Appgate presentó los diferentes modelos de autenticación segura para evitar el robo generalizado de contraseñas. También presentó una línea de tiempo de la evolución de este sistema.
Iniciar sesión correctamente con una contraseña ya no garantiza el acceso legítimo a un sistema ni a cuentas confidenciales. Es por esto que Appgate, empresa de acceso seguro y líder mundial en ciberseguridad, explica la importancia de implementar autenticación segura para protegerse contra amenazas digitales.
La cantidad de credenciales expuestas ha aumentado un 300% desde 2018, y ese crecimiento ha expuesto que las claves de usuario y las contraseñas son un método ineficaz como autenticación segura. Sin embargo, la gran mayoría de organizaciones siguen confiando en este modelo.
Lo primero que hay que tener claro es que cada factor de autenticación se divide en una de tres categorías:
- Conocimiento: Esta categoría se refiere a algo que se sabe. El ejemplo más simple es la contraseña de un usuario. Sin embargo, dado que estas credenciales son fáciles de manipular, la categoría de conocimiento es la menos eficaz para implementar una autenticación segura.
- Posesión: Esto se relaciona con algo que se posee y se considera una categoría de autenticación fuerte porque es más difícil de manipular. Que el usuario deba tener algo físicamente con él añade un desafío, pero aún no demuestra ser una medida infalible.
- Inherente: Esta es la categoría más sólida de autenticación. A los estafadores les resulta mucho más difícil replicar las características humanas, por lo que esta categoría inherente deja de ser un objetivo para los ciberdelincuentes.
Cada factor de autenticación tiene sus ventajas y desventajas. A continuación, Appgate presenta una descripción general de la evolución de la autenticación.
- la primera contraseña: El sistema basado fue creado a principios de la década de 1960 en el MIT, lo que significa que la contraseña tiene más de cinco décadas e incluso entonces tampoco era segura. A pesar de ser fáciles de instalar y rentables, terminan siendo un factor de autenticación débil y fácil de descifrar.
- Los tokens duros se patentaron por primera vez a finales de los años 80.: Proporcionaron una contraseña de un solo uso y mostraron un número aleatorio que cambiaba periódicamente. Aunque el código numérico único cambia con frecuencia y dificulta su manipulación, se trata de un sistema obsoleto que ha sido sustituido por dispositivos inteligentes mucho más accesibles.
- Reconocimiento de dispositivos: Las cookies se crearon a finales de los años 1990 y se convirtieron en algo común a principios de los años 2000. Fueron el primer ejemplo de reconocimiento de dispositivos a gran escala. Esta tecnología ha evolucionado y mejorado incorporando diversos métodos que se actualizan constantemente, sin embargo, los actores fraudulentos pueden acceder a un dispositivo de forma remota utilizando un troyano de acceso remoto (RAT).
- SMS: Se utilizaron ampliamente a principios de la década de 2000 y marcaron el comienzo de la distribución de contraseñas a los teléfonos en general. Es una forma sencilla de implementar un sistema de autenticación seguro. Sin embargo, resulta inconveniente para los usuarios que han perdido su dispositivo o ya no tienen acceso al número de teléfono registrado.
- Empujar: Blackberry fue el primero en utilizar notificaciones automáticas, pero Google y Apple las generalizaron en 2009 y 2010. Este factor presenta un mensaje emergente en un dispositivo móvil que permite al usuario aceptar o rechazar una transacción o un intento de inicio de sesión. Es un método muy seguro ya que se aplica a nivel de dispositivo, pero depende de que el usuario tenga acceso al dispositivo registrado originalmente en la cuenta.
- Biometría de huellas dactilares: Touch ID de Apple popularizó la biometría de huellas dactilares en 2013. Este método simplemente requiere la huella digital del usuario registrado para confirmar su identidad, lo que dificulta que un estafador pueda replicarlo.
- autenticación QR: El sitio web WhatsApp lanzó la autenticación QR en 2015. Los códigos QR ofrecen una forma segura de autenticación, proporcionando a cada usuario un código único. Es una forma de autenticación rápida, cómoda y muy segura, pero sólo puede utilizarse en procesos fuera de banda.
- Biometría facial: Face ID de Apple fue uno de los primeros ejemplos de biometría facial para autenticar usuarios. Las desventajas incluyen que depende de la iluminación y del ángulo de la cara del usuario y también puede ser interceptado por una foto o un vídeo del usuario.
Si bien muchos modelos de autenticación brindan cierto nivel de protección, ningún modelo es lo suficientemente efectivo por sí solo. Por lo tanto, es importante garantizar que las organizaciones implementen una autenticación segura utilizando múltiples modelos dentro de diferentes categorías.
