Autenticación multifactorial: los requisitos de las soluciones MFA [parte 1]

Suscríbete para no perderte la continuación de nuestro artículo 

La autenticación clásica basada en contraseña se basa íntegramente en las credenciales del usuario (nombre de usuario y contraseña) para proporcionar acceso a los sistemas de la empresa. Este método de autenticación de «factor único» no es seguro ni fiable, ya que los piratas informáticos pueden robar o comprometer fácilmente las contraseñas y obtener acceso no autorizado a cuentas de usuario o dispositivos autorizados. A continuación, pueden lanzar diversos ataques, como phishing, relleno de credenciales, ataques de fuerza bruta, ataques de diccionario, ataques con keylogger y ataques de intermediario (MitM), entre otros.

Entonces, ¿cómo protegerá su empresa contra estos piratas informáticos?

La autenticación multifactorial (MFA) es una de las mejores alternativas a la seguridad basada en contraseñas. No se basa únicamente en las credenciales del usuario. En su lugar, los usuarios deben proporcionar al menos un factor de autenticación adicional para verificar su identidad. Solo si el sistema puede verificar todos los factores concederá acceso al usuario. Por lo tanto, la MFA garantiza que los usuarios sean quienes dicen ser. También ofrece una seguridad más sólida y fiable frente a las ciberamenazas que los sistemas que solo utilizan contraseñas.

Pero hay muchas soluciones de autenticación multifactorial (MFA) en el mercado. ¿Cómo elegir la solución adecuada para su empresa?

Utilice la siguiente lista como guía para sus búsquedas e inversiones.

1. Autenticación multifactorial: los distintos métodos

La mayoría de los sistemas modernos de autenticación multifactorial exigen a los usuarios que utilicen factores de autenticación de al menos dos o tres categorías diferentes:

  • Algo que el usuario «conoce» (conocimiento)
  • Algo que el usuario «posee» (posesión)
  • Algo que el usuario «es» (inherencia)

Su solución de autenticación multifactorial (MFA) no debería complicar a los usuarios el acceso a las soluciones de su empresa. Por este motivo, es fundamental que puedan utilizar factores con los que ya estén familiarizados, ya sean basados en el conocimiento, la posesión o la inherencia.

A continuación te presentamos algunos métodos de autenticación que puedes explorar.

Autenticación mediante contraseña móvil de un solo uso (OTP), nativa y de tipo push

Un sistema de autenticación móvil y nativo de tipo push con contraseña de un solo uso (OTP, por One-time Password) envía al usuario un mensaje de texto con un código numérico que debe introducir antes de poder acceder a la cuenta o a la aplicación.

VENTAJAS
Una OTP es un factor de autenticación de tipo «de un solo uso». Dado que solo se puede utilizar una vez, los piratas informáticos no pueden aprovecharla si un usuario ya lo ha hecho. Esto refuerza la seguridad y dificulta que personas malintencionadas accedan a cuentas privadas. Además, no es necesario instalar ningún software especial y la mayoría de los usuarios ya están acostumbrados a los mensajes de texto, lo que lo convierte en un método de autenticación práctico y fácil de usar.

INCONVENIENTES
La desventaja de un OTP por móvil es que, si roban el dispositivo, una persona malintencionada puede interceptar la contraseña para comprometer las cuentas. Los operadores móviles no garantizan la confidencialidad y la seguridad de los SMS, por lo que personas malintencionadas pueden interceptarlos con fines maliciosos. Además, también pueden interceptar mensajes OTP instalando software malicioso en el dispositivo de un usuario, especialmente si este accede al dispositivo a través de una red abierta o no segura.

Códigos de verificación temporales sin conexión (TOTP)

Los códigos de verificación temporales (TOTP, por sus siglas en inglés) constituyen un tipo de autenticación OTP en la que se genera una contraseña temporal utilizando la hora actual como factor de autenticación. Esta contraseña caduca tras un periodo de tiempo definido y no puede reutilizarse, incluso si es interceptada por un usuario autorizado.

VENTAJAS

El TOTP es bastante fácil y rentable de implementar. No requiere necesariamente nuevo hardware. Lo único que necesitan los usuarios es una aplicación en su dispositivo.

