¿Qué es la autenticación multifactorial (MFA)?

La autenticación de múltiples factores (MFA) es un componente de gestión de acceso que requiere que los usuarios demuestren su identidad utilizando al menos dos factores de verificación diferentes antes de obtener acceso a un sitio web, una aplicación móvil u otro recurso en línea. Con la AMF, si un factor se ve comprometido, un atacante todavía tiene que romper al menos una barrera más antes de poder acceder a la cuenta del objetivo.

¿Cómo funciona la autenticación multifactorial?

La autenticación de múltiples factores (MFA) utiliza múltiples tecnologías para autenticar la identidad de un usuario. En cambio, la autenticación de un solo factor (o simplemente "autenticación") utiliza una sola tecnología para probar la autenticidad del usuario. Con la AMF, los usuarios deben combinar tecnologías de verificación de al menos dos grupos o factores de autenticación diferentes. Estos factores se dividen en tres categorías: algo que sabes, algo que tienes y algo que eres. Por eso, utilizar un PIN con una contraseña (ambos de la categoría "algo que sabes") no se consideraría autenticación multifactor, mientras que utilizar un PIN con reconocimiento facial (de la categoría "algo que eres") sí. Tenga en cuenta que no se requiere una contraseña para poder acceder a la MFA. Una solución MFA puede ser completamente sin contraseña.

También es aceptable utilizar más de dos métodos de autenticación. Sin embargo, la mayoría de los usuarios quieren una autenticación sin fricciones (la posibilidad de ser verificados sin necesidad de realizar una verificación).

¿Qué factores de autenticación se utilizan en la AMF?

A continuación se presentan las tres categorías principales:

  • Algo que se conoce (factor de conocimiento)
    Suele ser una contraseña, un PIN o una frase de paso, o un conjunto de preguntas de seguridad y sus correspondientes respuestas que sólo conoce la persona. Para utilizar un factor de conocimiento para la AMF, el usuario final debe introducir correctamente la información que coincida con los detalles que se almacenaron previamente en la aplicación en línea.
  • Algo que tienes (factor de posesión
    ) Antes de los smartphones, los usuarios llevaban tokens o tarjetas inteligentes que generaban una contraseña de un solo uso o un código de acceso (OTP) que se podía introducir en la aplicación online. Hoy en día, la mayoría de los usuarios instalan una aplicación de autenticación en su smartphone para generar claves de seguridad OTP.
  • Algo que usted es (factor de inherencia
    ) Los datos biométricos sobre un individuo van desde las huellas dactilares, los escaneos de retina, el reconocimiento facial y el reconocimiento de voz hasta los comportamientos (como la intensidad o la rapidez con que la persona teclea o desliza el dedo en una pantalla).

Para lograr la autenticación multifactor, se deben utilizar al menos dos tecnologías diferentes de al menos dos grupos tecnológicos diferentes para el proceso de autenticación. En consecuencia, el uso de un PIN junto con una contraseña no se consideraría autenticación multifactor, mientras que el uso de un PIN con reconocimiento facial como segundo factor sí lo sería. También es aceptable utilizar más de dos formas de autenticación. Sin embargo, la mayoría de los usuarios desean cada vez más una autenticación sin fricciones (la posibilidad de ser verificado sin necesidad de realizar una verificación)

¿Cuál es la diferencia entre la autenticación de dos factores y la de varios factores?

Para ser considerada una autenticación de dos factores (2FA), una solución siempre requiere que el usuario presente dos factores de autenticación de dos categorías diferentes, como un factor de posesión y un factor de conocimiento, para verificar su identidad. La autenticación multifactor es más amplia que la autenticación de dos factores. Requiere que la organización utilice dos o más factores en el proceso de autenticación.

¿Cuáles son los diferentes tipos de tecnologías de autenticación multifactor?

