Una actividad fundamental del día a día es el uso de credenciales para acceder a servicios empresariales (correo electrónico, autenticación de equipos de cómputo, acceso a recursos compartidos, acceso de VPN, etcétera), así como a servicios del ámbito personal (aplicaciones de lealtad de comercios, servicio de entrega a domicilio, transporte, comercio electrónico y otros).

Es pequeño el porcentaje de los usuarios que utilizan autenticación multifactor y, aunque organismos lideres en ciberseguridad llevan años invitando a robustecer los mecanismos de seguridad relacionados con el uso de credenciales, aún hay desconocimiento de lo importante que es mejorar en este aspecto.

A continuación, algunas de las amenazas más importantes:

• La ingeniería social, que se vale de la interacción con las victimas mediante técnicas de engaño, por ejemplo, se finge una comunicación oficial de entidades, proveedores de servicios u organizaciones con las que se interactúan, mediante llamadas telefónicas, correos de electrónicos, interacción en redes sociales y, en los últimos años, a través de aplicaciones de mensajería instantánea como Telegram o WhatsApp, por mencionar algunas.
• Mecanismos que derivan en el robo de credenciales de servicios en la nube, que dan origen a los famosos dataleaks en los que se han visto afectadas millones de cuentas de usuarios (por ejemplo, el caso de “Collection #1”, que implicó filtraciones de datos de Facebook, Reddit, etc.). Estos casos son de relevancia, entre otras cosas, por la mala práctica de compartir las mismas credenciales en múltiples servicios o aplicaciones.
• Actividades de búsqueda y escaneo de servicios expuestos relacionados con acceso remoto, sistemas de inicio de sesión en portales Web, aplicaciones de FTP o almacenamiento en la nube, que derivan en actividades como ataques de fuerza bruta, ataques de diccionario, etcétera.
• Robo de credenciales mediante malware. En algunos casos, la forma más sencilla de robo de datos es mediante la infección de malware (infosteales, keylogers, spyware, troyanos, etc.) a través de la publicación de portales Web que explotan vulnerabilidades en el navegador Web o, nuevamente, a través de ingeniería social para convencer a los usuarios de que instalen software o extensiones que se hacen pasar por aplicaciones de seguridad, como antivirus.

Algunos de los mecanismos para tratar de contrarrestar o reducir la exposición a dichas amenazas son los siguientes:

• Uso de contraseñas robustas: esta recomendación ha ido variando con los años, sin embargo, actualmente la definición de contraseña robusta implica:
• Contraseñas con una longitud de por lo menos 8 caracteres. Lo ideal es utilizar una de al menos 12 caracteres.
• Utilizar frases fáciles de aprender, en lugar de palabras.
• Evitar el uso de las contraseñas más utilizadas (https://nordpass.com/es/most-common-passwords-list/).
• Realizar cambios periódicos de las credenciales.
• Usar combinaciones de caracteres alfanuméricos y caracteres especiales (por ejemplo ¡ # $ % & @).
• Evitar reutilizar contraseñas viejas.
• No almacenar de manera inadecuada, por ejemplo, usar archivos de texto claro, escribirlas en libretas o notas adhesivas a la vista de cualquiera.
• Utilizar aplicaciones dedicadas a la gestión de contraseñas, conocidas como llaveros electrónicos (Enpass, keepass, Keeper, etc.).
• Utilizar credenciales diferentes para cada servicio.
• Relacionado con el punto anterior, evitar usar palabras que impliquen el uso de datos personales o información asociada a los sistemas de cómputo o aplicativos a nuestro cargo.
• Uso de mecanismos de múltiple factor de autenticación (MFA – multifactor authentication / 2FA – doble factor de autenticación, por sus siglas en inglés).

Los puntos anteriores apoyan a robustecer la seguridad relacionada con el uso y gestión de las credenciales. Sin embargo, es conveniente considerar la importancia del último punto; si bien esta funcionalidad no resuelve los problemas de seguridad y también es susceptible de ser atacada y comprometida, es importante recalcar que contribuye a la seguridad al ser un complemento que permite obstaculizar las tareas y procesos de las amenazas. El MFA robustece los procesos tradicionales de autenticación por varias razones, entre ellas:

• El establecimiento de un elemento de validación adicional en el proceso de autenticación.
• Permite que el acceso no dependa únicamente de la contraseña, la cual es susceptible a múltiples mecanismos de evasión o robo.
• La integración de un elemento adicional que no esté al alcance de los atacantes (por ejemplo los tokens de hardware o software en dispositivos móviles).
• Se puede implementar en el ámbito personal y laboral.

Si bien, el robo de credenciales normalmente es llevado a cabo mediante alguno de los mecanismos ya citados al inicio de este artículo, la implementación del MFA debe ser vista como una capa adicional de seguridad, constituida por elementos independientes a los dispositivos informáticos utilizados en el día a día. Como ejemplo de ello se tienen las tarjetas inteligentes, los tokens de hardware/software y los tokens de contraseña de un solo uso (OTP), aprovisionados mediante aplicaciones o dispositivos móviles. Esta capa de seguridad debe estar implementada de manera que los códigos de acceso aprovisionados por ella sean emitidos bajo demanda, para que el usuario sea capaz de identificar si es él quien está realizando o no un proceso de autenticación.

MFA es una práctica que la industria ha tratado de homologar e impulsar en la mayoría de las plataformas digitales. Mientras que en el ámbito personal la decisión de su uso aún está delegada al usuario, en lo laboral todavía hay organizaciones renuentes a implementarla, dado que es percibida como un proceso complicado o inasequible, debido a costos o procesos operativos. Sin embargo, se ha vuelto una necesidad y debe ser promovida como una tarea por omisión en los procesos digitales de las organizaciones, que sea parte de la normatividad.

Así pues, aunque la industria informática está buscando evolucionar el uso de las credenciales y el MFA a través del desarrollo de nuevos procesos de autenticación, como el uso de claves de paso (keypass) que está siendo impulsado por la FIDO Alliance, Google, Apple y Microsoft, parece que estamos ante un proceso de largo plazo en la adopción global de la autenticación multifactor.

Fuentes:

https://fidoalliance.org/overview/

https://www.sans.org/blog/what-is-phishing-resistant-mfa/

https://www.crowdstrike.com/cybersecurity-101/multifactor-authentication-mfa/

https://unit42.paloaltonetworks.com/meddler-phishing-attacks/

https://www.nist.gov/itl/applied-cybersecurity/back-basics-multi-factor-authentication-mfa

https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication

https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/

https://aws.amazon.com/es/what-is/mfa/