El robo de credenciales resulta una práctica habitual en el mundo de Internet. Apenas sin esfuerzo, los ciberdelincuentes son capaces de acceder a las contraseñas de los usuarios utilizando técnicas de ingeniería social como el phishing, la explotación de las claves compartidas o la reutilización de passwords en diferentes servicios. Según Microsoft, el 99,9% de las cuentas de usuarios que son hackeadas no utilizan doble factor de autenticación. En el caso de cuentas corporativas, solo el 11% de ellas utilizan MFA –Multi Factor Authentication (Múltiple factor de autenticación).
En este escenario, la pregunta que nos hacemos es, ¿por qué el uso de un doble factor de autenticación no se encuentra más extendido?, ¿por qué hay tantas reticencias con la MFA? Según los estudios realizados por algunas consultoras, las justificaciones —que no certezas— que plantean los posibles usuarios son múltiples. A continuación, revisamos las que nos parecen más relevantes.
Soluciones costosas, concebidas solo para grandes compañías
Es evidente que el despliegue de una solución MFA a menudo implica la instalación de un producto comercial de Gestión de Identidad (IdM) que proporcione servicios avanzados de seguridad. A ello hemos de añadir que algunos de estos productos utilizan como doble factor de autenticación el envío de SMS que masivamente resultan caros.
Sin embargo, no todos son así. Existen soluciones económicas, accesibles incluso a las PYMES. Soluciones que no son complejas de desplegar. Actualmente numerosas aplicaciones utilizan mecanismos PUSH OTP —One Time Password— que no incrementan el coste operativo del servicio. Las aplicaciones se instalan en el terminal móvil del usuario y este sirve de token de autenticación. Algunos fabricantes llegan incluso a proporcionar estas aplicaciones de forma gratuitas para empresas que no superan un número de empleados.
Llegados a este punto y siendo así, ¿por qué no se utilizan con más asiduidad? La respuesta no está clara. De hecho, los ciudadanos podemos hacer uso de los sistemas MFA —dobles factores de autenticación instalados en nuestros teléfonos móviles— prácticamente sin coste. Las mismas aplicaciones que emplean las grandes compañías, aunque en versión reducida. Se trata de sistemas que como mínimo proporcionan un segundo nivel de verificación antes de autorizar el acceso a cualquiera de las aplicaciones que habitualmente utilizamos —redes sociales, cuentas de correo electrónico, etc. Si lo pensamos detenidamente, solo con este mecanismo dificultan enormemente la acción de los ciberdelincuentes. Sin embargo, la pregunta permanece sin responder: ¿por qué entonces los MFA no se utilizan más?
Muchos usuarios piensan en realidad que los MFA son solo necesarios para determinadas aplicaciones que se consideran importantes como cuentas bancarias, medios de pago, acceso a información sanitaria, conexiones VPN etc. Ahora bien, ¿por qué pensamos que existen aplicaciones que no son importantes? Cuando utilizamos cuentas de Facebook, Twitter o Gmail como mecanismo de autenticación para otras aplicaciones, ¿hemos considerado el papel que juegan esas cuentas?
La dependencia entre aplicaciones puede estar a menudo oculta. Es evidente que los sistemas de SSO encuentran caminos alternativos para llegar a aplicaciones que quizás también deberían estar protegidas. Al final, pensado detenidamente, todas las aplicaciones que utilizamos deberían contar con un sistema eficiente de autenticación. Sin embargo, algunas de estas razones no acaban de convencerlos.
Impactan en la operativa normal del negocio
Aquellos decisores que aún se muestran reticentes con los MFA argumentan que el impacto operativo en una compañía puede ser importante. Y efectivamente, así es. Estos sistemas introducen cambios en los procedimientos de trabajo. No nos engañemos. Los MFA plantean pasos adicionales en la autenticación de los usuarios y con ellos afectan a la operatividad.
Y ciertamente no podemos negar que en ocasiones resultan lentos. Algo desmotivador si durante un día se accede continuamente a uno o varios servicios.