Las siguientes son las tecnologías MFA más comunes:

  • Autenticación biométrica
    Las tecnologías biométricas son una forma de autenticación que permite autenticar a los usuarios de forma precisa y segura a través de sus dispositivos móviles. Las modalidades biométricas más comunes son el escaneo de huellas dactilares y el reconocimiento facial. La autenticación biométrica también incluye la biometría del comportamiento, que proporciona una capa invisible de seguridad al autenticar continuamente a una persona basándose en las formas únicas en que interactúa con su ordenador o dispositivo móvil: pulsaciones de teclas, patrón de deslizamiento, movimientos del ratón, etc.
  • Tokens de hardware
    Los autentificadores de hardware son dispositivos pequeños y fáciles de usar que un propietario lleva consigo para autorizar el acceso a un servicio de red. Al admitir la autenticación robusta con códigos de acceso de un solo uso (OTP), los tokens físicos proporcionan un factor de posesión para la autenticación multifactorial, al tiempo que permiten mejorar la seguridad de los bancos y los proveedores de aplicaciones que necesitan proteger varias aplicaciones con un solo dispositivo.
  • Autenticación móvil
    La autenticación móvil es el proceso de verificación de un usuario a través de su dispositivo Android o iOS o la verificación del propio dispositivo. Esta tecnología permite a los usuarios iniciar sesión en lugares seguros y acceder a los recursos desde cualquier lugar con mayor seguridad.
  • Autenticación fuera de banda
    Este tipo de autenticación requiere un método de verificación secundario a través de un canal de comunicación independiente, normalmente la conexión a Internet de la persona y la red inalámbrica en la que opera su teléfono móvil. Estos son ejemplos de tecnologías fuera de banda:
    • Código Cronto®
      Este código QR en color puede autentificar o autorizar una transacción financiera. El individuo ve este código QR en color a través de su navegador web. Sólo el dispositivo registrado de la persona puede leer y descifrar el código. Contiene detalles de la transacción que el usuario puede verificar antes de completarla, lo que la hace muy segura.
    • Notificación
      push Las notificaciones push entregan un código de autenticación o una contraseña de un solo uso en el dispositivo móvil del usuario. A diferencia de un mensaje SMS, la notificación aparece en la pantalla de bloqueo del dispositivo.
    • Mensaje detexto SMS o mensaje
      de voz Los códigos de acceso de un solo uso se envían al dispositivo móvil del usuario mediante un mensaje de texto SMS o un mensaje de voz.
    • Token blando
      Los autenticadores de software o "tokens basados en aplicaciones" generan un PIN de inicio de sesión único. A menudo, estos tokens de software se utilizan para casos de uso de MFA en los que el dispositivo del usuario -en este caso un smartphone- proporciona el factor de posesión.

¿Por qué las organizaciones necesitan la autenticación multifactorial?

El fraude de toma de posesión de cuentas (ATO) es una amenaza de ciberseguridad en auge, alimentada por la sofisticada ingeniería social (es decir, los ataques de phishing), el malware móvil y otros ataques. Los métodos de AMF correctamente diseñados y aplicados son más fiables y eficaces contra los ataques sofisticados que la anticuada autenticación de un solo factor, nombre de usuario/contraseña, que puede ser fácilmente comprometida por los ciberdelincuentes a través de herramientas de hacking ampliamente disponibles.

¿Cuáles son las principales ventajas del AMF?

Como parte de su estrategia de seguridad, las organizaciones utilizan la AMF para conseguir:

  • Seguridad mejorada
    La autenticación multifactorial proporciona mayor seguridad que las contraseñas estáticas y los procesos de autenticación de un solo factor.

  • Cumplimiento de la normativa
    La autenticación multifactorial puede ayudar a las organizaciones a cumplir con la normativa de su sector. Por ejemplo, la AMF es necesaria para satisfacer el requisito de autenticación fuerte de la PSD2 para la autenticación fuerte de clientes (SCA).

  • Mejora de la experiencia del
    usuario Romper la dependencia de las contraseñas puede mejorar la experiencia del cliente. Al centrarse en los retos de autenticación de baja fricción, las organizaciones pueden aumentar la seguridad y mejorar la experiencia del usuario.

¿Cómo está influyendo la computación en nube en la AMF?

