Autenticación de múltiples factores: para protegerse contra el robo de la identidad

cyber-guru-2fa

En los últimos años, se han registrado numerosos casos de robo de identidad con fines fraudulentos. A menudo, estos robos han dado lugar a accesos no autorizados a sistemas y aplicaciones que han afectado a organizaciones de distinto tamaño, tanto públicas como privadas. Las investigaciones realizadas acerca de la naturaleza de los incidentes han revelado que, con demasiada frecuencia, la cuenta atacada tan solo contaba con un nivel de protección, por lo que su seguridad dependía exclusivamente de una contraseña, sin que hubiera ningún otro método de identificación.

Por tanto, en muchos de estos casos, para que no tuviera lugar un ciberdelito, habría bastado con que la víctima hubiese usado un doble nivel de autenticación, es decir, una autenticación de múltiples factores. Los sistemas de autenticación de múltiples factores, además de usar una contraseña, requieren que los usuarios proporcionen una prueba adicional para confirmar su identidad. Esta prueba adicional debe ser algo que solo el usuario posea, como un teléfono inteligente o un elemento biométrico, como una huella dactilar.

¿Cómo se produce un robo de identidad digital?

Para apropiarse de las credenciales de los usuarios, los piratas informáticos suelen utilizar alguna de las siguientes técnicas:

  1. El «phishing»: esta técnica implica, en líneas generales, que un remitente falso envíe un correo electrónico cuyo contenido se ha pensado para animar a todos los destinatarios que lo reciban a acceder a una página web, lógicamente falsa, en la que deberán insertar sus credenciales. El contenido del correo electrónico puede variar: desde la oferta de poder acceder a una nueva herramienta hasta la necesidad de tener que restablecer una contraseña o, ironías del destino, de tener que verificar las actividades sospechosas de la cuenta.
  2. El «spear phishing»: aunque cumple las características principales del modelo del «phishing», en este caso los correos electrónicos van dirigidos a un usuario específico, con nombre y apellidos, y sus contenidos guardan mucha más relación con las costumbres del usuario en cuestión. Por esta razón, los correos electrónicos de «spear phishing» resultan mucho más creíbles y peligrosos que los clásicos del «phishing».
  3. El «password spraying»: con esta técnica los ciberdelincuentes logran acceder a las cuentas introduciendo simplemente contraseñas habituales o predefinidas, como las genéricas «12345678» y «password», y otras del estilo.
  4. El «credential stuffing»: esta técnica, que se utiliza mucho últimamente, explota las listas de credenciales robadas que ahora se pueden encontrar fácilmente en la web oscura o en internet para probar a acceder a sitios y aplicaciones con ellas. Visto el alto porcentaje de usuarios que emplean siempre la misma combinación de nombre de usuario y contraseña, es muy probable que, antes o después, se logre acceder con alguna de estas credenciales a los sitios y a las aplicaciones.
¿Por qué es tan importante la autenticación de múltiples factores?

Por desgracia, como se desprende de muchas investigaciones, más del 50 % de los usuarios usan la misma contraseña para distintas cuentas. En consecuencia, es fácil suponer que se estén compartiendo las mismas contraseñas en cuentas personales y en cuentas de trabajo.

Por tanto, la seguridad de nuestra organización se ve estrechamente ligada a la seguridad en el ámbito personal. Proteger nuestra identidad digital es cada vez más indispensable y, para lograrlo, es fundamental, de ser posible, activar un nivel adicional de autenticación. La banca por Internet constituye, sin duda, un ejemplo de autenticación de múltiples factores con el que todo el mundo está familiarizado. Sin embargo, se pueden activar mecanismos similares también para proteger nuestras cuentas de redes sociales, unos entornos que los ciberdelincuentes frecuentan mucho últimamente.

Activar un nivel adicional de autenticación en el correo electrónico personal, como el de Gmail, o en una red social es fácil y práctico. Cada aplicación tiene sus propias instrucciones, como ocurre con Facebook o WhatsApp. Activar esta función podría ahorrarte sorpresas desagradables, ya que minimiza el riesgo de que se filtren datos. Esto no solo nos ofrece ventajas a nosotros mismos desde un punto de vista personal, sino también, de forma indirecta, a nuestra organización.

La concienciación sobre la ciberseguridad y el factor humano

Dada la gran cantidad de técnicas de ataque y la poca atención que, a veces, se presta al uso de contraseñas, para los ciberdelincuentes hacerse con ellas puede resultar una misión completamente «factible». Encontrarse con una cuenta comprometida no es, por tanto, algo muy improbable. Se trata de un riesgo muy grave tanto para nosotros como para nuestra organización.

Para evitar este riesgo, puede ser muy eficaz emplear una capa de autenticación adicional que añada un nivel más de seguridad a la combinación de nombre de usuario y contraseña. Esto se debe a que, por muy evidente que resulte la facilidad con la que se puede filtrar una contraseña, a los ciberdelincuentes les será prácticamente imposible acceder a distancia a un dispositivo protegido con un nivel adicional de autenticación.

«Prácticamente imposible» porque, para proteger todos nuestros sistemas de autenticación de los malhechores, ya sean contraseñas o teléfonos inteligentes, sigue siendo fundamental mantener un alto nivel de atención. El factor humano sigue siendo un elemento determinante para defendernos de los ataques cada vez más sofisticados de los delitos cibernéticos que constantemente buscan nuevas formas de esquivar incluso los sistemas de autenticación más complejos.

Por tanto, el uso de sistemas de autenticación de múltiples factores puede ser insuficiente contra los delitos cibernéticos, que evolucionan constantemente, si no se implementan itinerarios formativos de concienciación sobre ciberseguridad verdaderamente eficaces.