente numérico, utilizado comúnmente para el acceso ATM. Tradicionalmente, se espera que las contraseñas sean memorizadas.

La gran cantidad de sistemas y aplicaciones que utilizamos a diario requieren autenticación del usuario por medio de contraseña complejas. Esto provoca en los usuarios la necesidad de aplicaciones para almacenar contraseñas, reutilizar contraseñas en tantos sitios como sea posible y hasta requieren de cierto tiempo para su uso, almacenamiento y consulta.

Muchas preguntas secretas como “¿Dónde naciste?” son ejemplos pobres de un factor de conocimiento porque pueden ser conocidos por un amplio grupo de personas, o ser capaces de ser investigados.

Existen aplicaciones en el mercado negro que son muy hábiles para el descubriento de las claves utilizadas por las personas. Motivo por el cual muchas cuentas son violadas día tras día con gran facilidad. Esto sin mencionar cuando un determinado es hackeado y todos nuestros datos personales quedan expuestos.

Los factores de la posesión (“algo el usuario y solamente el usuario tienen”) se han utilizado para la autenticación por siglos, en la forma de una llave a un bloqueo. El principio básico es que la clave encarna un secreto que se comparte entre la cerradura y la clave, y el mismo principio subyace en la autenticación del factor de posesión en los sistemas informáticos. Un token de seguridad es un ejemplo de un factor de posesión.

El conocido Token RSA SecurID es un ejemplo de un generador de tokens desconectado. La tarjetas de coordenadas son otro ejemplo. Los tokens desconectados no tienen conexiones con el equipo cliente. Normalmente usan una pantalla integrada para mostrar los datos de autenticación generados, que el usuario escribe manualmente.

Los tokens conectados son dispositivos que están conectados físicamente al equipo que se utilizará. Esos dispositivos transmiten datos automáticamente. Hay un número de diferentes tipos, incluyendo lectores de tarjetas, etiquetas inalámbricas y tokens USB.

Un token de software (alias Soft token) es un tipo de dispositivo de seguridad de autenticación de dos factores que se puede utilizar para autorizar el uso de servicios informáticos. Los tokens de software se almacenan en un dispositivo electrónico de uso general, como un ordenador de sobremesa, un ordenador portátil, un PDA o un teléfono móvil, y pueden duplicarse. (Tokens de hardware de contraste, donde las credenciales se almacenan en un dispositivo de hardware dedicado y, por lo tanto, no se pueden duplicar (ausencia de invasión física del dispositivo)). Un token suave puede no ser un dispositivo con el que el usuario interactúa. Un certificado cargado en el dispositivo y almacenado de forma segura puede servir a este propósito también.

Estos son factores asociados a la Usuario y suelen ser métodos biométricos, como la huella dactilar, la cara, la voz o el reconocimiento del iris. También se pueden utilizar biometría conductual, como la dinámica de pulsación de tecla.

Muchos proveedores de autenticación multifactorial ofrecen autenticación basada en teléfonos móviles. Algunos métodos incluyen autenticación basada en inserción, autenticación basada en código QR, autenticación de contraseña única (basada en eventos y basada en el tiempo) y verificación basada en SMS. La verificación basada en SMS sufre algunos problemas de seguridad. Los teléfonos pueden ser clonados, las aplicaciones pueden ejecutarse en varios teléfonos y el personal de mantenimiento del teléfono celular puede leer textos SMS. No menos importante, los teléfonos celulares pueden verse comprometidos en general, lo que significa que el teléfono ya no es algo que sólo el usuario tiene.

El principal inconveniente de la autenticación, incluyendo algo que el usuario posee es que el usuario debe llevar alrededor del token físico (la memoria USB, la tarjeta bancaria, la clave o similar), prácticamente en todo momento. La pérdida y el robo son riesgos. Muchas organizaciones prohíben transportar dispositivos USB y electrónicos dentro o fuera de las instalaciones debido al malware y los riesgos de robo de datos, y la mayoría de las máquinas importantes no tienen puertos USB por la misma razón. Los tokens físicos normalmente no se escalan, por lo general requieren un nuevo token para cada nueva cuenta y sistema. La adquisición y posterior sustitución de tokens de este tipo conlleva costos. Además, existen conflictos inherentes y compensaciones inevitables entre la usabilidad y la seguridad.

La autenticación de dos pasos de telefonía móvil que involucra dispositivos como teléfonos móviles y smartphones fue desarrollada para proporcionar un método alternativo que evitaría tales problemas. Para autenticarse a sí mismos, las personas pueden utilizar sus códigos de acceso personales al dispositivo (es decir, algo que sólo el usuario individual sabe) más una contraseña de una sola vez-válida, dinámica, que normalmente consta de 4 a 6 dígitos. El código de la clave se puede enviar a su dispositivo móvil por SMS o notificación PUSH o puede ser generado por una aplicación de una sola vez-clave-generador. En los tres casos, la ventaja de usar un teléfono móvil es que no hay necesidad de un token dedicado adicional, ya que los usuarios tienden a llevar sus dispositivos móviles en todo momento.