Los bancos, las instituciones financieras y otras organizaciones de servicios financieros están empezando a abandonar las aplicaciones alojadas internamente en favor de las aplicaciones de software como servicio (SaaS) basadas en la nube, como Office 365, Salesforce, Slack y OneSpan Sign. Como resultado, la cantidad de datos y archivos sensibles alojados en la nube está aumentando, lo que eleva el riesgo de que se produzca una filtración de información personal comprometida (PII) que impulsa la toma de cuentas. Para aumentar el riesgo de seguridad, los usuarios de las aplicaciones SaaS pueden estar en cualquier lugar, no sólo en las redes corporativas. Las capas adicionales de seguridad que ofrece la AMF frente a la simple protección con contraseña pueden ayudar a contrarrestar estos riesgos. Además de los factores de conocimiento, posesión e inherencia, algunas tecnologías de AMF utilizan factores de localización, como las direcciones de control de acceso a los medios (MAC) de los dispositivos, para garantizar que el recurso sea accesible sólo desde dispositivos específicos.  

Otra forma en que la nube está afectando a la AMF es a través del alojamiento en la nube de las soluciones de AMF, que suelen ser más rentables de implementar, menos complejas de administrar y más flexibles que las soluciones locales. Los productos basados en la nube pueden ofrecer más opciones dirigidas a los usuarios móviles, como aplicaciones de autentificación móvil, notificaciones push, análisis de contexto como la geolocalización y la biometría.

¿Cómo pueden los bancos empezar a utilizar la autenticación multifactor?

Las soluciones de autenticación multifactor de OneSpan han sido diseñadas desde el principio para salvaguardar las cuentas y las transacciones ofreciendo múltiples factores de autenticación y satisfaciendo al mismo tiempo la demanda de un proceso de inicio de sesión sencillo. OneSpan ha invertido mucho tiempo y recursos para crear soluciones fáciles de usar, escalables y fiables que ofrezcan una autenticación sólida mediante una serie de opciones de verificación sencillas, como los códigos QR en color y el Bluetooth. Entre ellas se encuentran:

¿Por qué los consumidores de servicios financieros deberían utilizar la AMF?

Los consumidores deben utilizar la AMF siempre que accedan a datos sensibles. Un buen ejemplo es utilizar un cajero automático para acceder a una cuenta bancaria. El propietario de la cuenta utiliza la AMF combinando algo que conoce (el PIN) y algo que tiene (la tarjeta del cajero automático). Del mismo modo, al iniciar sesión en una cuenta de Facebook, Google o Microsoft desde una nueva ubicación o dispositivo, los consumidores utilizan la AMF introduciendo algo que conocen (la contraseña) y un segundo factor, algo que tienen (la aplicación móvil que recibe la notificación push o SMS).

Preguntas frecuentes sobre la autenticación multifactorial

¿Qué hace que la AMF sea tan segura?

La autenticación de múltiples factores añade una capa adicional de autenticación que hace mucho más difícil que los ciberdelincuentes logren hackear las cuentas. Las credenciales estándar (nombre de usuario y contraseña) son relativamente fáciles de obtener para los actores de la amenaza utilizando el phishing y otras herramientas y recursos ampliamente disponibles. Además, la práctica común de reutilizar una contraseña hace posible que un hacker comprometa varias cuentas con un solo ataque exitoso. Con la AMF, las credenciales de autorización deben proceder de dos o más categorías diferentes: algo que se sabe (una contraseña), algo que se tiene (un código SMS, una tarjeta inteligente, una aplicación de autenticación o un token de hardware, también conocido como llavero) y algo que se es (un dato biométrico). Los ladrones tendrían que robar otros elementos además de la contraseña, como el teléfono inteligente o la tarjeta bancaria, lo que hace mucho más difícil que puedan comprometer su cuenta. El Instituto Nacional de Estándares y Tecnología (NIST) recomienda utilizar la AMF siempre que sea posible, especialmente cuando se trata de los datos más sensibles, como las cuentas financieras y los historiales médicos.

¿Qué son los "atributos implícitos" y cuentan como factores?

También denominados autenticación contextual, los atributos implícitos utilizan la geolocalización, la dirección IP, la hora del día e identificadores del dispositivo, como el sistema operativo o la versión del navegador del teléfono móvil, para ayudar a determinar si la identidad de un usuario es auténtica. Aunque los atributos implícitos no son factores de autenticación porque no confirman la identidad de un usuario ni proporcionan una verificación de identidad, pueden ayudar a reforzar las barreras contra los ciberataques.

¿Cuál es la diferencia entre la autenticación de dos factores y la AMF?

