¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA) es un marco avanzado de autenticación en capas que requiere al menos dos formas independientes de verificación para validar la identidad de un usuario y otorgar el acceso a un recurso, como aplicaciones, servidores o VPN. La autenticación multifactor tiene como objetivo suministrar una defensa por niveles para evitar que una persona no autorizada acceda a un objetivo (p. ej., ubicación física, dispositivo informático, red, base de datos, etc.) al dificultar el acceso a dicho objetivo. Con la autenticación multifactor, si se ve comprometido uno de los factores, todavía queda al menos una barrera adicional para proteger el acceso.

La autenticación multifactor, un componente fundamental de los marcos de la administración de identidades y accesos (IAM), mejora el umbral de acceso a los recursos. Aunque la autenticación de dos factores es técnicamente una forma multifactor de autenticación, por lo general se utilizan más de dos factores en la autenticación multifactor.

Por qué es necesaria la autenticación multifactor

La autenticación multifactor es necesaria principalmente porque mejora la postura general de seguridad de las organizaciones. Lleva a un nuevo nivel las credenciales de nombre de usuario y contraseña, lo que aumenta radicalmente la eficacia de la protección del acceso. Añadir factores adicionales, además de las contraseñas, permite evitar las filtraciones de contraseñas e impide que los hacker que utilizan credenciales robadas ingresen a la cuenta.

Además, la autenticación multifactor permite superar comportamientos riesgosos que son naturales para los usuarios, pero que hacen que sus credenciales sean susceptibles de ataques de fuerza bruta, por ejemplo:

• Reutilización de contraseñas
• Guardar la información de la contraseña en notas adhesivas o en ubicaciones digitales (p. ej., documentos, hojas de cálculo, contactos, etc.)
• Uso de contraseñas predecibles

Beneficios de la autenticación multifactor

• Se adapta a diferentes casos de uso
• Añade capas de seguridad en los niveles de hardware, software e identificación personal
• Les permite a los administradores ejecutar políticas que restringen el acceso según el horario o la ubicación
• Los usuarios la pueden configurar con facilidad
• Disminuye los costos de gestión al enfocarse en las conductas marcadas como sospechosa en lugar de que los administradores tengan que revisar todas las actividades
• Los usuarios ya no tienen que almacenar, recordar ni gestionar diferentes contraseñas de diversas cuentas
• Emplea un sistema de defensa multicapas que evita que los usuarios no autorizados o los cibercriminales accedan a recursos como cuentas, dispositivos, redes o bases de datos
• Permite el uso de contraseñas de un solo uso (OTP) que se generan de manera aleatoria en tiempo real y que se envían por mensaje de texto o correo electrónico
• Garantiza el cumplimiento de las normas establecidas por la administración empresarial, los gobiernos y los estándares del sector
• Mejora la confianza del usuario gracias a la protección de la información personal
• Incluye una opción para el acceso sin conexión en el caso de usuarios sin conexión a Internet
• Aumenta la productividad facilitándoles a los usuarios el acceso a los recursos desde cualquier dispositivo o ubicación sin comprometer la seguridad general
• Supervisa la actividad de los usuarios para identificar anomalías, como el procesamiento de transacciones de gran valor o el acceso a información confidencial desde redes o dispositivos desconocidos
• Ofrece una estructura de costo escalable que se ajusta a los presupuestos de todos los tamaños
• Previene el fraude ya que garantiza que los usuarios son quienes dicen ser
• Disminuye las filtraciones de seguridad más que usar solo las contraseñas
• Elimina los obstáculos de adopción gracias a un proceso con pocas fricciones para los usuarios
• Rastrea el uso de acuerdo con varios factores de riesgo, como la geolocalización, la dirección de protocolo de Internet (IP) y la hora del último inicio de sesión

Cómo funciona la autenticación multifactor

La autenticación multifactor solicita información de verificación adicional (lo cual se conoce como factor) además de las credenciales estándar de nombre de usuario y contraseña cuando un usuario intenta acceder a un recurso. Una vez autenticado, el usuario se conecta al recurso.

La autenticación multifactor se puede emplear en dispositivos y aplicaciones:

• La MFA para dispositivos verifica a un usuario cuando inicia sesión.
• La MFA para aplicaciones verifica a un usuario para que pueda acceder a una aplicación, o más.

