Autenticación multifactor (AMF)-o el uso de más de un factor de identificación cuando alguien solicita acceso a recursos seguros- es fundamental para frustrar los ataques relacionados con credenciales, cumplir la normativa de ciberseguridad y mantener los recursos a salvo. Al requerir un factor (o factores) de autenticación adicional más allá de una simple combinación de nombre de usuario y contraseña, la AMF crea otro obstáculo para los posibles atacantes que intentan obtener acceso. La AMF ha sido extremadamente eficaz desde su adopción generalizada en las dos últimas décadas; en un estudio, demostró su éxito en mantener seguras más del 99,99% de las cuentas.
La eficacia de la AMF para detener los ataques inspira constantemente a los atacantes a idear tácticas cada vez más complejas y crear nuevas vías de ataque que burlen las defensas de una organización. La buena noticia es que la AMF también se adapta constantemente para hacer frente a los nuevos retos. En este artículo, analizaremos las tendencias de la AMF que se vislumbran en el horizonte, incluidos los retos que la AMF deberá tener en cuenta, los nuevos métodos de AMF y las consideraciones que las organizaciones deberán tener en cuenta a la hora de evaluar las innovaciones de la AMF.
1. Autenticación adaptativa
La autenticación adaptativa evolucionó a partir de la AMF tradicional como forma de aumentar la seguridad sin aumentar la carga de los usuarios. Es una forma avanzada de AMF que responde dinámicamente a alguien que presenta credenciales para acceder, basándose en el nivel de riesgo asociado al intento de acceso. Por ejemplo, si inicias sesión en tu dispositivo habitual desde tu ubicación habitual, la AMF adaptativa lo reconocerá y concederá el acceso sin requerir un factor de autenticación adicional.
Pero si inicias sesión desde un dispositivo no reconocido en un lugar desconocido, o utilizas un navegador o una red distintos de los habituales, la AMF adaptativa puede pedirte que aportes un factor de autenticación adicional. A veces, este factor adicional se denomina "autenticación escalonada", ya que los requisitos de autenticación del sistema aumentan en tiempo real junto con el riesgo. Como las amenazas siguen evolucionando, esperamos que más organizaciones implanten la autenticación adaptable para garantizar que su seguridad sigue el ritmo de las amenazas.
La AMF adaptativa proporciona mayor seguridad que los métodos y políticas de autenticación estáticos. Al adaptarse dinámicamente a las amenazas en tiempo real, la AMF adaptativa puede detectar y bloquear ataques sofisticados como el relleno de credenciales y el phishing, y puede reducir la Fatiga del AMF que se asocia a los atacantes que bombardean a los usuarios con solicitudes de autenticación para permitir un intento malicioso de inicio de sesión. Además de mejorar la seguridad, la autenticación adaptativa también mejora la experiencia del usuario, al reducir el número de solicitudes de verificación a las que deben enfrentarse los usuarios en la autenticación.
2. Autenticación en función del contexto
La autenticación basada en el contexto es un componente de la autenticación adaptativa que puede convertirse en un pilar de la AMF. Al igual que la autenticación adaptativa, la autenticación contextual analiza varios datos para tomar decisiones de autenticación:
- Tipo de dispositivo: ¿El inicio de sesión procede de un dispositivo conocido?
- Ubicación: ¿El usuario se conecta desde una ubicación conocida?
- Dirección IP: ¿La IP está asociada a una VPN?
- Hora de acceso: ¿El acceso se produce a una hora inusual?
- Comportamiento: ¿La velocidad de tecleo o el movimiento del ratón reflejan el comportamiento habitual?
Aunque tanto la autenticación contextual como la adaptativa analizan la información de inicio de sesión, hay una gran diferencia entre ambas: La autenticación contextual comprueba las condiciones de inicio de sesión e informa sobre ellas, pero no ajusta necesariamente la seguridad de forma dinámica en función del contexto que detecta, sino que deja que sea una respuesta humana la que actúe en función de la información. La autenticación adaptativa, por otro lado, es una capacidad en tiempo real, impulsada por la IA, que puede cambiar la autenticación y realizar ajustes de riesgo en el momento, incluido el bloqueo automático de inicios de sesión de alto riesgo.
3. Autenticación sin contraseña
Difíciles de recordar para los usuarios y fáciles de adivinar para los atacantes, las contraseñas se han convertido en un eslabón débil de la autenticación, especialmente con el aumento vertiginoso del número de recursos que requieren un acceso seguro. Autenticación sin contraseña aborda este dilema verificando las identidades sin depender de contraseñas; los procesos de autenticación sin contraseña utilizan una amplia gama de factores no basados en contraseñas, incluidos tokens de hardware de eficacia probada, contraseñas de un solo uso (OTP) generadas y acciones basadas en aplicaciones, como pulsar para aprobar. Cuantas más opciones sin contraseña haya, más posibilidades tendrán las empresas de adaptar los entornos sin contraseña a sus necesidades específicas o a grupos de usuarios concretos.