La autenticación de dos factores (2FA) es un subconjunto de la AMF que utiliza dos factores de dos de estas categorías -algo que sabes, algo que tienes y algo que eres- para verificar la identidad. La autenticación multifactor puede incluir más de dos factores, aunque muchas soluciones de autenticación multifactor utilizan dos.
Una pregunta lógica es si la AMF es más segura que la autenticación de segundo factor. En general, cuantos más factores se requieran, más fuerte será la protección de la gestión del acceso; sin embargo, el tipo de factor también influye. Los datos biométricos son mucho más difíciles de robar que las contraseñas. Además, la mayoría de los usuarios finales desean un proceso de autenticación más sencillo y pueden tratar de encontrar soluciones si el número de factores requeridos se vuelve pesado. En consecuencia, la modernización de la experiencia del usuario en materia de autenticación es ahora un objetivo primordial para muchos bancos e instituciones financieras, especialmente para los usuarios móviles que utilizan la aplicación móvil del banco.

¿Qué tipos de ciberataques puede evitar la AMF?

La AMF ayuda a frustrar los siguientes tipos de ciberataques al requerir información o credenciales adicionales del usuario.

 

  • Ataque de phishing:
    sobre todo ahora, con el enorme aumento del trabajo a distancia, se están utilizando ataques de phishing para engañar a los trabajadores y hacer que entreguen sus credenciales de red, a menudo mediante el uso de enlaces y archivos adjuntos maliciosos o páginas falsas de inicio de sesión para aplicaciones SaaS como Microsoft Office 365. Cuando las organizaciones exigen al menos dos tipos de autenticación, como un código de acceso de un solo uso, además del ID de usuario y la contraseña, los ladrones de identidad tienen más dificultades para infiltrarse en la red corporativa o la VPN.
  • Intercambio de SIM:
    Este tipo de ataque consiste en suplantar la identidad de un usuario de un dispositivo móvil. Los atacantes intentan persuadir al proveedor de servicios celulares del usuario para que traslade sus datos a una nueva tarjeta SIM (módulo de identidad del suscriptor) porque la tarjeta original o el dispositivo se han perdido o dañado. Si tiene éxito, el intercambio de SIM transfiere la "propiedad" del número de móvil al atacante, que puede entonces interceptar los códigos SMS enviados al dispositivo. Para combatir los intercambios de SIM, la AMF ofrece una serie de métodos de autenticación fuerte (biometría, tokens de software, claves de seguridad) que evitan el uso de códigos SMS.
  • Malware para móviles:
    Este tipo de software malicioso se dirige a los dispositivos móviles para acceder a datos privados. Algunos ejemplos son los troyanos bancarios y el ransomware para móviles. Por desgracia, los hackers se centran cada vez más en eludir las protecciones MFA de los dispositivos móviles, especialmente las contraseñas de un solo uso enviadas por SMS. Para combatir los intentos de eludir la AMF, se recomienda evitar los SMS y elegir métodos más potentes como la biometría (huella dactilar, escáner facial o de retina) y las notificaciones push

¿Qué es la autenticación adaptativa?

La autenticación adaptativa, también llamada autenticación basada en el riesgo, es un tipo de AMF que ajusta los factores de autenticación necesarios en función del nivel de riesgo de una transacción. Utiliza reglas antifraude para producir una reacción predefinida al intento de autenticación. Se puede definir el tipo de autenticación adecuado para el tipo de riesgo percibido apropiado, basado en puntos de datos conocidos.Por ejemplo, los intentos desde una ubicación específica (por ejemplo, fuera del país del cliente) podrían definirse para activar un determinado tipo de combinación MFA.
La autenticación adaptativa elimina el problema de la "talla única" que afecta a la mayoría de los sistemas de autenticación actuales: un inicio de sesión diario desde la misma ubicación requiere el mismo nivel de autenticación que un inicio de sesión nuevo desde una ubicación muy atacada. Estos dos inicios de sesión deben ser tratados con diferentes niveles de autenticación.
La autenticación adaptativa inteligente va un paso más allá al utilizar reglas antifraude junto con algoritmos de aprendizaje automático para familiarizarse con el rol del usuario y los escenarios de acceso típicos, incluyendo ubicaciones, dispositivos y direcciones IP. Cada vez que el usuario intenta autenticarse, un sistema inteligente de autenticación adaptativa analiza todos los datos contextuales, los puntúa para determinar la propensión al riesgo y adapta el flujo de trabajo de autenticación a ese nivel de riesgo.
Una de las ventajas de este enfoque es la flexibilidad. En lugar de imponer el mismo requisito de AMF estándar para todos los usuarios, la autenticación adaptativa se ajusta a la situación haciendo que los intentos de acceso rutinarios y de bajo riesgo sean más sencillos y rápidos y añadiendo más seguridad para los intentos de acceso de mayor riesgo.

