La autenticación simple a través de nombre de usuario y contraseña es uno de los sistemas de protección más utilizados, al ser un método tan popular se han desarrollado múltiples amenazas que buscan vulnerar su seguridad.
Por lo tanto, empresas de servicio de correo electrónico, servicios de almacenamiento en la nube y redes sociales -que ya han sido víctimas de ataques informáticos- empiezan a ver la necesidad de utilizar un factor de protección adicional para evitar el fácil acceso de los cibercriminales a la información de sus usuarios.
Camilo Gutiérrez, especialista de Awareness & Research de ESET Latinoamérica, nos explica qué es y cómo funciona la seguridad con doble contraseña, así como sus ventajas ante los ataques informáticos.
1. ¿Qué es la doble contraseña?
Cuando hablamos de autenticación, los sistemas pueden contar con al menos unos de los siguientes factores:
. Factor de conocimiento: se trata de algo que el usuario conoce como las contraseñas, PIN, entre otros.
. Factor de posesión: es algo que el usuario posee como un token o teléfono inteligente.
. Factor de inherencia: rasgos conductuales y físicos intrínsecos del ser humano, como la huella dactilar o el iris.
Los sistemas de doble autenticación utilizan dos de los anteriores factores para garantizar un nivel adicional de protección. Por lo general, suelen utilizar el factor conocimiento (credenciales de acceso) y factor posesión (un token de seguridad o teléfono móvil) que se utiliza para recibir un código aleatorio que es válido para una sesión y que expira transcurrido un período de tiempo.
Si un malware, phishing, ataque a servidor, o fuerza bruta logra obtener las credenciales del usuario, los ciberdelincuentes no podrán acceder a la cuenta debido a que no tendrán en su poder el código de seguridad que recibe el usuario en el token o celular.
Dependiendo de la implementación de cada empresa, algunos sistemas de doble autenticación solicitan el segundo factor de comprobación solo si el usuario intenta acceder desde un dispositivo nuevo o desconocido. Si un cibercriminal obtuviera las credenciales de alguno de estos servicios, también tendría que tener el código de seguridad, por lo tanto, el riesgo de ataques que roban contraseñas es mitigado considerablemente.
2. ¿Para qué sirve una contraseña doble?
Son varias las amenazas que pueden vulnerar la información que un usuario utiliza para autenticarse a un sistema. Por ejemplo, si una persona implementa una contraseña segura que conste de diez o más caracteres alfanuméricos, que no esté relacionada a datos personales ni elementos fáciles de adivinar, se puede mitigar el impacto de algunos ataques de fuerza bruta, sin embargo, estas medidas no mitigan el riesgo de otras amenazas como los códigos maliciosos o las campañas de phishing, algo que sí se puede controlar con sistemas de doble autenticación.
3. ¿Por qué la mayoría de empresas están optando por este sistema de seguridad?
La variedad de amenazas que pueden vulnerar la seguridad de una contraseña ha llevado a que las empresas empiecen a adoptar mecanismos de doble autenticación. Dentro de estas amenazas se pueden resaltar las siguientes, que aprovechan el uso de un único factor de comprobación como nombre de usuario y contraseña:
. Códigos maliciosos (malware): son programas diseñados para causarle perjuicios tanto al sistema como al usuario. En esta línea, varios códigos maliciosos están diseñados entre otros motivos, para robar contraseñas de servicios bancarios, correo electrónico o redes sociales.
. Phishing: son ataques en los que los cibercriminales suplantan a una entidad de confianza como un banco o red social para solicitar información sensible como credenciales de acceso. El objetivo del phishing es manipular al usuario para que este entregue dichos datos.
. Fuerza bruta: consisten en el uso de programas especiales que a través de un diccionario, adivinan la contraseña de una cuenta formando distintas combinaciones de palabras y números.
. Ataque directo a servidores: los cibercriminales vulneran el servidor de una compañía en donde se encuentran almacenadas las contraseñas de los clientes.
4. ¿Qué podemos hacer para evitar poner en riesgo nuestra información?
Los usuarios deben adoptar buenas prácticas en el manejo de sus nombres de usuario y contraseñas. En este sentido, se recomienda utilizar contraseñas difíciles de adivinar utilizando letras, números y símbolos, contar con diferentes contraseñas para los servicios más críticos que utilice en Internet.
Igualmente las prácticas de navegación son fundamentales para garantizar la seguridad de la información, de esta forma no es recomendable conectarse en servicios de WiFi públicos para revisar servicios sensibles como correo electrónico o páginas de entidades financieras.
También debe tener cuidado en cuales enlaces se hace clic y que tipo de información se suministra en formularios de páginas en Internet. Además ESET ofrece la posibilidad a las empresa de proteger sus correos electrónicos y VPN a través de una solución de doble autenticación llamada ESET Secure Authentication.
Investigación
Una encuesta realizada por ESET Latinoamérica reveló que los servicios más suplantados por los cibercriminales a través del phishing son el webmail (correo electrónico en línea) con 46%, redes sociales con 45%, y bancos 44%. De acuerdo con la misma encuesta, los datos más solicitados por cibercriminales son nombres de usuario y contraseñas con 81% de las preferencias. Considerablemente más atrás quedan los token (dispositivos físicos que generan números de acuerdo a un patrón) con un 9%.