Por Hugo F. Pérez Carretta on Sábado, 04 Marzo 2023
Categoría: REVISTA - TEMAS GENERALES SOBRE NUEVAS TECNOLOGÍAS, DERECHO E INTERNET

2FA, 3FA, MFA… ¿Qué significa todo esto?

En pocas palabras, la autenticación es el acto de probar que eres quien dices ser. Para acceder a información, sistemas o ubicaciones protegidas. El usuario deberá acreditar su identidad proporcionando determinadas credenciales de acceso.

El sistema pregunta: “¿Quién eres? Pruébalo.” Cuando el usuario se autentica con éxito (y dependiendo de los permisos asociados a su cuenta) el sistema le permite realizar acciones específicas, acceder a información específica o ubicaciones físicas específicas.

 

La identificación requiere una identificación de usuario (por ejemplo, un nombre de usuario). Para probar su identidad, los usuarios proporcionan una contraseña u otro factor de autenticación que luego se empareja con el nombre de usuario. La combinación puede o no dar como resultado que el usuario obtenga acceso al sistema.

La autenticación multifactor (MFA) es el proceso en el que el usuario debe proporcionar dos o más piezas de evidencia (factores) a un sistema o ubicación para poder ingresar. MFA protege un sistema, ubicación o datos confidenciales de ser accedido por un usuario no autorizado (y posible actor de amenazas).

 

Tipos de factores de autenticación

Hay varias categorías principales de factores de autenticación:

Factores de conocimiento (algo que el usuario sabe): por ejemplo una contraseña, una frase de contraseña o un PIN. Las preguntas de seguridad entran en esta categoría pero ya no se reconocen como un factor de autenticación aceptable porque el uso generalizado de las redes sociales hizo que los atacantes pudieran obtener fácilmente las respuestas.

 

Factores de posesión (algo que tiene el usuario): el usuario puede verificar su identidad con un objeto en su posesión como una tarjeta de acceso, un llavero u otro token de seguridad físico. Los sistemas MFA también consideran una contraseña/código de un solo uso recibido por el usuario a través de SMS o una aplicación de autenticación como un factor de posesión (un token de software).

Factores de inherencia (algo que el usuario es o hace de una manera particular): este tipo de factor de autenticación se basa en una característica biométrica del usuario (huella dactilar, palma, iris, rostro) o en cómo el usuario realiza una acción de manera única (por ejemplo su tipeo o timbre y patrón vocal).

En una configuración de MFA si un factor no se puede proporcionar o es incorrecto el usuario no tendrá acceso.

Información contextual

La información contextual también puede influir en el éxito de un intento de autenticación. Es posible que esta información no sea un factor de autenticación en sí misma pero puede ayudar a los sistemas de autenticación a evaluar si un intento de inicio de sesión/acceso es legítimo.

Esta información incluye:

Ubicación: la ubicación física del usuario/dispositivo cuando inicia sesión. Por ejemplo si todos los empleados están en los EE. UU. y la solicitud de inicio de sesión proviene de una ubicación o red desconocida/no autorizada el sistema puede denegar el acceso en función de esa información ( porque cree que las credenciales y los factores de autenticación se han visto comprometidos).

Tiempo: el tiempo específico de una solicitud de inicio de sesión puede indicar su naturaleza potencialmente maliciosa. Se puede programar un sistema para denegar los intentos de inicio de sesión fuera del horario comercial habitual o para denegar una solicitud de inicio de sesión aparentemente realizada por el mismo usuario que inició sesión momentos antes, si esa segunda solicitud de inicio de sesión aparentemente proviene de otro país.

¿Qué es 2FA?

La autenticación de dos factores (2FA) es una configuración de autenticación que requiere que el usuario proporcione dos factores de autenticación para obtener acceso.

El retiro de dinero de un cajero automático es un ejemplo de 2FA en acción: el usuario puede retirar dinero solo con la combinación correcta de tarjeta bancaria (factor de posesión) y PIN (factor de conocimiento).

Otro ejemplo: el usuario quiere acceder a una cuenta en línea protegida por 2FA. Deben proporcionar la contraseña correcta (factor de conocimiento) y la contraseña de un solo uso (factor de posesión) disponibles solo en el dispositivo/teléfono inteligente de los usuarios (ya sea enviada por SMS o proporcionada a través de una aplicación de autenticación).

2FA es actualmente el método MFA más utilizado pero a medida que la tecnología evoluciona y los atacantes encuentran formas efectivas de eludir la protección que ofrece, las empresas tendrán que implementar 3FA, 4FA, etc.

¿Qué es 3FA?

La autenticación de tres factores (3FA) es un proceso de autenticación más seguro que agrega una tercera capa de protección a las cuentas de los usuarios. Requiere que los usuarios proporcionen tres factores de autenticación distintos.

Por ejemplo: una contraseña, una tarjeta de seguridad y su huella digital (para escanear y comparar con un registro creado previamente). O un PIN, una contraseña OTP y su voz (para comparar con un archivo de audio grabado).

Con 3FA implementado , las contraseñas robadas se vuelven mucho menos problemáticas.

3FA generalmente lo implementan empresas y organizaciones que requieren un alto nivel de seguridad, por ejemplo, bancos, agencias gubernamentales, aeropuertos, hospitales, etc.

¿Por qué necesitamos la autenticación multifactor?

El panorama de amenazas está en constante evolución. Los atacantes han notado que más personas trabajan de forma remota que nunca y que las soluciones basadas en la nube se han vuelto estándar en diferentes sectores. Como resultado, asegurar el acceso a varios sistemas y activos se ha vuelto primordial.

Las credenciales de usuario comprometidas representan uno de los mayores riesgos para las organizaciones. Para proteger mejor los recursos personales, comerciales y públicos del acceso no autorizado, el empleo de la autenticación de múltiples capas (multifactor) se está volviendo normal.

Las contraseñas tradicionales simplemente ya no son suficientes especialmente porque los usuarios suelen reutilizar las mismas contraseñas débiles en diferentes sitios web y servicios.

Consejos para organizaciones y usuarios finales

Las empresas deben:

Dado que las medidas de seguridad extremadamente estrictas y complejas a menudo “animan” a los usuarios a violar las políticas oficiales por ello es importante lograr un buen equilibrio entre la seguridad y la facilidad de uso.

Por otro lado, se recomienda a los usuarios finales:

 

Dejar comentarios