Más del 70% de las cuentas en Google, propiedad de personas que usan regularmente estos servicios de Google, se benefician automáticamente de la autenticación de segundo factor que confirma la identidad cuando se detecta un inicio de sesión sospechoso. Para los usuarios que necesitan más control, tienen la posibilidad de agregar MFA a cada inicio de sesión y, para los usuarios de alto riesgo, ofrecen un programa específico llamado Advanced Protection Program.
El soporte de autenticación multifactor (MFA) para sistemas críticos es una de las formas más efectivas de reducir el riesgo de incidentes cibernéticos significativos. Los ciudadanos confían en los servicios online de organizaciones para hacer cosas como administrar temas personales como pagar facturas o cualquier otra tarea que requiere información personal. La autenticación es fundamental para garantizar que los usuarios puedan acceder a estos servicios críticos para el día a día.
Las formas tradicionales de autenticación, como las contraseñas, han demostrado ser difíciles de usar o administrar de manera segura. La industria ha apoyado durante mucho tiempo el intento de mejorar la seguridad utilizando nuevas tecnologías. Es por eso que se introducen las claves de acceso como FIDO Alliance, la propia autenticación en dispositivos como Apple y Microsoft. El objetivo es quitar la carga de la seguridad a los usuarios y las organizaciones mediante la creación de servicios que sean seguros de forma predeterminada.
El pasado de la autenticación
Los sistemas informáticos en sus inicios fueron dispositivos compartidos que carecían de cualquier forma de seguridad o confidencialidad en los datos creados y almacenados. A principios de la década de 1960, el Instituto de Tecnología de Massachusetts (MIT) desarrolló un sistema operativo conocido como Compatible Time-Sharing System (CTSS). Este sistema permitió que múltiples ordenadores compartieran simultáneamente los recursos como si fueran un único ordenador centralizado. Esto condujo a problemas de sistemas de archivos compartidos sin seguridad inherente. Para establecer un sistema de archivos seguro, en 1961, Fernando Corbató, miembro del Centro de Cómputo del MIT y fundador de CTSS, resolvió este problema de falta de seguridad mediante el uso de contraseñas para autenticar a los usuarios en datos y archivos específicos. Sin embargo, Allan Scherr, un investigador del MIT descubrió que los sistemas basados en servidores almacenan las contraseñas en un archivo de contraseña maestra en una ubicación de fácil acceso, lo que permitía el acceso a cualquier archivo protegido por contraseña. En la década de 1970, el investigador de Bell Labs, Robert Morris, ideó un método para salvaguardar el archivo de contraseñas maestras del sistema operativo Unix. Morris utilizó una técnica criptográfica conocida como "función hash" que hacía que una contraseña fuera ilegible para el ojo humano pero no para el sistema informático. Este concepto básico pronto fue adoptado por la mayoría de los demás sistemas operativos.
Para obtener acceso a los datos o a un servicio, primero se debe establecer la verificación de la identidad de un usuario a través de la autenticación. La autenticación es el proceso de validar con éxito la identidad de una persona o dispositivo. Cuando utilizamos una tarjeta bancaria para realizar una compra, nos autentificamos teniendo la tarjeta y sabiendo el Número de Identificación Personal (PIN). La autenticación se ha vuelto más esencial desde el uso generalizado de los ordenadores. La suplantación de identidad del usuario es un riesgo de seguridad crítico para cualquier sistema informático y el primer mecanismo de defensa contra este tipo de ataque es la autenticación del usuario. Los datos que se utilizan para confirmar la identificación de un usuario se pueden clasificar en tres clases:
- Basado en el conocimiento que incluye contraseñas y PIN
- Basados en posesión que incluyen tarjetas inteligentes y tokens
- Basado en herencia, como la biometría que incluye huellas dactilares y escaneo de retina.
Con el tiempo, a medida que los atacantes descubrieron cómo usar algoritmos hash de "fuerza bruta", la industria mejoró las funciones hash e incluyó componentes adicionales de aleatorización. Por ejemplo, salar, para hacer que una contraseña cifrada sea única. La creación de Robert Morris de métodos de almacenamiento de contraseñas basados en hash en la década de 1970 mejoró la seguridad de los sistemas de autenticación.
