Prácticas recomendadas sin contraseña resistentes al phishing: Lea el informe de Gartner

Se habla mucho de la necesidad urgente de resistirse al phishing, y no cabe duda de que el phishing representa una amenaza importante, como lo demuestran los recientes ataques contra el Cambiar la asistencia sanitaria y Inversiones Fidelity demuéstralo.

El phishing es un tipo de ciberataque en el que los atacantes engañan a los usuarios para que revelen credenciales o información confidencial, a menudo a través de correos electrónicos, sitios web o mensajes engañosos. Los métodos de autenticación resistentes al phishing, incluidos los enfoques sin contraseña, están diseñados para evitar el robo de credenciales vinculando la autenticación a un dispositivo u origen y eliminando los secretos compartidos.

Autenticación sin contraseña: ¿a qué espera?

También se habla mucho de la importancia de la autenticación sin contraseña para que las organizaciones sean resistentes al phishing, con directivas como la M-22-09, la Orden Ejecutiva 14028 y la M24-14, que exigen algo más que la autenticación multifactor (MFA). OMB - M-22-09 establece: "Se anima a las agencias a perseguir un mayor uso de la autenticación multifactor sin contraseña a medida que modernizan sus sistemas de autenticación".

Pero la necesidad de la ausencia de contraseñas va más allá de la lucha contra el phishing y se extiende a la creación de entornos de autenticación que ofrezcan una protección real para repeler ciberataques de todo tipo. Como señala el informe de Gartner Migrar a la autenticación sin contraseña para mejorar la seguridad y optimizar la experiencia del usuario señala:

"Las organizaciones que siguen confiando en las contraseñas -incluso como parte de la autenticación multifactor (MFA)- son menos seguras que las que han migrado a métodos sin contraseña."

En RSA, a menudo nos preguntamos por qué no hay más organizaciones que hayan avanzado más en la adopción de la autenticación sin contraseña. El informe de Gartner profundiza en los factores que frenan a las organizaciones, comparte recomendaciones prácticas para avanzar y establece un enfoque por fases para aprovechar todas las oportunidades de pasar a la autenticación sin contraseña.

Dada la adaptación de la cultura y los sistemas que hay que tener en cuenta a la hora de pasar a la ausencia de contraseñas, puede ser razonable que las organizaciones parezcan indecisas. Pero dado el riesgo demostrado de robo de credenciales, actuar cuanto antes tiene sentido. Cuantas más contraseñas tengan los usuarios en su entorno, mayor será el riesgo.

Si a los CISO o a los responsables de la gestión de identidades y accesos (IAM) les preocupa invertir demasiado pronto en una nueva tecnología sin contraseñas, mientras tanto se enfrentarán al riesgo muy real de ser víctimas de un ataque basado en credenciales. Esos riesgos de ciberseguridad parecen superar las dudas de la mayoría de las organizaciones.

La FIDO Alliance informa de que 87% de las empresas están implantando o tienen previsto implantar passkeys para mejorar la seguridad y la UX. Y no solo las empresas: los consumidores se inclinan cada vez más por la autenticación sin contraseña: más de 175 millones de clientes de Amazon utilizan ya claves para iniciar sesión.

Tácticas de phishing habituales que eluden las AMF débiles

Incluso las organizaciones que utilizan la MFA tradicional pueden ser vulnerables si los métodos de autenticación no son resistentes al phishing:

• Interceptación de credenciales: Las OTP enviadas por SMS, correo electrónico o aplicaciones de autenticación pueden ser capturadas.
• Ataques de intermediario: Los atacantes engañan a los usuarios para que faciliten sus credenciales a través de portales de acceso falsos.
• Malware keyloggers: Los programas registran las pulsaciones del teclado, incluidas las contraseñas y los OTP.
• Kits de phishing: Los marcos de ataque automatizados se dirigen a métodos de AMF que no están vinculados criptográficamente al dispositivo o al origen.

El informe de Gartner señala que las organizaciones pueden implementar con éxito la ausencia de contraseñas en incrementos manejables: "Los responsables de IAM deben seguir un enfoque gradual".

El informe propone cuatro pasos concretos que deben dar las organizaciones:

1. Identifique los casos de uso, empezando por un inventario de dónde se utilizan las contraseñas.
2. Acuerde los estados objetivo en función de los objetivos de seguridad y UX.
3. Identificar las preferencias entre los distintos métodos y flujos.
4. Crear una hoja de ruta para los casos de uso de los trabajadores y los clientes.

En Conferencia RSAC 2025, explicaba que la ausencia de contraseñas es un viaje que requiere tanto la auditoría de los métodos de autenticación actuales y el despliegue de la AMF como la planificación para el futuro. Las organizaciones pueden darse cuenta de que, si ya disponen de una autenticación robusta, es posible que ya estén a medio camino de conseguir la ausencia de contraseñas.

