La autenticación por SMS protege a los usuarios y proporciona tranquilidad a las empresas

Hace poco hemos conocido el ciberataque informático sufrido por la cadena hotelera Marriott, que ha revelado datos personales de 500 millones de clientes como nombres, direcciones, números de teléfono y pasaporte, e incluso los datos de sus tarjetas de crédito. Esta noticia ha vuelto a poner de manifiesto la necesidad de mejorar la protección de la información personal de los usuarios de servicios online.

Por desgracia, no se trata de un caso aislado. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de este año, la Agencia Española de Protección de Datos (AEPD) ha recibido 418 notificaciones de brechas de datos en España. De acuerdo con esta normativa europea, todas las empresas que sufran incidentes de este tipo, independientemente de su tamaño, están obligadas a comunicarlo a la AEPD o se arriesgan a recibir multas de hasta diez millones de euros.

Una de las maneras más sencillas de evitar este tipo de infracciones de la seguridad de los datos es la implementación de la autenticación multifactor mediante SMS. A continuación veremos en qué consiste, cómo funciona y las ventajas que proporciona.

Autenticación de un solo factor vs autenticación multifactor

La forma más básica y extendida de proteger el acceso a una cuenta de usuario es una contraseña. Sin embargo, las contraseñas ofrecen una seguridad limitada. En primer lugar, solo uno de cada diez usuarios elige una contraseña segura (con más de ocho dígitos y que incluya mayúsculas y minúsculas, números, y caracteres especiales) y el 42 % utiliza la misma contraseña en varios servicios, según un estudio de S2 Grupo.

Esto provoca que los ciberdelincuentes puedan descubrir fácilmente la clave y tener acceso completo a la cuenta del usuario, porque no existe un segundo nivel de protección. Se trata de un sistema de autenticación de un solo factor (la contraseña).

En cambio, los sistemas de autenticación multifactor requieren más de un elemento para acceder a la cuenta. Generalmente, los servicios de autenticación de múltiples factores combinan algo que el usuario sabe (como una contraseña o número PIN); algo que el usuario tiene (como una tarjeta de acceso o un dispositivo informático); y algo que es propio del usuario (como su huella dactilar, reconocimiento facial, etc.). Sin contar con todos estos elementos, no es posible tener acceso a la cuenta del usuario.

Lamentablemente, la mayoría de páginas web, tiendas online, redes sociales y otros servicios online siguen utilizando la autenticación de un solo factor. Solo con conocer el nombre del usuario y la contraseña es posible acceder a la cuenta del usuario, lo cual hace estos servicios sea extremadamente vulnerables. Pero basta con añadir un segundo factor de autenticación, como un mensaje SMS, para aumentar la seguridad.

Cómo funciona la autenticación multifactor por SMS

Las empresas que quieran proteger la seguridad y privacidad de sus usuarios en Internet pueden hacerlo fácilmente incorporando la autenticación por SMS. Se trata de uno de los sistemas de verificación más extendidos y efectivos, que utilizan desde bancos a importantes empresas de Internet como Twitter, Google, Facebook y Netflix.

El proceso de autenticación mediante SMS es muy sencillo:

• El usuario solicita acceso a la cuenta con su nombre de usuario y contraseña.

• El sistema envía un código de validación por SMS al teléfono del usuario.

• El usuario introduce el código de validación para acceder a su cuenta.

Este sistema de autenticación de doble factor, rápido y sencillo, permite asegurar que la persona que inicia sesión en la cuenta es quien dice ser y limita las posibilidades de que un intruso pueda acceder a los datos del usuario. Aunque conozca el nombre de usuario y la contraseña, un ciberdelincuente no puede usarlos a menos que también tenga acceso al teléfono móvil del usuario. A la inversa, si el usuario pierde o le roban su teléfono, solamente con el código del mensaje SMS, un ciberdelincuente no puede acceder a su cuenta de usuario sin averiguar el nombre de usuario y la contraseña.

Por ello, según señala el Instituto Nacional de Ciberseguridad (INCIBE), la autenticación de doble factor "mitiga en gran medida los ataques informáticos (...) por lo que se recomienda utilizarla siempre en los servicios críticos como la administración de sistemas, las cuentas del banco, la gestión de tiendas online (…) o las redes sociales".

Además, los SMS llegan a todos los tipos de teléfonos y estos dispositivos suelen estar siempre cerca de los usuarios, a diferencia de otros sistemas de autenticación como las tarjetas inteligentes, dongles o tokens USB, que pueden olvidarse en casa o la oficina. Por otro lado, los SMS son una tecnología asequible, universal y que todos los usuarios saben utilizar, por lo que no requieren grandes inversiones ni curvas de aprendizaje.

Gracias a las plataformas de envío de SMS, las empresas de todos los tamaños pueden incorporar la autenticación por SMS sin la molestia de tener que gestionar el envío de los mensajes y el almacenamiento de los códigos de seguridad. Esto les permite proteger las cuentas de los usuarios, las compras online o el acceso a servicios en la nube. Así pueden ofrecer una mayor seguridad a los usuarios, a la vez que aseguran el cumplimiento del RGPD y ponen las cosas realmente difíciles a los ciberdelincuentes.

Autor: Wojciech Kaczmarek, director general de SMSAPI, proveedor de servicios SMS