La autenticación de dos factores puede ser su mayor flexibilidad este año para proteger la información de su empresa. ¿Pero cómo? La historia de los negocios está llena de anécdotas de robos. Algunos de estos incidentes han sido tan prosaicos (pero efectivos) como el de una pareja que roba 5 mil millones de dólares al minorista de comestibles Safeway. Principalmente pellizcando algunos elementos aquí y allá en el transcurso de 178 viajes. Otros han sido tan memorables como el atraco al banco de Santa Claus de 1927 en Cisco, Texas.
Pero el robo no tiene por qué generar pérdidas por miles de millones de dólares ni ser tan espectacular como Santa Claus asaltando un banco con una pistola. A veces los delincuentes no siempre buscan dinero en efectivo o inventario. A veces solo buscan información. Aunque para ser justos, esa información suele ser sobre cómo conseguir dinero en efectivo.
Alrededor del 76% de las organizaciones encuestadas en países de habla inglesa dijeron que habían sufrido al menos una violación de datos en 2022. Un aumento significativo con respecto al 55% que dijo lo mismo en 2020. La delincuencia y el cibercrimen están aumentando, hasta 600% desde la pandemia de Covid según algunas estimaciones de la industria de los seguros cibernéticos.
Eso significa que incluso las pequeñas y medianas empresas tendrán que adaptar algunas de las mismas estrategias de seguridad que utilizan las corporaciones más grandes para proteger activos como servidores, redes y datos digitales. Y una de las cosas más sencillas que puede hacer una empresa para proteger algunos de estos activos es utilizar la autenticación de dos factores.
¿Qué es la autenticación de dos factores?
La autenticación multifactor, o MFA, es una de las formas más simples y efectivas de asegurarse de que alguien sea quien dice ser. También conocida como autenticación de dos factores o 2FA, es una capa adicional de seguridad que esencialmente implica una verificación de dos pasos.
Cada uno de estos dos pasos requerirá uno de los siguientes métodos de autenticación: conocimiento, posesión e inherencia. El objetivo final de MFA o 2FA es evitar que un tercero no autorizado acceda a algo a quien le resultaría mucho más fácil acceder a él con una sola capa de seguridad.
Aunque muchos consumidores (y propietarios de empresas) están familiarizados con la autenticación de dos factores, es decir, mediante la solicitud de ingresar un código enviado por mensaje de texto a su teléfono o correo electrónico, la autenticación de dos factores existe desde hace mucho más tiempo de lo que se podría pensar. Sacar dinero de un cajero automático, por ejemplo, es una forma de autenticación de dos factores: su tarjeta de débito física es un ejemplo de posesión, mientras que el PIN es un ejemplo de conocimiento.
Los diferentes tipos de autenticación de dos factores
Seguramente existen diferentes formas de autenticación de dos factores. La forma de 2FA más comúnmente utilizada por consumidores y empresas es el nombre de usuario-contraseña como una capa, seguida de un código enviado por mensaje de texto a un número de teléfono que figura en la cuenta a la que intentan acceder. Pero esta es sólo una forma de 2FA, de las cuales existen varias. Las permutaciones y combinaciones de las mismas se basan en gran medida en los 3 tipos diferentes de métodos de autenticación.
Posesión
La posesión es un factor que se relaciona con algo que tiene el usuario, que podría incluir una tarjeta bancaria, una clave o un token de seguridad, como una memoria USB o una billetera criptográfica dura.
Herencia
La herencia se relaciona con algo que es el usuario y puede expresarse en forma de una solicitud de datos biométricos, como una huella digital, un escaneo de retina, un escaneo facial o la dinámica de las pulsaciones de teclas.
Conocimiento
El conocimiento es un factor que se relaciona con algo que el usuario sabe. Que podría ser una contraseña o un PIN. Enviar una notificación automática a dispositivos confiables, como un PIN o un código de un solo uso, es un método 2FA comúnmente utilizado.