Autenticación multifactor flexible

La autenticación multifactor flexible, conocida también como autenticación basada en riesgos, analiza factores adicionales mediante la consideración del contexto y del comportamiento. La autenticación multifactor flexible utiliza la inteligencia artificial (IA) para recopilar y procesar datos contextuales con el fin de calcular una calificación de riesgo relacionada con el intento de inicio de sesión mediante un análisis en tiempo real.

Según la calificación de riesgo, se puede determinar el método óptimo para la autenticación del usuario, por ejemplo:

• Si el riesgo bajo, solo se requiere una contraseña
• Si el riesgo es medio, se necesita la autenticación multifactor
• Si el riesgo es alto, se requieren procesos de autenticación adicionales

La autenticación multifactor flexible es dinámica, por lo que no usa ninguna lista estática de normas para los inicios de sesión. Gracias a la IA, se puede adaptar al comportamiento y a las características de los usuarios para luego usar el tipo de verificación de identidad más apropiado en cada sesión de usuario. Los factores considerados incluyen:

• Dispositivo ¿Está el usuario intentando iniciar sesión mediante un dispositivo no autorizado?
• Dirección IP ¿Se trata de la misma dirección IP que utiliza normalmente el usuario cuando inicia sesión en un recurso?
• Ubicación ¿Intentó el usuario iniciar sesión en una cuenta desde dos ubicaciones diferentes durante un corto periodo de tiempo? ¿Es la ubicación del inicio de sesión inusual para el usuario? ¿Está el usuario tratando de iniciar sesión desde una red pública y no desde una red empresarial?
• Confidencialidad ¿Está el usuario tratando de acceder a información confidencial?
• Horario de inicio de sesión ¿Se corresponde la hora de inicio de sesión con las horas de inicio de sesión normales del usuario?

Ejemplo de autenticación multifactor flexible

La autenticación multifactor flexible puede identificar a un usuario que intenta iniciar sesión desde una cafetería a altas horas de la noche, lo que representa un comportamiento inusual. Entonces, se le solicita al usuario que introduzca una contraseña de un solo uso, la cual se envía por mensaje de texto a su teléfono, además de colocar su nombre de usuario y contraseña.

En otras circunstancias, si el usuario intenta iniciar sesión desde la oficina a las 8:00 a. m., como lo hace todos los días, es posible que solo se le pida que introduzca su nombre de usuario y contraseña.

Inteligencia artificial (IA) y autenticación multifactor

Incorporar la inteligencia artificial (IA) a la autenticación multifactor mejora esta práctica de seguridad en términos de eficacia y eficiencia. Los ciberdelincuentes evolucionan constantemente y se han convertido en expertos en robar las credenciales de los usuarios. El hecho de incorporar la IA al proceso les dificulta a los ladrones burlar las protecciones de la autenticación multifactor.

El sistema de autenticación multifactor basado en la IA aprende y se adapta con el tiempo para ir un paso por delante de los ciberdelincuentes sin afectar a los usuarios finales.

La MFA basada en la IA se puede utilizar para verificar las identidades de los usuarios según su comportamiento. Por ejemplo, la biometría del comportamiento puede rastrear todo: desde la manera como los usuarios sostienen sus teléfonos hasta su modo único de caminar.

La autenticación multifactor basada en la IA también incluye:

• Autenticación biométrica
• Reconocimiento facial
• Reconocimiento de huella digital
• Reconocimiento de iris
• Reconocimiento de palma
• Reconocimiento de voz

Ejemplos de autenticación multifactor

Verificación biométrica

Los dispositivos inteligentes o computadoras con funciones de autenticación biométrica pueden verificar la identidad. La biometría se utiliza cada vez más como parte de la autenticación multifactor, ya que proporciona a los usuarios un paso de inicio de sesión de baja fricción y aumenta la seguridad, puesto que es imposible de falsificar.

Autenticación mediante token de correo electrónico

Con la autenticación mediante token de correo electrónico, los usuarios reciben un correo electrónico con una contraseña de un solo uso (OTP). Esta OTP, así como un método de autenticación adicional, o más, se emplea para verificar la identidad del usuario. A menudo, se ofrece como alternativa a la autorización por token de SMS en el caso de usuarios que no tengan un teléfono móvil a la mano.

