‘El passwordless es donde queremos llegar’ (Fabio Cichero, Yubico)

El mercado está tardando en reaccionar. El doble factor de autenticación se extiende, pero lentamente. Asegura el directivo de Yubico que en los más de dos años que lleva trabajando el mercado del sur de Europa ha constatado que sigue habiendo una infraestructura legacy importante, aunque la modernización se está acelerando.

Este contenido se publicó en el número de junio de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Cuando le preguntamos por lo que está impulsando el mercado de autenticación, menciona Fabio Cichero el cumplimiento; “estamos viendo cómo se pone foco en tener tecnologías que sean resistentes al phishing”. También menciona “una situación geopolítica que está causando que las amenazas y la cantidad de ataques contra la administración pública está creciendo mucho, lo que hace que el tema de la autenticación sea más relevante”.

Parece claro que el uso de contraseñas como única medida para autenticar a un usuario no es un método con las suficientes garantías de seguridad. Grandes organizaciones como Google, Mozilla o Microsoft están llevando el control de accesos a un nuevo paradigma denominado passwordless que reemplazará el uso de contraseñas por alternativas más seguras y amigables para el usuario. Pero este reemplazo no está cerca de producirse porque “sigue habiendo una gran cantidad de empresas del sector privado que siguen dependiendo de aplicaciones, sistemas e infraestructura legacy”. Asegura Fabio Cichero que “el passwordless es donde queremos llegar. Siendo uno de los miembros fundadores de la Alianza FIDO apostamos por FIDO 2 y WebAuthm, que es lo que te permite hacer el passwordless, así como el FIDO Universal 2nd Factor (FIDO 2F), y nuestro día a día es concienciar al mercado y destacar la importancia y lo seguro que es el passwordless”.

Añade Fabio Cichero que hay un 80% de las empresas con las que Yubico está haciendo negocio cuya infraestructura on-prem no permite hacer passwordless, pero que en los próximos 24 meses se verá un cambio que llevará a que el 60% de los clientes estarán preparados para dar el paso hacia el passwordless. La YubiKey es una propuesta de la compañía que permite a los clientes empezar a usarla en una infraestructura legacy, “y poder utilizar el mismo token el día de mañana, cuando tu empresa tenga toda una infraestructura basada en nube”.

Oferta

“Yo le vendo a los partners el hardware y después les educo para poder prestar servicios”, explica el directivo cuando le preguntamos por la oferta de la compañía. La propuesta llega al mercado a través de dos tipos de partners: transaccionales, que venden solamente el hardware, “y lo que nosotros llamamos partners de valor añadido (RAD – Reseller Add Value), que son los que están ofreciendo los servicios”.

El producto estrella es la YubiKey Serie 5, una propuesta multiprotocolo que te permite poder aplicarla a los servicios legacy “y el día de mañana modernizar la autenticación de tu empresa”. También cuenta la compañía con un YubiHSM, una propuesta con un HSM incluido para cifrado que ya utilizan algunos clientes de la compañía en Europa, y que se empezará a potenciar en la región de la que Fabio Cichero es responsable de canal.

A finales del año pasado la compañía presentaba serie YubiKey Bio. Creada para la autenticación biométrica en ordenadores de sobremesa, esta serie es compatible con los modernos protocolos FIDO2/WebAuthm y U2F, en factores de forma USB-A y USB-C.

Yubico España

Dos años después de la apertura de una oficina en España, preguntamos a Cichero por la evolución de la compañía en nuestro país. Menciona la firma del acuerdo con Ingecom, así como el negocio de DotForce, quien distribuye los productos de Yubico desde hace cinco años, como impulsores de un incremento del negocio “muy importante”. Asegura además el directivo que el potencial que ven en el mercado, comparado con el previsto hace doce meses, es muy bueno.

En cuanto a la tipología de cliente, “está cambiando un poco”. Cuando la compañía comenzó a operar en España a través de DotForce hace cinco años se trabajaba con empresas pequeñas y medianas, de hasta 500 usuarios; “después empezamos a hacer un ejercicio grande para entrar en grandes cuentas y ahora, con la incorporación de Ingecom y la ayuda de DotForce estamos empezando a penetrar ese mercado”. Añade además Cichero que se empieza a tratar con la Administración Pública que “empieza a ser muy relevante en nuestro pipeline”.

El mercado de gestión de accesos e identidades, que es el proceso que sigue después de una autenticación, está en pleno proceso de consolidación. ¿Tiene planes Yubico de adentrarse en ese mercado? “No, no está en el roadmap hacer eso. Nuestro core business y nuestro expertise está en el hardware, en la autenticación robusta con tecnología resistente al phishing como la Yubikey, pero sí trabajamos con grandes empresas de ese sector”.

¿Cuándo hablas de autenticación robusta resistente al phishing significa que ya no necesito una solución de protección del email? Responde Fabio Cichero diciendo que depende de la tecnología que tenga la llave, y que una de las ventajas de proteger el protocolo WebAuthm es eliminar completamente el factor humano”. Añade que hay otras tecnologías que son muy útiles, pero “lo que puedo decir de la Yubikey es que utilizando WebAuthm te detecta si la URL es maligna y la llave no te deja hacer la autenticación. De forma que si la llave se utiliza correctamente es completamente resistente al phishing”.