Autenticación personal de dos factores
Por ejemplo, la autenticación de dos factores de Apple podría enviar un código a un dispositivo Apple secundario de su propiedad. Si bien la autenticación de dos factores de Google puede solicitarle que abra su cuenta de Gmail en un dispositivo confiable. La autenticación de dos factores de Facebook (para aquellos que han habilitado la autenticación de dos factores) hará algo similar al permitir al usuario elegir un código SMS, una clave de seguridad en un dispositivo confiable o un código de inicio de sesión de una aplicación de terceros. Y la autenticación de dos factores de Instagram seguramente le enviará un correo electrónico si no se reconoce el dispositivo que inicia sesión en la cuenta.
Autenticación de dos factores para pequeñas empresas
En lo que respecta a la mayoría de las pequeñas empresas, una aplicación de terceros probablemente será el método de autenticación más allá de la seguridad del nombre de usuario y la contraseña. Una desventaja de la posesión es que requiere que todos los que están de servicio lleven consigo un elemento tangible como una unidad USB.
Si por alguna razón lo dejaron en casa, eso puede crear una brecha de productividad. Esto no supone un problema si se necesita la llave para acceder a una oficina. Pero si tienes una fuerza laboral remota y alguien deja su llave en casa de camino a su Starbucks local (la seguridad de esa red pública es un tema completamente diferente), estás enfrentando un gran retraso.
Se podría pensar que la biometría está fuera del presupuesto de su empresa. Si bien los escaneos de retina pueden hacer pensar en la Identidad Bourne, se están volviendo cada vez más accesibles, acelerados (como lo son muchas tendencias recientes en tecnología empresarial) por la pandemia de Covid y el cambio resultante hacia una fuerza laboral remota. Podría decirse que la autenticación biométrica es la forma más segura de autenticación porque nadie puede replicar esa información. Y aunque podría ser posible en el futuro, suena como un thriller policial de ciencia ficción para otro día (uno que involucre clonación).
¿Es 2FA lo mismo que MFA?
Se podría argumentar que 2FA (dos factores) es un tipo de MFA (multifactor). Sin embargo, en algunos casos, 2FA puede referirse específicamente a una combinación de contraseñas y códigos de un solo uso proporcionados por mensaje de texto o correo electrónico.
Por el contrario, MFA podría referirse a cualquier combinación de dos o tres de las categorías antes mencionadas: conocimiento, inherencia y posesión. Puede apostar su retina a que las instalaciones militares ultra secretas probablemente estén aprovechando los tres tipos de autenticación para acceder a sus activos más importantes. Ya sean armas tangibles o información sensible.
Pero según otros líderes de opinión en la industria de la seguridad, MFA se refiere específicamente a una combinación de conocimiento (contraseña) y posesión (por ejemplo, una llave física) o inherencia (como la biometría).
En otras palabras, la segunda capa no puede ser simplemente un conocimiento más. Más bien, debe ser un elemento tangible o un atributo físico inherente. Por el contrario, 2FA podría (y comúnmente lo hace) combinar dos tipos de conocimiento: más comúnmente una contraseña y un código enviado por mensaje de texto.
¿Cuáles son los beneficios de la autenticación de dos factores?
Si bien su empresa probablemente no necesite más de dos capas de seguridad, es posible que sí las necesite. Y aquí hay algunos beneficios que conlleva:
Reducir las tarifas de seguros
En algunos casos, puede reducir el precio de sus primas de seguro, especialmente para las pólizas de responsabilidad cibernética destinadas a protegerlo de los efectos de una infracción. Eso, por supuesto, es un beneficio tangencial. El principal beneficio es evitar una violación de datos.
Prevención de filtraciones de datos y pérdidas financieras
Las violaciones de datos son cada vez más comunes y aumentan un 70% en todo el mundo. Como puede imaginar, un objetivo final de una violación de datos es obtener información financiera, como información bancaria de la empresa o del cliente.