Autenticación mediante token de hardware

Los tókenes de hardware se utilizan en la autenticación multifactor para añadir un nivel de seguridad adicional. Aunque es más costoso que la autenticación mediante token de correo electrónico o de mensaje de texto, se considera que es el método de seguridad más alta. Los tókenes de hardware se deben introducir en un dispositivo para validar la identidad del usuario y otorgar el acceso al dispositivo.

Autenticación mediante inicio de sesión social

El inicio de sesión social, o verificación de identidad social, se puede utilizar en la autenticación multifactor si un usuario ya inició sesión en una plataforma de red social. Aunque este factor de autenticación se considera más riesgoso que otros, puede ser efectivo cuando se emplea con otros métodos de identificación de identidad.

Autenticación mediante token de software

Se pueden usar las aplicaciones de autenticación de dispositivos inteligentes para la autenticación multifactor. Esta aplicación convierte el dispositivo inteligente en un token que se puede vincular a los servicios de autenticación para agregar un nivel multifactor de autenticación.

Autenticación basada en riesgos

La autenticación basada en riesgos (RBA) es compatible con la autenticación multifactor, ya que supervisa el comportamiento y la actividad (p. ej., ubicación, dispositivo, pulsación de teclas, etc.). De acuerdo con las conclusiones, la RBA puede notificar la frecuencia de las revisiones de la autenticación multifactor con el fin de mejorar la seguridad y disminuir los riesgos.

Preguntas de seguridad

Se pueden usar un tipo de autenticación basada en conocimientos (KBA), la seguridad estática o las preguntas dinámicas en la autenticación multifactor. En el caso de las preguntas estáticas, los usuarios proporcionan respuestas a preguntas durante la configuración de su cuenta, las cuales luego se formulan aleatoriamente para verificar su identidad durante el proceso de inicio de sesión.

Las preguntas dinámicas se generan en tiempo real utilizando información disponible públicamente. Por lo general, a los usuarios se les hace una pregunta con una serie de respuestas (p. ej., en qué ciudad nació, vivió en algunas de las siguientes direcciones, alguna vez tuvo uno de los siguientes números telefónicos, etc.). Para verificar su identidad, deben seleccionar la respuesta correcta.

Autenticación mediante servicio de mensajes cortos (SMS)

En el caso de la autenticación mediante token de SMS, se envía un mensaje de texto con un número de identificación personal (PIN). El PIN se utiliza como OTP junto con un factor, o más.

La autenticación mediante token de SMS es un método multifactor de autenticación que se puede implementar con facilidad. Suele ofrecerse como método de entrega alternativo a la autenticación mediante token de correo electrónico.

Autenticación mediante contraseña de un solo uso y por tiempo limitado

Las contraseñas de un solo uso y por tiempo limitado (TOTP) se generan cuando un usuario intenta iniciar sesión y caducan después de un tiempo determinado. Las TOTP se envían a los teléfonos inteligentes o computadoras de los usuarios por medio de SMS o correo electrónico.

Métodos multifactor de autenticación

La autenticación multifactor combina varios métodos de autenticación. Los métodos principales de MFA se basan en tres tipos de información que se usa para verificar la identidad:

• Conocimiento o datos que sabe el usuario
• Posesiones u objetos que tiene el usuario
• Factores o características inherentes del usuario
• Autenticación basada en el tiempo

Categoría de conocimientos para la autenticación multifactor

Con la autenticación multifactor, la verificación de identidad basada en conocimientos implica que el usuario debe responder una pregunta de seguridad. En el caso de la autenticación multifactor, algunos ejemplos de conocimientos pueden ser:

• Respuestas a preguntas de seguridad (p. ej., el lugar de nacimiento del usuario, su color favorito, la mascota de su secundaria, el apellido de soltera de su madre, etc.)
• OTP
• Contraseñas
• PIN

Categoría de posesiones para la autenticación multifactor

Un factor de posesión en el caso de la autenticación multifactor requiere que el usuario posea un objeto para iniciar sesión, puesto que sería difícil que un ciberdelincuente lo tuviera. Los objetos incluidos en la categoría de posesiones de MFA son:

• Insignias
• Llaves remotas
• Llaveros
• Dispositivos móviles
• Tókenes físicos
• Tarjetas inteligentes
• Tókenes de software
• Memorias USB