A partir de 2018, SMS es el método de autenticación multifactorial más ampliamente adoptado para las cuentas orientadas al consumidor. A pesar de la popularidad de la verificación por SMS, el NIST de los Estados Unidos lo ha desusado como una forma de autenticación, y los defensores de la seguridad lo han criticado públicamente.

En 2016 y 2017 respectivamente, tanto Google como Apple comenzaron a ofrecer autenticación de dos pasos de usuario con notificación PUSH como método alternativo.

La seguridad de los tokens de seguridad entregados por dispositivos móviles depende plenamente de la seguridad operativa del operador móvil y puede ser fácilmente violada mediante escuchas telefónicas o clonación de SIM por las agencias de seguridad nacionales.

Cada vez más, un cuarto factor está entrando en juego que implica la ubicación física del usuario. Aunque está conectado a la red corporativa, se puede permitir a un usuario Iniciar sesión utilizando solamente un código PIN mientras que fuera de la red que ingresa un código de un token suave también podría ser requerido. Esto podría considerarse como un estándar aceptable donde se controla el acceso a la oficina.

Los sistemas para el control de admisión de red funcionan de maneras similares en las que su nivel de acceso a la red puede estar supeditado a la red específica a la que está conectado su dispositivo, como la conectividad Wi-Fi y por cable. Esto también permite que un usuario se mueva entre oficinas y reciba dinámicamente el mismo nivel de acceso a la red en cada uno.

• No hay tokens adicionales y no son necesarios porque utiliza dispositivos móviles que son (generalmente) transportados todo el tiempo.
• A medida que cambian constantemente, las contraseñas generadas dinámicamente son más seguras de usar que la información de registro fija (estática).
• Dependiendo de la solución, los códigos de uso que se han utilizado se reemplazan automáticamente para garantizar que un código válido esté siempre disponible, los problemas de transmisión/recepción no impiden, por tanto, los inicios de sesión.

• Los usuarios deben llevar un teléfono móvil, cargado y mantenido en el rango de una red celular, siempre que sea necesaria la autenticación. Si el teléfono no puede mostrar mensajes, como si se daña o se apaga para una actualización o debido a temperaturas extremas (por ejemplo, exposición invernal), el acceso es a menudo imposible sin planes de copia de seguridad.
• Las compañías de telefonía móvil pueden cobrar al usuario por cargos de mensajería.
• Los mensajes de texto a teléfonos móviles que utilizan SMS son inseguros y pueden ser interceptados. Por lo tanto, los terceros pueden robar y utilizar el token.
• Es posible que los mensajes de texto no se entreguen instantáneamente, añadiendo retrasos adicionales al proceso de autenticación.
• La recuperación de la cuenta normalmente omite la autenticación de dos factores del teléfono móvil.
• Los smartphones modernos se utilizan tanto para navegar por correo electrónico como para recibir SMS. Por lo general, el correo electrónico siempre está conectado. Así que, si el teléfono se pierde o es robado, todas las cuentas para las que el correo electrónico es la clave puede ser hackeado como el teléfono puede recibir el segundo factor. Así que los teléfonos inteligentes combinan los dos factores en un factor.

La clonación de SIM permite a los hackers acceder a conexiones de teléfonos móviles. Los ataques de ingeniería social contra empresas de operadores móviles han dado lugar a la entrega de tarjetas SIM duplicadas a criminales.

Los avances en la investigación de la autenticación de dos factores para los dispositivos móviles consideran diferentes métodos en los que se puede implementar un segundo factor sin suponer un obstáculo para el usuario. Con el uso continuado y las mejoras en la exactitud del hardware móvil tal como GPS, micrófono, y girocompás/acelerómetro, la capacidad de utilizarlos como segundo factor de autenticación es cada vez más digno de confianza. Por ejemplo, registrando el ruido ambiente de la ubicación del usuario desde un dispositivo móvil y comparándolo con la grabación del ruido ambiental desde el ordenador en la misma sala en la que el usuario intenta autenticarse, uno puede tener un segundo factor efectivo de Autenticación. Esto también reduce la cantidad de tiempo y esfuerzo necesarios para completar el proceso.