Otros intentos pueden ser puramente maliciosos, como el de un ex empleado descontento, que representa un enorme 75% de las filtraciones de datos. Y aún así, otros usan ransomware para secuestrar una aplicación o red y mantenerla como rehén hasta que se pague el dinero (para los lectores que no estén familiarizados con el alemán antiguo, eso significa dinero de rescate).
La autenticación de dos factores puede parecer un dolor de cabeza cada vez que se desea iniciar sesión en una aplicación o acceder a un dispositivo de la empresa. Pero como cualquier otra cosa, un poco de sufrimiento en el presente puede ahorrarle mucho sufrimiento en el futuro, especialmente si ese sufrimiento implica la publicación de fotos de una fiesta navideña por parte de un ingeniero de redes despedido y vengativo. Por supuesto, perder dinero quizás sea aún más motivador.
¿Puede la autenticación de dos factores frustrar los métodos de piratería comunes?
Esta no es de ninguna manera una lista exhaustiva de métodos de piratería, pero es una breve lista de 3 estrategias comunes y cuán efectiva puede ser 2FA contra ellas.
Suplantación de identidad
El phishing es la técnica de piratería más común y no implica irse de pesca, solo información personal confidencial o de propiedad exclusiva. La extraña ortografía alude a la naturaleza de los intentos de phishing porque algo suele parecer extraño.
El phishing a menudo involucra a un hacker que se hace pasar por otra persona (una empresa u organización) con una solicitud para solucionar algún problema relacionado con la cuenta de la víctima. Por supuesto, para solucionar el problema de esa información, el phisher deberá verificar a la víctima. Quizás recopilando elementos como una contraseña, un nombre de usuario o un número de seguro social para la autenticación.
Una vez que el phisher ha recopilado esta información confidencial, puede obtener lo que realmente desea. Para los consumidores, eso podría ser dinero. En el caso de alguien que alguna vez estuvo involucrado en una relación romántica con un narcisista, eso podría estar secuestrando sus perfiles de redes sociales (no se ría: las estafas románticas son oficialmente una amenaza clasificada por el FBI).
Para una empresa, podría tratarse de información privada confidencial, como una receta secreta o datos de un cliente. Por supuesto, estos no son objetivos finales en sí mismos, pero pueden tener otros objetivos finales, como información bancaria del cliente o una mezcla franquiciada de hierbas y especias.
Cómo combatir los intentos de phishing
Los intentos de phishing son bastante fáciles de detectar con un poco de vigilancia. Los correos electrónicos se enviarán desde una dirección poco probable (por ejemplo, una que no contenga el nombre de la empresa que pretende representar) o se realizarán llamadas telefónicas desde una ubicación extranjera. El contenido de la consulta también puede presentar un formato deficiente o una falta de formalidad esperada, o al menos algunos intentos ridículos de replicarlo citando números de placa. Desafortunadamente, los ataques de phishing no sólo son cada vez más comunes (con un aumento del 61%) sino también más sofisticados.
Afortunadamente, (en la mayoría de los casos) pueden frustrarse fácilmente con la autenticación de dos factores. Incluso si un phisher obtiene el nombre de usuario y la contraseña que está buscando, no puede completar el proceso de acceso a los datos comerciales si no tiene esa segunda información, como un código de verificación enviado al número de teléfono correcto, retina. escanear o una memoria USB.
Robo de galletas
El robo de galletas suena bastante inofensivo y quizás un poco chocolatoso. Pero en términos de acceso a datos empresariales, no se trata de los productos horneados de la abuela. Se trata de robar cookies de los dispositivos de la empresa. Las cookies son pequeños archivos de texto que se utilizan para almacenar información. En una relación B2C, esa información podría ser sobre el comportamiento del cliente.
