Más allá de las contraseñas: la autenticación multifactor reforzada
- Actualidad
La resistencia al cambio, la inversión tecnológica necesaria o el uso de las contraseñas como sistema de refuerzo en medidas de autenticación más complejas son algunas de las razones por las que las passwords siguen vigente, pese a que ya hay sistemas capaces incluso de mejorar la autenticación multifactor.
Mañana, además del Día Internacional de los Trabajadores, es el de nuestra vieja amiga la contraseña. Quizá llegue un momento en que nos acordemos de las contraseñas como del VHS o la casete, esa cosa entrañable que las nuevas generaciones ya no saben qué es. Pero, por el momento, como vimos en un reciente reportaje, no se vislumbra su final, sea por los costes, por la resistencia al cambio o porque todavía perdura como último recurso en sistemas más complejos.
Y eso que son un riesgo importante. Como recuerda Carla Roncato, vicepresidenta de identidad de WatchGuard, “el verdadero peligro no radica únicamente en la reutilización imprudente de contraseñas o en combinaciones débiles, sino en el robo y la compraventa de datos de acceso a escala industrial. Las credenciales se obtienen a través de campañas de phishing, malware o brechas de seguridad, y después se empaquetan, se venden y se explotan con una rapidez asombrosa”.
El sistema llamado a sustituirlas, ya con una amplia implantación, es la autenticación de doble factor, tampoco está exento de riesgos. Sophos explica que “estas capas adicionales de protección a menudo se basan en códigos secretos basados en el conocimiento que se comparte a través de SMS o aplicaciones de autenticación” y hay herramientas que automatizan la suplantación de identidad o roban las cookies de inicio de sesión y son capaces de saltarse esas protecciones.
La autenticación reforzada de WebAuthn
Sophos plantea como una opción más robusta el protocolo WebAuthn, basado en la norma FIDO2, con el que al crear una cuenta se genera un par único, público/privado, de claves cifradas o passkeys. El servidor envía una solicitud de autenticación que solo puede resolverse desde el dispositivo físico, que a su vez cuenta con autenticación biométrica. Incluso en este caso, el robo de cookies podría evitar la protección.
Para Chester Wisniewski, Global Field CISO de Sophos, "tenemos que dejar de depender de las contraseñas y los secretos compartidos. Las claves de acceso o passkeys representan hoy la solución más sólida para construir un futuro sin contraseñas, phishing y, con suerte, compromiso a gran escala”. Y, mientras tanto, hay que estar muy vigilantes con los sistemas de contraseñas.
Roncato, de WatchGuard, considera que “las organizaciones deben tratar la exposición de credenciales como una amenaza que debe rastrearse y mitigarse, no solo como una cuestión de higiene digital. Esto implica una monitorización proactiva de la dark web, alertas en tiempo real ante credenciales comprometidas y un plan de respuesta a incidentes que parta del supuesto de que ya se ha producido una brecha, en lugar de centrarse únicamente en evitarla”.