INCONVENIENTES

Por supuesto, el sistema no es perfecto. Si el usuario pierde o extravía su dispositivo, o si la batería se agota, no puede recibir el código TOTP. Además, la aplicación de autenticación y el servidor comparten la misma clave secreta. Si una persona malintencionada logra clonar esta clave, puede generar nuevos códigos TOTP válidos y comprometer la cuenta de un usuario autorizado. Algunos sistemas TOTP bloquean el acceso del usuario si este realiza demasiados intentos de inicio de sesión, por ejemplo, porque el código caduca demasiado rápido.

Autenticación multifactorial: tokens físicos

Un token físico es un pequeño dispositivo que permite a los usuarios acceder a una cuenta o aplicación concreta. La YubiKey de Yubico es un tipo de token físico que ofrece una sólida seguridad mediante autenticación para diversos servicios en línea y aplicaciones. Este llavero con forma de llave se conecta al dispositivo del usuario para completar la autenticación una vez que este ha introducido su contraseña. Los tokens USB, los tokens Bluetooth y las tarjetas inteligentes son otros ejemplos de tokens físicos.

VENTAJAS

La mayoría de los tokens combinan la autenticación física con el cifrado de clave pública, lo que dificulta su vulnerabilidad. Para piratear un sistema, un atacante debe robar físicamente el token, lo que no siempre es fácil de conseguir si el usuario está atento. Muchos tokens físicos funcionan incluso sin conexión a Internet, lo que elimina la posibilidad de ataques a través de la red.

Los tokens físicos pueden evitar los ataques remotos y son adecuados si necesitas un sistema altamente seguro que requiera el aislamiento de la red. Algunos también son compatibles con gestores de contraseñas, lo que resulta muy práctico para el usuario. Además, los usuarios pueden desvincular el token de sus cuentas para impedir cualquier uso no autorizado.

INCONVENIENTES

Uno de los posibles inconvenientes es que la ficha se pueda perder o que se la roben, en cuyo caso habría que sustituirla. Si esto ocurre, los costes para la empresa aumentan. Del mismo modo, si la ficha se utiliza para cometer una infracción, esta puede ser muy grave en caso de que el usuario utilice la misma ficha para acceder a varias cuentas.

Autenticación multifactorial: tokens de software

Un token de software es una clave digital de autenticación, una auténtica obra de arte digital. Requiere la instalación de una aplicación o un programa en un dispositivo físico, como un smartphone, y envía un código de autenticación de un solo uso o acepta datos biométricos, como la lectura de huellas dactilares o el reconocimiento facial, para garantizar una autenticación segura.

VENTAJAS

Al igual que sus homólogos físicos, los tokens de software refuerzan la seguridad y reducen el riesgo de accesos no autorizados. Además, son fáciles de usar, requieren poco mantenimiento y son más económicos que los tokens físicos. Algunos incluso están disponibles de forma gratuita, toda una ganga para los amantes de las buenas ofertas.

INCONVENIENTES

Sin embargo, los tokens de software también presentan algunas desventajas. Pueden ser vulnerables a ataques cibernéticos a distancia, ya que su funcionamiento depende de una conexión a Internet y de un programa informático. Si la conexión se ve comprometida, el token puede quedar expuesto a riesgos cuando se almacena o se transmite. No obstante, a pesar de estos inconvenientes, los tokens de software suponen un avance significativo en materia de seguridad en comparación con los sistemas que se basan únicamente en contraseñas.

Antes de decidir qué sistema de autenticación multifactorial (MFA) elegir, tómese su tiempo para valorar todas las características, así como las ventajas y desventajas mencionadas anteriormente. Lo ideal es encontrar un sistema como MFA OneLogin, que ofrece una amplia variedad de factores de autenticación para aumentar la flexibilidad, entre los que se incluyen los siguientes:

  • OTP
  • Correo electrónico
  • SMS
  • Voz
  • WebAuthn para la biometría
  • Aplicaciones de terceros como Google Authenticator, Yubico, Duo Security y RSA SecurID

2. Acceso a la red de la empresa

Asegúrese también de que su solución de autenticación multifactorial (MFA) se integre perfectamente con todos los sistemas de acceso a sus redes. Por ejemplo, si utiliza redes privadas virtuales (VPN) para cifrar sus datos y ofrecer a los usuarios remotos una conexión segura a través de Internet, su solución MFA debe ser compatible con la VPN. Además, debe reforzar la seguridad de la VPN para prevenir filtraciones de datos y garantizar que el acceso esté restringido únicamente a los usuarios autorizados.