La autenticación sin contraseña está evolucionando en sofisticación y eficacia. Una tendencia que vemos que influye en la evolución de la AMF es que cada vez más organizaciones utilizan métodos sin contraseña para mejorar la experiencia del usuario. Por ejemplo, las empresas se inclinan cada vez más por los inicios de sesión sin contraseña a través de la biometría como medio para proteger mejor los sistemas internos, luchar contra el phishing y mejorar su postura de confianza cero.
Passkeys ofrecen otra vía para mejorar la seguridad de las empresas mediante métodos de autenticación sin contraseña. Aunque antes se asociaban principalmente a la experiencia del consumidor, cada vez forman más parte del futuro de la AMF, sobre todo en el uso empresarial. La clave para que las organizaciones implanten con éxito las passkeys es aprovechar las soluciones adecuadas para el uso empresarial y maximizar la seguridad.
Para ello, las organizaciones deben utilizar normalmente claves de acceso vinculadas a dispositivos en lugar de claves de acceso que se sincronizan libremente entre varios dispositivos.
4. Identidad descentralizada (DID)
La combinación de identidad descentralizada (DID) y tecnología blockchain está llamada a influir en la evolución de la AMF. En un entorno DID, los propios usuarios poseen y controlan su identidad en lugar de depender de una autoridad centralizada, como una base de datos o una gran plataforma tecnológica. Por ejemplo, en lugar de iniciar sesión en un recurso utilizando una cuenta de la organización, un usuario puede añadir credenciales verificadas a una cartera descentralizada, utilizando la cadena de bloques como un libro de contabilidad a prueba de manipulaciones para los registros de autenticación.
Un enfoque DID + blockchain tiene el potencial de mejorar la AMF de varias maneras. Al eliminar la presencia de una autoridad central que controle los datos de autenticación, reduce el riesgo de filtración de datos. También permite la autenticación sin contraseña, verificando la identidad mediante claves criptográficas almacenadas en la cadena de bloques. Y como utiliza claves privadas almacenadas de forma segura para la autenticación, puede hacer inútiles los ataques de suplantación de identidad.
5. Tecnologías emergentes en AMF
Varias tecnologías emergentes tienen un enorme potencial para influir en la AMF, tanto para bien como para mal. En el lado positivo, AI está ayudando a permitir una detección de amenazas proactiva, adaptable y automatizada; a medida que evolucionen las ciberamenazas, los sistemas basados en IA serán la clave para la defensa contra amenazas en tiempo real. Sin embargo, hay otra cara de la moneda: los ciberatacantes también pueden utilizar la IA para crear mecanismos de amenaza nuevos y más potentes. Sin embargo, cabe destacar que la gran mayoría de los profesionales de la ciberseguridad en una reciente encuesta de Encuesta RSA (80%) informaron de que esperan que, en los próximos años, la IA contribuya más a mejorar la ciberseguridad que a favorecer a los ciberdelincuentes.
El uso de dispositivos IoT y conectados como factores de AMF también presenta ventajas y amenazas potenciales para la autenticación. Los dispositivos IoT desempeñan un papel clave a la hora de permitir la autenticación basada en la proximidad (piense en smartwatches que desbloquean portátiles); el acceso consciente del contexto (en el que los sensores IoT verifican a los usuarios en función de su ubicación y otros factores); y la autenticación sin contacto, en la que los dispositivos reconocen automáticamente a los usuarios autorizados. Al mismo tiempo, sin embargo, en virtud de su interconexión con múltiples dispositivos y recursos, IoT también puede abrir más vías para introducir riesgos de autenticación.
Un área de las tecnologías emergentes que es inequívocamente un problema potencial para la AMF es la computación cuántica, que supone una seria amenaza para las técnicas de cifrado que aseguran los sistemas AMF. Afortunadamente, sin embargo, no ha habido usos verificables de la computación cuántica para romper el cifrado o la AMF. Y, dado que informática cuántica requiere más recursos de los disponibles actualmente, la tecnología está aún en pañales y cualquier riesgo que plantee para la AMF o el cifrado es aún puramente teórico. El NIST ha afirmado que las claves de 2048 bits deberían seguir ofreciendo protección suficiente al menos hasta 2030, y la mayoría de los navegadores web modernos admiten claves de 4096 bits en caso de necesidad.
Además, se está trabajando para hacer la AMF resistente a la cuántica, y el NIST está tomando medidas para normalizar algoritmos de cifrado resistentes a la cuántica que creen protocolos AMF seguros para la cuántica. La agencia ha publicado nuevas normas de cifrado FIPS post-cuánticas (FIPS 203, FIPS 204, y FIPS 205). Las organizaciones deberían revisar estas orientaciones y empezar a aplicarlas hoy mismo.
¿Cómo se asegurará de que sus capacidades de autenticación están a la altura de los retos a los que se enfrenta hoy en día la AMF, y de los nuevos riesgos que evolucionan para eludirla?
Su defensa empieza simplemente por ser consciente de esas tendencias y mantenerse al tanto de ellas, y continúa con la adopción de las medidas adecuadas para adelantarse a ellas. Eso significa adoptar avances de MFA como la autenticación adaptativa, pasar a la autenticación sin contraseña y explorar las tecnologías emergentes relacionadas con MFA para comprender las ventajas que pueden aportar y los riesgos que podrían plantear. Como siempre, RSA está aquí para ayudar.
