Autenticación multifactor o MFA: qué es y por qué debes utilizarla en tu empresa
Cada vez nos apoyamos más en la tecnología para realizar acciones de nuestra vida diaria. Las herramientas que utilizamos se van sofisticando, pero también lo hacen los ciberdelincuentes con nuevas formas de atacar más potentes y refinadas. Para evitar este tipo de incidencias, la autenticación multifactor (MFA) es uno de los mejores sistemas de seguridad y su uso es cada vez más habitual en miles de apps y programas.
Índice:
- ¿Qué es la autenticación multifactor o MFA?
- Tipos de MFA para mejorar la seguridad de tu empresa
- ¿Para qué sirve?
- ¿Cómo funciona la autenticación de dos factores? ¿Y la multifactor?
- ¿Por qué necesitas la autenticación multifactor (MFA) en tu empresa?
- ¿Cuándo utilizar la autenticación multifactor?
- ¿Qué amenazas y riesgos presenta la autenticación multifactor?
- ¿Es segura la MFA?
¿Qué es la autenticación multifactor o MFA?
La ciberseguridad es una de las principales preocupaciones para personas y empresas. Cada día, se producen miles de ciberataques en el mundo y los robos de contraseñas ocurren, desgraciadamente, con bastante frecuencia.
Para evitarlo, existen fórmulas que permiten proteger nuestros datos e información en la red. Estas fórmulas han ido volviéndose cada vez más complejas, de manera que, de simples contraseñas hemos pasado a tarjetas de coordenadas con centenares de secuencias de dígitos o, incluso, verificaciones biométricas del iris del ojo o de la huella dactilar.
Una de esas formas de protección es la autenticación multifactor (MFA), un método de seguridad con varios factores que permite a un usuario proceder a su identificación. Al contrario que otros, no depende únicamente de una contraseña, sino de varios factores de autenticación y de distinta naturaleza, lo que lo hace menos sensible a ciberataques.
Tipos de MFA para mejorar la seguridad de tu empresa
Las formas de autenticación utilizan distintos códigos para verificar nuestra identidad. A cada uno de estos códigos se le llama “factor” y están concebidos para elevar las condiciones de seguridad y dificultar el acceso a nuestra información por parte de ciberdelincuentes.
Estos factores son porciones de información que solo nosotros tenemos y que le proporcionamos a la herramienta para poder dar fe de nuestra identidad. Los hay de varios tipos:
Factor de conocimiento
Como su nombre indica, se trata de algo que el usuario conoce, como puede ser una contraseña, un patrón de desbloqueo o un código PIN elegido por él mismo.
Factor de contexto
Cuando los factores vienen dados por la situación geográfica, como la conexión a una red interna, o el tiempo en el que se requieren, nos encontramos ante factores de contexto.
Factor de posesión
Cuando la información se encuentra en un dispositivo externo que el usuario tiene físicamente, estamos ante un factor de posesión. Ejemplo de esto puede ser una llave de seguridad, un token, una aplicación móvil, un dispositivo criptográfico, una contraseña de un solo uso (OTP)…
Factor de inherencia
Las personas contamos con características que son 100% únicas y personales, como pueden ser la voz, la huella dactilar, el face ID, o incluso patrones de comportamiento… y que, por lo tanto, pueden servir para acreditar nuestra identidad.
¿Para qué sirve?
Al igual que el tradicional sistema de usuario y contraseña, la autenticación de varios factores nos permite identificarnos como usuarios a la hora de acceder a alguna herramienta, como pueda ser nuestra aplicación móvil del banco o el correo electrónico de empresa.
¿Cómo funciona la autenticación de dos factores? ¿Y la multifactor?
Cuando se nos piden dos contraseñas del mismo tipo, estamos ante una autenticación de dos factores (2FA).
Por ejemplo, queremos hacer una transferencia desde nuestra aplicación móvil del banco y necesitamos primero nuestro código PIN y después, nuestra firma electrónica: en ambas ocasiones, estamos utilizando factores de conocimiento con información que solo nosotros tenemos (las contraseñas que hemos elegido para esa aplicación), por lo que sería una 2FA.
Sin embargo, si nos requieren dos (o más) factores de distinta categoría y totalmente independientes, estaríamos hablando de una autenticación multifactor.
Ejemplo de esto sería cuando combinamos dos o más factores distintos al acceder a una herramienta con la huella dactilar (factor de inherencia) y se nos requiera de una contraseña de un solo uso que nos han enviado por SMS (factor de posesión) para confirmar una operación.
¿Por qué necesitas la autenticación multifactor (MFA) en tu empresa?
Uno de los principales retos a los que se enfrentan los métodos convencionales para iniciar sesión con el nombre de usuario y una contraseña es que son datos que los ciberdelincuentes pueden robar con relativa facilidad.
Existen algunas herramientas, como los password crackers, diseñadas para recuperar contraseñas, que combinan caracteres hasta dar con la secuencia correcta. Aunque su uso puede ser lícito, los criminales pueden utilizarlas para conseguir acceder a un sistema de forma fraudulenta.
Por ello, añadir nuevos pasos que dificulten la labor de los hackers es fundamental para tener una mayor seguridad, sobre todo en los entornos empresariales donde la información que se maneja puede ser comprometida y de alta sensibilidad.
¿Cuándo utilizar la autenticación multifactor?
La ciberseguridad es un aspecto crítico de las empresas y, por este motivo, cualquier decisión que puedan tomar para reducir los errores humanos que puedan ocurrir y que den lugar a las temidas brechas de seguridad será un acierto. La autenticación multifactor es uno de los métodos más seguros para el día a día y, en ese sentido, su uso es siempre recomendable.
No obstante, es importante encontrar un equilibrio entre la seguridad y la eficiencia. No siempre más es mejor.
En el caso de la autenticación multifactor, es importante valorar el número de pasos y la naturaleza de los mismos para que cada empleado pueda iniciar sesión en una herramienta, atendiendo a cuestiones como el tiempo que utilice para identificarse, el esfuerzo que tenga que realizar, los recursos necesarios (y la inversión económica para tenerlos) y las posibles incidencias, como pueda ser el extravío de un token o una tarjeta de coordenadas.
¿Qué amenazas y riesgos presenta la autenticación multifactor?
Aunque la MFA es un método de protección muy eficaz, también presenta algunos riesgos que conviene conocer para poder estar prevenidos frente a ellos.
Algunas de las amenazas más comunes vienen de lo que se llama social media mining, es decir, el proceso por el cual las aplicaciones de tipo social, como las redes sociales o los juegos, obtienen los datos de los usuarios.
Estos datos, en manos de los hackers, pueden ser utilizados para adivinar contraseñas, sobre todo en aquellas fórmulas en las que existe una pregunta de seguridad con información sobre alguna cuestión que pueda estar visible en nuestros perfiles, como, por ejemplo, el nombre de nuestra mascota.
Además del social media mining, también son habituales los ataques de “troyanos”, malware diseñado para acceder a los dispositivos y extraer credenciales y contraseñas. También, los factores de posesión como por ejemplo los SMS son un objetivo sencillo para los ciberdelincuentes.
¿Es segura la MFA?
Aunque pocas cosas están exentas de riesgos y amenazas, la autenticación multifactor sigue siendo una de las formas más habituales y eficaces para la ciberseguridad de una empresa.
Cualquier acción ayuda y, con las medidas pertinentes, unas herramientas constantemente actualizadas, evaluaciones recurrentes en materia de debilidades y ataques potenciales y la formación de los empleados necesaria para evitar brechas de seguridad, la MFA es una de las fórmulas más seguras de las que las empresas pueden disponer.