Categoría de factores inherentes para la autenticación multifactor

En la autenticación multifactor, cualquiera de las características biológicas del usuario se puede utilizar para verificar la identidad. Los factores inherentes incluyen los siguientes métodos de verificación biométrica:

• Reconocimiento facial
• Escaneo de huellas digitales
• Autenticación por voz
• Escaneo de retina o iris
• Autenticación por voz
• Geometría de la mano
• Escáneres de firmas digitales
• Geometría del lóbulo de la oreja

Autenticación multifactor basada en el tiempo

El tiempo también se puede utilizar en la autenticación multifactor. La autenticación basada en el tiempo puede probar la identidad de una persona mediante la detección de su presencia a una hora determinada y permitir el acceso a un sistema o lugar específico. Por ejemplo, si se realiza una extracción desde un cajero en EE. UU. y diez minutos después se intenta realizar otro retiro desde un cajero en China, se bloqueará la tarjeta.

Mejores prácticas de la autenticación multifactor

No es difícil implementar la autenticación multifactor, pero hacerlo con las mejores prácticas permite una ejecución eficiente y efectiva. A continuación, se exponen las mejores prácticas comúnmente citadas para implementar y gestionar los sistemas de MFA.

Enseñar a los usuarios la importancia de la autenticación multifactor y cómo utilizarla. >br/>Los usuarios, considerados como los eslabones más débiles de las cadenas de seguridad, desempeñan un papel integral en el éxito de la implementación de la MFA. Tomarse el tiempo para enseñarles cómo funciona el sistema y la importancia de seguir las normas representa un gran apoyo para el programa.

Implementar la autenticación multifactor en toda la empresa.  Evite brechas que puedan debilitar la autenticación multifactor mediante la inclusión de todos los puntos de acceso, en toda la organización, durante la ejecución. Asegúrese de incorporar el acceso remoto a las redes durante la implementación de la MFA para incluir los usuarios remotos y distribuidos de todos los sistemas.

Incluir la autenticación multifactor flexible.  Aproveche el contexto con el fin de desarrollar un enfoque flexible y escalonado para la MFA que solo solicite a los usuarios factores adicionales según las calificaciones de riesgo y no de manera predeterminada.

Ofrecer a los usuarios diversos tipos de MFA. Mejore la experiencia y la adopción de los usuarios ofreciéndoles diversos tipos de MFA o factores de autenticación. Esta flexibilidad evita un enfoque único para todos que pueda ser restrictivo y engorroso para los usuarios. Ofrecer opciones de factores de autenticación a los usuarios aumenta su satisfacción en relación con el sistema y la adopción general.

Reevaluar la implementación de la autenticación multifactor.  Lleve a cabo evaluaciones con regularidad para garantizar que la implementación de la autenticación multifactor sea óptima para hacer frente a las amenazas actuales y que cubra todos los puntos de acceso.

Adoptar un enfoque basado en estándares.  Siga estándares para garantizar que el sistema multifactor de autenticación funcione de manera óptima dentro de la infraestructura de TI existente. El Remote Authentication Dial-in User Service (RADIUS) es uno de los estándares que se debe considerar, así como Open Authentication (OAuth), que habilita la autenticación de todos los usuarios en todos los dispositivos y en todas las redes.

Utilizar la autenticación multifactor junto con otras herramientas de seguridad complementarias.  La autenticación multifactor, combinada con otras soluciones de control de acceso como el inicio de sesión único (SSO) y el acceso con privilegios mínimos, proporciona una mayor seguridad.

La MFA ofrece una excelente defensa de primera línea

Los ciberataques provienen de muchos vectores, pero los usuarios finales son los objetivos frecuentes. La autenticación multifactor mejora los puntos de acceso de los usuarios finales, por lo que, incluso si se aprovechan de los puntos débiles y se roban las credenciales, existen capas adicionales de protección.

La autenticación multifactor, como hace uso de la IA y de otras tecnologías emergentes, continúa siendo una de las soluciones más eficientes para proteger el acceso de los usuarios finales. Las soluciones de MFA ofrecen una protección efectiva que con mínimo impacto en los usuarios finales y en los administradores de TI, que ya están sobrecargados.