Del mismo modo, si necesita utilizar el protocolo Secure Socket Shell (SSH) para acceder a sistemas Linux remotos o el protocolo RDP para conectarse de forma remota a otros ordenadores, es fundamental que su solución de autenticación multifactorial (MFA) sea compatible con estos sistemas. Además, la solución debe ser capaz de prevenir el robo de cuentas en dichos sistemas.

Asegúrate también de que tu VPN incluya el protocolo RADIUS (Remote Authentication Dial-In User Service) y se comunique directamente con tu solución de autenticación multifactorial (MFA) utilizando los protocolos RADIUS estándar. Esto permite una interacción fluida y segura entre la VPN y tu solución de MFA.

¿Es compatible la solución de autenticación multifactorial (MFA) con los sistemas de acceso a la red actuales (o futuros)?

  • Acceso VPN
  • Acceso SSH/RDP
  • Conexión Wi-Fi
  • Integración de RADIUS

3. Potentes integraciones para una mayor seguridad

Si su empresa dispone de un directorio LDAP (Lightweight Directory Access Protocol), es fundamental que la solución de autenticación multifactorial (MFA) pueda integrarse con él. Esto puede hacerse bien mediante la instalación de un agente de software en su red local, bien a través de LDAP sobre SSL (LDAPS). Lo ideal sería que la solución también ofreciera una estrecha integración con otros productos de seguridad y soluciones de gestión de identidades, con el fin de facilitar la autenticación de los usuarios y simplificar la gestión de la seguridad de las redes.

También es importante buscar una solución que admita integraciones personalizadas con aplicaciones y servicios, ya sean alojados localmente o en la nube. La solución debe ser compatible con la integración de estas aplicaciones a través de una API, sin necesidad de eliminar y sustituir otras soluciones.

Asegúrese de que la solución de autenticación multifactorial (MFA) sea compatible con todas las aplicaciones críticas de su empresa, entre ellas:

– Integración con aplicaciones en la nube.
– Integración con aplicaciones alojadas en las propias instalaciones.
– Integración con sistemas de gestión de recursos humanos (HRMS, por Human Resource Management System).
– Integración con directorios como Active Directory (AD) y LDAP.
– Integración con otras soluciones de gestión de identidades, como gestores de contraseñas y soluciones de seguridad de terminales.

4. Estrategias de autenticación flexibles

Implemente una solución de autenticación multifactorial (MFA) que le permita configurar políticas detalladas a distintos niveles: por usuario, por aplicación, por grupo y también a nivel global.

Las políticas a nivel de aplicaciones y de grupos son importantes, ya que te permiten configurar reglas de protección específicas para aplicaciones sensibles o usuarios que presentan un alto riesgo. Con las políticas globales, puedes aplicar el umbral de seguridad deseado o un nivel de referencia en toda la empresa.

Comprueba también qué tipo de controles administrativos hay disponibles. La solución debe ayudar a los administradores a controlar mejor el acceso a los sistemas, las aplicaciones y los datos de la empresa, especialmente en un entorno de seguridad Zero Trust.

¿Permite la solución MFA implementar estrategias de autenticación flexibles y sofisticadas a nivel granular?

  • Estrategias granulares para identidades, aplicaciones, dispositivos, comunidades y contextos diversos
  • Permite definir los factores que se pueden utilizar para verificar las identidades
  • Flujo de autenticación personalizable
  • Consola de administración intuitiva y fácil de usar
  • Flujo basado en el riesgo
  • Incluye documentación sobre las configuraciones de políticas

HTBS le ayuda a proteger su infraestructura de TI con nuestra  Solución Silverfort  Amplíe la protección MFA a todos sus recursos basados en AD sin modificarlos, incluyendo aplicaciones heredadas, recursos compartidos de archivos, interfaces de línea de comandos y sistemas OT.

Fuente: onelogin

Suscríbete para no perderte la continuación de nuestro artículo 

Compartir en: 

Compartir: