Seguridad de doble factor, de triple factor y ahora, ciberseguridad de múltiple factor. Es una realidad: cuanto más nos protejamos en el mundo digital, más probabilidades tendremos de que nuestra información esté a salvo. Aun así, a medida que evolucionan los sistemas de seguridad, los ciberdelincuentes mejoran sus técnicas de ataque. Tanto es así, que desde que la Inteligencia Artificial generativa se ha hecho mainstream, los vectores de ataque se han multiplicado. Es por ello que la autenticación multifactor (por sus siglas en inglés, MFA) se vuelve más necesaria.
De hecho, un informe de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA), asegura que la MFA hace que los usuarios tengan un 99 % menos de probabilidades de ser hackeados.
Al combinar distintos tipos de confirmación de que somos quienes decimos ser, como contraseñas, escáneres de huellas digitales y códigos únicos, hacemos que sea mucho más difícil para los ciberatacantes acceder a nuestra vida digital.
Pese a ello, y aunque la AMF proporciona una capa adicional de protección cada vez más potente, no deja de tener sus limitaciones. Es más, sigue siendo una medida de seguridad que es vulnerable a ataques de phishing e ingeniería social, que no dejan de evolucionar de la mano de la IA generativa.
“Además de haber mejorado en su modus operandi, los ciberdelincuentes también eligen más cuidadosamente a sus ‘víctimas’, tanto en el entorno empresarial como en el personal. Conocer más y mejor a su entorno cercano permite pergeñar un mejor engaño.” comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security.
La autenticación multifactor como primer defensa efectiva
“La autenticación multifactor (MFA) es uno de los medios más efectivos para detener el phishing, hasta ahora.” asegura Hervé Lambert. “Sin embargo, recientemente han surgido nuevos ataques y kits de phishing como servicio (por sus siglas en inglés, PhaS) que tienen la capacidad de eludir dicha autenticación. Estos kits van desde un simple código hasta productos altamente avanzados con capacidad para robar credenciales, tokens MFA y otra información confidencial.” añade Lambert.
Con todo y con eso, esta “defensa” cibernética se antoja fundamental por su mayor tasa de éxito a la hora de prevenir ataques como los de phishing. “Se requiere de más de un factor de autenticación para que la autenticación tenga éxito y el solicitante obtenga acceso a los recursos o información solicitados. Si todos los factores presentados son correctos, se logra la autenticación. Si alguno de ellos es erróneo, se deniega el acceso al sistema o servicio solicitado”. explica Lambert.
Los ejemplos a la hora de implementar esta defensa son claros:
- Biometría: una forma de autenticación que se basa en el reconocimiento de un dato biométrico en un dispositivo o aplicación, como la huella digital de una persona, los rasgos faciales o el iris del ojo.
- Contraseñas de un solo uso (OTP): unos caracteres numéricos o alfanuméricos (letras y números) que se generan para un único inicio de sesión.
- Texto SMS: el envío de un mensaje de texto con un código al teléfono inteligente u otro dispositivo de un usuario.
- Token de hardware: un dispositivo pequeño y portátil, generador de una OTP.
Adoptar este tipo de defensa (u otras de carácter básico o más avanzado) pueden prevenir el 98% de los ataques.
Es fundamental la concienciación y capacitación de los empleados -y particulares- sobre la detección de ataques de phishing y la importancia de informar sobre actividades sospechosas de inmediato. La combinación de tecnología de seguridad sólida y una cultura de seguridad cibernética consciente puede ayudar a prevenir con éxito ataques cibernéticos.
Cómo el MFA ayudó a prevenir un ciberataque real
Jesús (nombre ficticio) es un trabajador de Technologies Spain SA (empresa ficticia) de tecnología que busca ofrecer servicios en la nube para clientes empresariales. Almacena datos sensibles de sus clientes, incluyendo información financiera y personal. Dada la sensibilidad de los datos, la empresa (con su beneplácito) ha implementado varias capas de seguridad, incluyendo la autenticación multifactor (MFA) para acceder a sus sistemas.