Una vez que el usuario ha sido autenticado y validado para iniciar la sesión, se han configurado tiempos para cerrar la sesión del usuario que se encuentra inactivo con la finalidad de proteger su información personal y su cuenta frente a un descuido o inclusive frente a un cierre de la venta o aplicación en al cual se encontraba trabajando. No obstante ello es muy importante que el usuario sea responsable y cuidadose en el uso de su sesión.

Proveemos un método alternativo en el inicio de sesión para ingresar al SecureCloud utilizando sus cuentas de usuario existentes en otros proveedores de servicios de identidad (IDP). El inicio de sesión por medio de alguna de las Redes Sociales ofrecidas (Amazon, Facebook, LinkedIn y Microsoft) permitirá a los visitantes ingresar a los contenidos públicos sin la necesidad de completar el formualrio de registro.

Al ingresar por medio de alguna de las Redes Sociales el visitante es automáticamente asignado con el perfil de Suscriptor Básico. Es decir que podrá acceder a una gran cantidad de contenidos en la biblioteca digital y configurar su perfil de usuario entre muchas otras capacidades.

En la actualidad las Redes Sociales disponen de mecanismos para la configuración de factores de autenticación. Es responsabilidad de los usuarios configurarlos y utilizarlos adecuadamente. Una vez configurados se puede obtener seguridad y rapidez al mismo tiempo.

Para escalar o acceder a mayores privilegios necesariamente debemos verificar la autenticidad y credibilidad de la Cuenta del Usuario. Si bien podrá acceder y bajar documentos de la biblioteca digital, todos sus comentarios y acciones en el SecureCloud será moderados por un administrador en la Web, hasta que su perfil de suscriptor básico sea actualizado. Los usuarios que ingresan con una Cuenta Social podrán solicitar actualizar sus privilegios entrando en contacto con el Administrador de la Web enviándonos un mensaje o creando un Ticket en el área de Soporte Técnico.

Es bien sabido que los proveedores de servicios de identidad (Google, Facebook, etc.) tienen muchos perfiles falsos y que en promedio los usuarios de las redes sociales sulen tener un mínimo de dos o tres perfiles sociales. Por este motivo que a todos aquellos usuarios que comienzan a utilizar los servicios del SecureCloud por medio de otros proveedores de identidad son moderados y les asignamos la categoría más baja de Suscriptor Básico. Antes de escalar sus provilegios debemos verificar y estar seguros de la identidad del usuario.

En el SecureCloud tenemos diferentes tipos de perfiles. Cada uno de los perfiles tiene una serie de características generales del perfil y otras características particulares que pueden ser modificados para cada usuario específicamente. La modificación de los perfiles de usuario y de sus privilegios pueden ser realizadas únicamente por un usuario adminsitrador. Sin embargo, ningún Administrador del sistema puede realizar el 100% de los cambios.

• Visitante: este perfil corresponde a un visitante de la Web que no se ha iniciado sesión. El visitante sin iniciar sesión tiene funciones limitadas para acceder a la Biblioteca de Contenidos Digitales, crear un caso de soporte (ticket) y enviarnos algún tipo de consulta entre muchas otras acciones.
• Registrado: Una vez que el visitante ha creado e iniciado sesión podrá acceder a una gran cantidad de información disponible de forma pública y gratuita. Existen múltiples diferentes tipos de usuarios registrados en función de los roles y privilegios asignados por los administradores del SecureCloud. No todos los perfiles tiene la posibilidad de configurar alguno de los factores de autenticación.
• Funcionarios: por la naturaleza de la información que manejan y los contenidos a los cuales tienen acceso, todos los funcionarios miembros de WiseGroup deben utilizar como mínimo algúno de los factores de autenticación disponibles en el SecureCloud, sin excepción pudiendo extenderse a múltiples factores de autenticación.

Una vez dentro del sistema los diferentes ítems o contenidos pueden disponer de métodos, técnicas y mecanismos de validación adicionales, pudiendo ser válidos y reutilizados todos los mecanismos empleados para la autenticación del usuario al momento de inicio de la sesión o nuevos métodos de seguridad, incluyendo:

• Claves de Acceso individuales
• Claves de Acceso Grupales
• Aceptación de las Políticas de Confidencialidad, No divulgación y/o privacidad.
• Aceptación de las Políticas de Derecho a la Propiedad Intelectual
• CAPTCHA (Verificación de Persona Humana – No Robot)
• Políticas de seguridad y acceso definidas en los perfiles de usuarios
• Utilización de Firmas Digitales o Electrónicas
• Encriptación con intercambio de llaves públicas previamente
• Limitación de la Dirección IP del usuario. Ejemplo: Puede ser que para acceder a determinado tipo de información únicamente le sea permitido desde una ubicación específica, o rango específico.
• Reconocimiento y Validación del Dispositivo.
• … otros métodos y tecnologías están siendo incorporados.