Otros enfoques criptográficos, además del hashing, son efectivos para la autenticación. La criptografía de clave pública o asimétrica es una de esas tecnologías. A principios de la década de 1970, se descubrió que se utilizaban criptografía asimétrica y claves públicas/privadas. Si bien esas técnicas de cifrado no se hicieron públicas hasta la década de 1990, los investigadores públicos descubrieron nuevas técnicas por sí mismos para explotar la tecnología de clave asimétrica a fines de la década de 1970, lo que condujo al desarrollo del algoritmo de clave asimétrica RSA ampliamente utilizado. En el campo de la autenticación, los certificados y firmas digitales se han vuelto cruciales.
Hace casi 15 años, la Operación Aurora cambió por completo la forma en que se aborda la seguridad en internet. Pasamos a un nuevo modelo de seguridad empresarial, con soluciones como BeyondCorp de Google, que priorizaba la identidad y la autenticación sólida como fundamento de arquitectura de confianza cero y del lado del usuario, se popularizo el uso de MFA. Al mismo tiempo, nos dimos cuenta de la necesidad de contar con tecnologías resistentes al phishing más sólidas, lo que resultó en el desarrollo y la implementación de claves de seguridad, con soluciones como WebAuthn, un estándar web publicado por el Consorcio WWW (W3C), se trata de un componente fundamental del proyecto FIDO2 con el objetivo de normalizar una interfaz para autenticar a los usuarios con aplicaciones y servicios basados en la web utilizando criptografía asimétrica.
El futuro de la autenticación
Los investigadores y los ciberdelincuentes han desarrollado nuevas formas de explotar las contraseñas, ya que más sistemas digitales dependen de ellas para su protección. Como consecuencia, la industria siempre busca incorporar nuevas formas de salvaguardar el proceso de autenticación. Uno de los mayores inconvenientes de un sistema típico de contraseñas permanentes es que si un atacante puede asumir, robar o escuchar las credenciales de alguien, puede reproducirlas. Para contrarrestar esto, ¿qué pasa si la contraseña de un usuario es diferente cada vez que inicia sesión? Los investigadores desarrollaron estrategias para distinguir a los humanos de las computadoras a fines de la década de 1990. Estas técnicas se conocen como prueba de Turing pública completamente automatizada para diferenciar a un robot de los humanos (CAPTCHA). Un CAPTCHA no se puede usar para autenticar a un usuario, pero se puede usar para proteger contra algunos ataques de autenticación automatizados.
Ha llegado el momento de la autenticación multifactor (MFA), que aún está en desarrollo, pero ha ganado mucha fuerza en las últimas décadas. Las contraseñas son la forma más utilizada de autenticación digital. Sin embargo, están mostrando su edad y fragilidad. Las contraseñas son un buen mecanismo de autenticación cuando se usan correctamente y bajo estrictas pautas de seguridad. El problema es que la mayoría de las personas no siguen las prácticas recomendadas, y muchas empresas que manejan contraseñas tampoco las siguen. Se han producido innumerables filtraciones de bases de datos de contraseñas como resultado de esta mala gestión de contraseñas en las últimas décadas, lo que demuestra que las contraseñas por sí solas son incapaces de proteger nuestras identidades en línea. MFA puede abordar y ayudar a solucionar este problema, pero los sistemas de autenticación y las alternativas suelen ser prohibitivamente costosos o difíciles de implementar. Los teléfonos móviles modernos allanan el camino para la autenticación del futuro. En la década de 2010, la disponibilidad generalizada de teléfonos inteligentes hizo que la biometría y las tecnologías de autenticación de dos factores (2FA) y MFA fueran más accesibles para el público en general.
Las claves de acceso, una forma de MFA más fácil de usar, rentable y accesible es una de las herramientas más recientes, sencillas y escalables para utilizar en múltiples servicios online.
Referencia:
· Modern Authentication Methods: A Comprehensive Survey