La MFA resistente al phishing funciona vinculando la autenticación al dispositivo y origen del usuario y eliminando los secretos compartidos en la red. Los métodos incluyen:

• Passkeys y notificaciones push basadas en aplicaciones: Los usuarios pueden aprobar o denegar solicitudes de autenticación desde un dispositivo móvil sin enviar contraseñas a través de la red.
• Factores basados en dispositivos: La verificación de la identidad está vinculada a un dispositivo específico, no a credenciales compartidas.
• Autenticación basada en hardware: Los autenticadores RSA iShield Key 2 Series y RSA DS100 admiten la autenticación sin contraseña FIDO2.
• Biometría: Reconocimiento facial y de huellas dactilares en dispositivos Android, iOS y Windows.
• Tarjetas inteligentes / certificados PKI: Comunes en la administración pública y en sectores muy regulados.

Por qué las empresas necesitan una AMF resistente al phishing

• Aumento de la sofisticación de los ataques de phishing contra las OTP y la AMF tradicional
• Impulsores normativos (NIST 800-63B, Órdenes Ejecutivas 14028, directrices CISA Zero Trust)
• Riesgo real de robo de credenciales
• Seguridad y experiencia de usuario mejoradas con respecto a la AMF tradicional

El informe de Gartner afirma que “los responsables de IAM deberían implantar métodos sin contraseña allí donde sean fácilmente compatibles y tomar medidas adicionales para ampliar la autenticación sin contraseña a otros casos de uso.”

Para las organizaciones que buscan implementar soluciones sin contraseña, RSA ofrece una amplia variedad de capacidades y recursos específicos sin contraseña, todos disponibles dentro de RSA Unified Identity Platform potenciada por IA.

• Llaves de paso: RSA admite claves de paso a través del Aplicación RSA Authenticator, que permite a los usuarios registrar un dispositivo como clave de acceso y utilizarlo para la autenticación sin contraseña.
• Notificaciones push basadas en aplicaciones: RSA ofrece notificaciones push basadas en aplicaciones que permiten a los usuarios aprobar o denegar solicitudes de autenticación desde sus dispositivos móviles.
• Factores basados en dispositivos: RSA verificación de identidad incluyen la vinculación de la identidad a un dispositivo concreto, no a un conjunto de credenciales que puedan ser objeto de phishing y otros ataques.
• Autenticación basada en hardware: El Serie RSA iShield Key 2 de autenticadores y la RSA DS100 authenticator ofrecen autenticación sin contraseña basada en FIDO2 para casos de uso en los que la biometría o los teléfonos móviles pueden no ser adecuados, como cuando los profesionales sanitarios tienen que llevar guantes de plástico y mascarillas, o en salas limpias que no permiten dispositivos conectados a Internet.
• Biometría: RSA admite el reconocimiento facial y de huellas dactilares tanto en dispositivos Android como iOS. También admitimos Windows Hello como método de autenticación biométrica para usuarios de Windows.

Además de las soluciones sin contraseña y basadas en dispositivos de RSA, las organizaciones pueden aprovechar otras tecnologías MFA resistentes al phishing para mejorar la seguridad:

• Tarjetas inteligentes / Certificados PKI: Certificados almacenados en dispositivos seguros, a menudo utilizados en la administración pública y en sectores muy regulados para una autenticación sólida.
• Passkeys para móvil y escritorio: Credenciales vinculadas a dispositivos que permiten un inicio de sesión fluido y sin contraseñas en todas las plataformas.
• AMF adaptable: Autenticación sensible al contexto que combina las señales del dispositivo, la geolocalización y el comportamiento del usuario para reforzar la verificación cuando se detecta un riesgo.
• Software Security Tokens: Claves generadas criptográficamente almacenadas en aplicaciones seguras que cumplen las normas de resistencia al phishing (por ejemplo, aplicaciones compatibles con FIDO2).

Estas tecnologías, combinadas con una estrategia de implantación por fases, ayudan a las empresas a crear un marco de autenticación por capas resistente a la suplantación de identidad que protege tanto la identidad de los trabajadores como la de los clientes.

Ventajas de la AMF resistente al phishing

• Detiene los ataques de suplantación y repetición de credenciales
• Cumple los mandatos y las normas reglamentarias
• Mejora la experiencia del usuario en comparación con la AMF basada en OTP
• Reduce el riesgo de que las cuentas se vean comprometidas en los sistemas de la empresa y del cliente.

Para las organizaciones que buscan autenticación de hardware de nivel empresarial, el Serie RSA iShield Key 2 ofrece una solución segura, compatible y fácil de usar. Combinada con el conjunto completo de opciones MFA sin contraseña y resistentes a la suplantación de identidad de RSA, ayuda a proteger a su organización frente a los ataques modernos a las credenciales al tiempo que simplifica el acceso de los usuarios.

Más información funciones sin contraseña disponible como parte de RSA ID Plus, y regístrese para una prueba gratuita para ver por sí mismo cómo RSA puede ayudarle a acelerar su camino hacia la autenticación sin contraseña.

Gartner, Inc. Migrate to Passwordless Authentication to Enhance Security and Optimize UX (Migrar a la autenticación sin contraseña para mejorar la seguridad y optimizar la experiencia del usuario). Ant Allan, James Hoover. Publicado originalmente el 30 de agosto de 2024

GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE.UU. e internacionalmente y se utiliza aquí con permiso. Todos los derechos reservados.