Adiós a las contraseñas: la autenticación sin contraseñas es el futuro
“¡Adiós contraseñas!” Me encanta tararear esto como si fuera una canción mientras pienso en la increíble historia de la seguridad cibernética.
Ya sean de una sola palabra o una frase entera, las contraseñas seguras han existido desde la época de los romanos, cuando se usaban para autenticarse y distinguir a los amigos de los enemigos. En los tiempos modernos, las contraseñas llevan existiendo más de 6 décadas en el contexto de la ciberseguridad. Y es cierto que han demostrado su valía, pero ahora ha llegado la hora de decir adiós. Repasemos por qué es tan importante deshacernos de las contraseñas por completo para mejorar la seguridad y cómo usted puede beneficiarse de una autenticación sin contraseñas..
Las contraseñas tienen una larga historia
Sin duda, una de las frases de contraseña más conocidas es "¡Ábrete, Sésamo!" de Ali Baba, pero las contraseñas se han utilizado como forma de autenticación desde tiempos inmemoriales. La primera contraseña de computadora tal como la conocemos hoy se remonta al año 1961 en Massachusetts, cuando se agregó una clave de seguridad a la primera computadora de tiempo compartido en el MIT, para así poder iniciar sesión de forma segura. Un dato interesante es que el sistema de tiempo compartido del MIT fue el primer sistema en ser víctima de una violación de datos. Desde entonces, en lugar de ser utilizadas únicamente en círculos académicos, las contraseñas han pasado a ser factores de autenticación, pero sus debilidades también han sido expuestas muchas veces, y con frecuencia en situaciones críticas.
Las contraseñas son vulnerables a los ataques de toma de control de cuentas
Según el Informe de investigación de violación de datos de Verizon 2020, el 81% de las filtraciones de datos son el resultado de contraseñas deficientes o de usar una misma contraseña. En su informe de 2021, Verizon afirma que la mayoría de los ataques de ingeniería social exitosos tienen como resultado la pérdida de credenciales, los cuales luego se utilizan en ataques de piratería y malware.
Desde la pandemia de Covid-19, los delitos cibernéticos se han disparado y esto se refleja en un gran aumento en las pérdidas relacionadas con los robos de identidad. Según Javelin Strategy and Research en su Estudio de fraude de identidad de 2021, el fraude de toma de control de cuentas tuvo como consecuencia más de $6 mil millones en pérdidas en el año 2020.
Este tipo de ataques a menudo comienza con ataques automáticos como el relleno de credenciales, una técnica que utiliza credenciales de usuario robadas junto con información de identificación personal para obtener acceso a las cuentas de los usuarios. Otra técnica que puede tener éxito utiliza ataques de fuerza bruta. Usando herramientas de automatización y bots, los piratas informáticos intentan adivinar contraseñas para obtener acceso supuestamente «autorizado» al nombre de usuario, información de identificación personal y a cuentas bancarias.
Una vez que una cuenta se ve comprometida, un estafador puede vaciar los fondos, acceder a la información de pago para usarla en otros sitios web o participar en otras actividades fraudulentas.
¿Por qué eliminar las contraseñas?
Las contraseñas tienen una larga historia, pero su futuro es más bien corto. Los métodos de autenticación sin contraseña están ganando popularidad, no solo porque las contraseñas son vulnerables a una variedad de ataques y reducen la seguridad, sino también porque crean complicaciones y dificultan las cosas para los usuarios finales. A nadie le gusta tener que inventar una combinación aleatoria de varias letras y varios números. Ese tipo de contraseñas son difíciles de recordar y fáciles de adivinar, robar y descifrar. La autenticación multifactor sin contraseñas sin duda crea una mejor experiencia de usuario a la hora de manejar el acceso.
Las contraseñas también suponen una carga administrativa. De hecho, Forrester Research ha demostrado que las grandes organizaciones gastan hasta $1 millón por año en intervenciones de soporte técnico relacionadas con el restablecimiento de contraseñas.
¿Qué es la autenticación sin contraseñas? ¿Y es segura?
La autenticación sin contraseñas abarca todos los métodos de autenticación que no dependen de una contraseña (estática) ni de un secreto basado en el conocimiento. Cuando se utiliza este tipo de autenticación, la prueba de la identidad de un usuario depende de un segundo factor, como un factor de posesión (por ejemplo, el hecho de tener una aplicación de autenticación móvil, token de hardware u OTP) o un rasgo biométrico, como un touchid por medio de la huella dactilar o un escaneo facial.
Las soluciones de autenticación sin contraseña son en sí mismas más seguras que los sistemas basados en contraseñas. El inicio de sesión sin contraseñas reduce en gran medida los medios de ataque, ya que no hay ninguna contraseña que filtrar o interceptar. Adoptar un enfoque de múltiples niveles que tome en cuenta la seguridad de las aplicaciones y los dispositivos para la autenticación, así como un monitoreo continuo del riesgo de fraude, mejorará aún más el nivel de seguridad.
Beneficios de la autenticación sin contraseñas
- Reducir la ingeniería social y el fraude de toma de control de cuentas
La implementación de la autenticación sin contraseñas mejorará la seguridad en gran medida. Como no hay contraseñas que se puedan obtener a través de ataques de «phishing» o toma directa, la probabilidad de estar expuesto a este tipo de ataques se reduce considerablemente. - Mejorar la experiencia del usuario
Un enfoque de autenticación sin contraseñas mejora mucho la experiencia del usuario. Los empleados y clientes pueden acceder a sus servicios sin tener que recordar e introducir contraseñas complejas. Se puede eliminar la fatiga y la necesidad de manejo de las contraseñas mediante la implementación de opciones de autenticación biométrica, como una huella digital o un escaneo facial, para lograr una experiencia de usuario sin complicaciones. Al combinar dos factores, como algo que el usuario tiene (por ejemplo, un dispositivo móvil para obtener un código de acceso en un mensaje SMS que llega a su número de teléfono o de una aplicación de autenticación) y algo que el usuario es (como una huella dactilar o un reconocimiento facial), es posible obtener una autenticación de dos factores (2FA) mucho más sólida que la autenticación que se basa únicamente en contraseñas. - Reducción de costos con una autenticación sin contraseñas
La gestión de contraseñas consume recursos. Dejar de usarlas lo ayudará a reducir los costos asociados con el restablecimiento y el monitoreo de contraseñas seguras. Además, al fortalecer la seguridad de su organización y reducir los medios de ataque, también estará reduciendo el riesgo de ser víctima de una filtración de datos, algo que puede resultar en costos muy elevados.
Conclusión
La autenticación sin contraseñas es el futuro. Gartnerpredice que el 60% de las grandes empresas globales, y el 90% de las empresas medianas implementarán métodos de autenticación sin contraseñas en más del 50% de los casos de uso.
La autenticación sin contraseñas puede ser utilizada por IOS, Microsoft, Android, para crear un inicio de sesión único. Actualmente, ya existen aplicaciones como Windows Hello o Zero Trust para verificar la identidad del usuario.
Implemente la autenticación sin contraseñas ahora para reducir los medios de ataque, mejorar la experiencia para sus usuarios y reducir sus costos operativos.
eBook
Ataques de ingeniería social en transacciones bancarias
En este e-book informativo, encontrará más información sobre las técnicas de ingeniería social y cómo la autorización de transacciones con Cronto puede ayudarlo a combatir los ataques.
Descargar ahora