Ahora bien, la pregunta que quizás deberíamos plantearnos es si ese sacrificio merece la pena en beneficio de la seguridad. Actualmente existen sistemas MFA adaptativos que solo se activan cuando se detectan comportamientos sospechosos y que agilizan esos procesos, reduciendo sensiblemente los tiempos de acceso hasta hacerlos prácticamente irrelevantes. Por tanto, tampoco esta excusa resulta suficientemente justificada.
Debería ser una opción para los empleados o solo para usuarios privilegiados
Aquellos que comiencen a dudar sobre qué otros argumentos podrían dar, se escudan en que quizás debería dejarse que los empleados decidieran sobre su uso o incluso que los MFA deberían utilizarse solo en usuarios privilegiados.
Respecto a la primera propuesta, la respuesta inmediata es que la seguridad no debe ser una opción. Si se plantea con esa mentalidad, el fracaso estará garantizado. Un sistema MFA debe implantarse tratando de que afecte lo menos posible a los usuarios, cierto, pero dejar que el usuario decida cuándo utilizarlo convierte a la ciberseguridad en un simple “checkbox” que podemos activar o desactivar a nuestra conveniencia. Y eso resulta extremadamente peligroso.
Por otra parte, la afirmación de que los perfiles de la mayoría de los empleados no implican riesgos de seguridad para una organización porque no tienen acceso a información sensible es tan arriesgada como la anterior. Y lo preocupante es que se trata de una idea muy extendida.
La mayoría desconoce que los ciberdelincuentes comienzan su escalada de privilegios precisamente por las cuentas de esos otros usuarios, hasta alcanzar sus verdaderos objetivos; porque una vez dentro de la organización los caminos hacia la información crítica pueden llegar a ser múltiples. Por eso, tampoco este planteamiento resulta demasiado verosímil y nos conduce a una última reticencia.
Los sistemas MFA no son una solución completa
Y lo cierto es que efectivamente así es. De hecho, no pretende serlo, entre otras cosas porque no existe la seguridad completa. Sin embargo, se trata de un mecanismo esencial que reduce la superficie de ataque de los ciberdelincuentes. Y decimos “reduce” porque las soluciones MFA también tienen riesgos, principalmente de ingeniería social. A cambio, afronta, a través de una solución sencilla y razonablemente robusta, uno de los problemas de ciberseguridad más extendidos. Más aún, los MFA son un elemento básico de lo que actualmente viene a llamarse la seguridad Zero Trust.
¿Cuál es el tamaño del mercado de los sistemas MFA?
Si llegados a este punto, hemos convencido a alguien y se siente tentado a implantar una solución MFA, debemos decir que existen diferentes opciones que pueden serle útiles. Se trata de un segmento del mercado que según los analistas crece a un ritmo superior al 11% solo en Europa. Y eso es analizado de forma agregada, porque los crecimientos pueden llegar a ser superiores si se plantean teniendo en cuenta los diferentes niveles de autenticación que utilizan.
Los sistemas MFA pueden conformarse con hasta cuatro niveles de autenticación: lo que se sabe, lo que se tiene, lo que se es o la localización geográfica. Los productos comerciales emplean aplicaciones y tokens físicos que cubren todos estos aspectos; desde la gestión de claves, a los tokens dinámicos, los reconocimientos biométricos o incluso el geoposicionamiento. Por eso, la elección de una solución MFA debe tener en consideración los niveles que se desean implantar. La lista de productos comerciales disponibles resulta extensa, con actores destacados como Okta, Cisco-Duo, Thales, Google, Microsoft, Yubico, Authy, Swivel etc.
El difícil equilibrio entre seguridad y comodidad
Llegados a este punto, algunos argumentan que como justificación final, que en realidad las contraseñas son una solución suficientemente equilibrada entre seguridad y comodidad, y que no necesitan nada más. Incluso que, si fuera el caso, la tecnología debería evolucionar hacia sistemas sin contraseñas, tal y como persigue la FIDO Alliance.
Sin embargo, hasta que llegue ese momento, quizás deberíamos pensar que, en esta nueva normalidad que nos ha tocado vivir y en la que la conexión remota a servicios se conforma como la nueva forma de relación social o laboral, los sistemas MFA pueden ser esa solución equilibrada que contribuya a reducir los riesgos que trae consigo la gestión de la identidad. Y eso aplica tanto a empresas como a personas.