¿Qué son los mecanismos fuera de banda en la AMF y cómo funcionan?

La autenticación fuera de banda es un tipo de AMF que requiere un método de verificación secundario a través de un canal de comunicación independiente. Por lo general, esto implica el envío de una clave de acceso de un solo uso (OTP) al teléfono móvil del usuario para que se aplique junto con su conexión a Internet protegida por contraseña en un dispositivo diferente, como un ordenador de sobremesa o portátil.
La autenticación a través de dos canales separados e inconexos que tendrían que ser violados simultáneamente por un atacante hace que un compromiso exitoso sea mucho menos probable. La autenticación fuera de banda suele ser utilizada por los bancos y otras instituciones financieras con estrictos requisitos de seguridad.

Hay varias formas de enviar contraseñas de un solo uso a un dispositivo móvil:

  • Código QR o criptograma visual
  • Notificación push
  • SMS (Tenga en cuenta que los SMS ya no son una medida de seguridad recomendada porque es muy fácil para un hacker robar el número de móvil de un usuario utilizando el método de intercambio de SIM para obtener las contraseñas de los SMS).


Otros métodos incluyen requerir al usuario que:

  • Realizar una llamada telefónica desde un dispositivo registrado (suele utilizarse para activar una nueva tarjeta de crédito)
  • Responder a una llamada telefónica generada automáticamente por el banco u otra institución
  • Recibir una OTP en su aplicación telefónica o mediante una notificación push para autorizar una transacción en un cajero automático o acceder a un portal web.

¿Qué tecnologías se están explorando para agilizar la AMF para los usuarios de móviles?

Dado que las soluciones MFA imponen medidas de autenticación adicionales, pueden hacer que el proceso de acceso a una cuenta o a un portal sea más pesado, especialmente para los usuarios de teléfonos móviles. Para ayudar a agilizar el proceso de autenticación y reducir la fricción, las nuevas tecnologías "pasivas" funcionan en segundo plano sin requerir la acción del usuario. Un ejemplo es la autenticación biométrica del comportamiento, que identifica a una persona basándose en sus patrones únicos de tecleo o deslizamiento al interactuar con un smartphone o una tableta.
La Alianza para la Identidad Rápida en Línea (FIDO) se creó para ayudar a reducir la dependencia de las contraseñas mediante el uso de la autenticación sin contraseña. Los protocolos FIDO admiten tecnologías de autenticación, incluida la biométrica. El protocolo FIDO 2, implementado por Google, Microsoft y otros proveedores, permite a las personas utilizar tokens de hardware compatibles con FIDO para autenticarse en su navegador sin tener que escribir su nombre de usuario y contraseña. Del mismo modo, muchos grandes bancos implementan el protocolo para permitir que los dispositivos móviles con FIDO se autentiquen en su aplicación bancaria sin que el usuario final tenga que escribir un nombre de usuario y una contraseña.

¿Qué es la norma WebAuthn y cómo puede ayudar a reforzar la seguridad de la banca en línea?

WebAuthn intenta llevar la tecnología de autenticación al estilo de FIDO a las aplicaciones web.Proporciona una forma estándar para que los desarrolladores de aplicaciones web implementen la autenticación multifactor segura sin tener que utilizar bibliotecas y sistemas de autenticación de terceros.WebAuthn aporta la seguridad de la biometría y la autenticación fuerte a las aplicaciones web que antes requerían pesados back-ends y consideraciones de ingeniería adicionales. El protocolo WebAuthn está diseñado para ofrecer a los desarrolladores de las nuevas aplicaciones de página única (SPA) y aplicaciones web progresivas (PWA) una forma de implementar la autenticación fuerte aprovechando las tecnologías de dispositivos locales incorporadas a las que las páginas web no podían acceder fácilmente antes.

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para saber más sobre cómo nuestras soluciones pueden ayudarle con sus necesidades de seguridad digital