Un día, Jesús recibe un correo electrónico sospechoso que parece provenir de un proveedor de servicios externo con el que la empresa trabaja regularmente. El correo electrónico solicita a Jesús que haga clic en un enlace y proporcione sus credenciales de inicio de sesión para acceder a una supuesta actualización de seguridad.
Jesús, consciente de los riesgos de phishing, decide no seguir el enlace y en su lugar, informa a los equipos de seguridad de la empresa sobre el correo electrónico sospechoso. Los equipos de seguridad investigan y descubren que el enlace en el correo electrónico es una trampa de phishing diseñada para robar credenciales de inicio de sesión.
Cómo la MFA previno el ataque de manera clara
- Detección del intento de inicio de sesión no autorizado: Aunque el correo electrónico de phishing intentó engañar al empleado para que proporcionará sus credenciales, la capa adicional de MFA requerida para iniciar sesión proporcionó una barrera adicional. Incluso si el empleado hubiera proporcionado sus credenciales, el atacante aún habría necesitado el segundo factor de autenticación para acceder a la cuenta.
- Notificación de intento de inicio de sesión sospechoso: El sistema de MFA está configurado para notificar a los administradores de seguridad sobre intentos de inicio de sesión sospechosos o fallidos. En este caso, el intento de inicio de sesión desde un dispositivo no reconocido activó una alerta para los equipos de seguridad, permitiéndoles investigar y tomar medidas preventivas de inmediato.
- Protección de datos sensibles: Dado que la empresa almacena datos sensibles de sus clientes, la autenticación multifactor ayuda a garantizar que incluso si las credenciales de inicio de sesión de un empleado son comprometidas, los datos permanecen protegidos debido a la necesidad del segundo factor de autenticación para acceder a ellos.
En este caso real, la empresa no solo salvaguardó la integridad de los datos sensibles de sus clientes. Sino que también evitó potenciales pérdidas financieras significativas. Por su parte, Jesús demostró cómo una respuesta rápida y medidas de seguridad avanzadas pueden frustrar incluso los intentos de ataque más sofisticados potenciados por la IA generativa.
Consejos para adoptar MFA
No cabe duda de que cada vez más los usuarios de la red están comprendiendo la importancia de la ciberseguridad. Para los que aún son reticentes a implementar este tipo de seguridad, presentamos algunas estrategias para terminar de desequilibrar la balanza e implementar una solución tan crucial como la MFA:
- Eduquemos a la sociedad: Hay que explicar por qué la MFA es una herramienta fundamental para proteger sus datos y sistemas. Asegurarse de destacar cómo reduce drásticamente el riesgo de accesos no autorizados, brindando mayor tranquilidad y confianza.
- Escuchemos y comprendamos dudas: Es crucial entender los motivos que generan reticencia al cambio. Entre las dudas más comunes encontramos las molestias que pueda ocasionar, el coste asociado, la complejidad del proceso y la posible resistencia del usuario final. Para abordar estas preocupaciones, se debe ofrecer información precisa. Por ejemplo, destacar el ahorro potencial que supone la prevención de infracciones en comparación con el coste de la recuperación de datos y las multas reglamentarias. Además, es importante presentar opciones de MFA fáciles de usar y adaptables a las necesidades del usuario.
- Reforcemos el mensaje con ejemplos tangibles: Utilizar testimonios y casos de éxito que ya han implementado MFA con resultados positivos. Demostremos cómo pueden proteger las identidades sin afectar de forma negativa la productividad y la eficiencia, mejorando la reputación y la satisfacción de todos.
“En el panorama actual, MFA se ha convertido en un pilar fundamental para la ciberseguridad. No obstante, mucha gente aún no es consciente de las herramientas disponibles para proteger su infraestructura frente a las crecientes amenazas. Implementar estas estrategias te permitirá despejar las dudas”, apostilla Hervé Lambert.