Pero tanto en el contexto B2C como B2B, las cookies también se pueden utilizar para almacenar un nombre de usuario y una contraseña para proporcionar un inicio de sesión más ágil. Los ladrones de cookies (como se les llama) pueden aprovechar una variedad de herramientas, como malware, para robar cookies de una sesión de navegación actual o reciente. La información contenida en estas cookies se puede utilizar para acceder a datos confidenciales.
Para agravar el dolor de cabeza, existe en realidad un mercado negro de galletas, que pueden revenderse. Este mercado se ha triplicado en los últimos años debido a varios factores, incluido el aumento de trabajadores remotos que inician sesión en plataformas empresariales a través de redes no seguras.
Esto es especialmente cierto si los empleados de la empresa dejan activas sus sesiones web durante largos períodos de tiempo, por ejemplo, si están trabajando en una aplicación en particular o simplemente no están interesados en tener que volver a autenticarse constantemente. Una vez que se obtienen las cookies, la información que contienen se puede utilizar para obtener acceso a información patentada para cosas como la extorsión.
Por ejemplo, los piratas informáticos intentaron extorsionar a Electronic Arts con más de 751 GB de código fuente para la última versión de FIFA 21 después de comprar cookies de autenticación en un mercado de la web oscura llamado Génesis.
Cómo combatir el robo de cookies
El problema con el robo de cookies frente a la autenticación de dos factores es que puede ocurrir después de que la víctima ya haya dado ese paso particular de verificación e iniciado sesión en su destino final. Hay algunas formas de mitigar el robo de cookies.
Uno incluye el uso de un protocolo HTTPS para su sitio web en lugar de HTTP. Lo que básicamente significa que tiene un certificado SSL. En el caso del software basado en la nube que utiliza su empresa, estas empresas definitivamente utilizarán este protocolo para cifrar sus cookies.
Otro método consiste en acortar la vida de las cookies en cuestión, pero eso requerirá una autenticación más frecuente. En resumen, el robo de cookies en realidad puede eludir el método de autenticación de dos factores, pero existen otras formas de backend para mantener a los hackers fuera de los datos de la empresa.
Intercambio de SIM
Una tarjeta SIM (o módulo de identidad del suscriptor) es una pequeña tarjeta con chip utilizada en un teléfono móvil, que contiene datos esenciales como contactos. El intercambio de SIM o el jacking de SIM es una forma de robo de identidad cuando un ciberdelincuente roba un teléfono móvil adormecido
Entonces, ¿cómo puedo proteger mi empresa con la autenticación de dos factores?
Si su empresa utiliza servicios administrados en la nube basados en suscripción para cualquier cosa, existe la posibilidad de que esas empresas le ofrezcan la oportunidad de utilizar la autenticación de dos factores. Por ejemplo, Mailchimp y ConstantContact son dos plataformas de marketing que te permitirán activar 2FA para acceder a tus cuentas. Para aplicaciones, redes o servidores internos, es posible que necesite encontrar un proveedor de seguridad que pueda proporcionar una aplicación de autenticación multifactor.
Su empresa también puede utilizar 2FA para proteger los pagos de los clientes o para acceder a un portal de atención al cliente en su sitio web. Esta puede ser una excelente manera de mitigar el fraude en los pagos y el robo de identidad, con mayores implicaciones en la reducción de las devoluciones de cargos y la responsabilidad digital.
Su empresa debería utilizar 2FA en todas sus aplicaciones, ya sean internas o subcontratadas. Y le recomendamos, si ya la tiene, que no desactive la autenticación de dos factores por ningún motivo. En cuanto a lo que depara el futuro en términos de prevención de delitos cibernéticos, parece muy probable que la biometría sustituya al método SMS con código PIN porque se puede decir que este tipo de autenticación es el más difícil de secuestrar, pero esa es una historia para otro día.
La autenticación de dos factores es una capa adicional de seguridad que implica múltiples métodos de autenticación: conocimiento, posesión e inherencia.
Para contactar con ventas, haga clic AQUÍ. Y para obtener más información sobre el procesamiento de pagos de ECS, visite Crédito y Débito.