Para las pequeñas empresas es fácil pecar de inocentes y pensar que no tienen nada que merezca la pena robar: "¿quién iba a atacarnos?". Pero la realidad es que las pequeñas empresas son especialmente vulnerables a los ataques de ingeniería social.
Según un estudio reciente, las pequeñas empresas tienen un 350% más de probabilidades de sufrir ataques de ingeniería social que las grandes empresas. Y sin equipos de seguridad informática como tal ni los recursos de las grandes compañías, a menudo carecen del personal, la formación y la tecnología de ciberseguridad para detectar y disuadir estos ataques. ¿Las llaves de acceso podrían ser la respuesta a las amenazas de ingeniería social para las pequeñas empresas?
Por qué la ingeniería social es una amenaza
La ingeniería social aprovecha la vulnerabilidad humana manipulando la psicología y las emociones para obtener acceso no autorizado a algo valioso. Los delincuentes engañan a las personas para que revelen información confidencial o lleven a cabo acciones que pongan en riesgo la seguridad. Algunas técnicas habituales de ingeniería social son la suplantación de identidad (engañar a un usuario para obtener información confidencial), el pretexto (inventarse una historia para ganarse la confianza de un usuario y engañarle para que haga algo), el gancho (prometer alguna recompensa o información para motivar a un usuario a hacer algo) y el seguimiento (pegarse a alguien para acceder físicamente a una zona protegida; por ejemplo, colándose por una puerta vigilada por una tarjeta llave). La vulnerabilidad humana es un factor frente al que cuesta defenderse, porque la gente suele confiar en los demás y tener disposición a ayudar. Los delincuentes aprovechan esta confianza para acceder a sistemas y datos con fines lucrativos o materiales. La formación de los empleados para detectar estos ataques resulta crucial, pero es necesario ir más allá, sobre todo a medida que los ciberdelincuentes perfeccionan sus técnicas.¿Qué son las llaves de acceso?
Las llaves de acceso son un método alternativo de autenticación. Permiten iniciar sesión de manera más segura que con una contraseña convencional y son únicas para cada usuario. Además, están estandarizadas para que los usuarios ya no tengan que utilizar contraseñas en sus dispositivos y navegadores, sin necesidad de volver a inscribirse cada vez. Los navegadores, los dispositivos e incluso los gestores de contraseñas pueden almacenar llaves de acceso para facilitar el inicio de sesión sin contraseña. Una llave de acceso también puede combinar las ventajas de la autenticación multifactor con un proceso de autenticación más sencillo, lo cual aumenta la seguridad y la facilidad de uso. Con una llave de acceso, los usuarios pueden iniciar sesión con un lector de huella dactilar, reconocimiento facial o PIN, en lugar de recordar y teclear sus credenciales. Las llaves de acceso (o "pares de claves criptográficas") constan de dos componentes: una llave pública y otra privada. La llave pública se comparte abiertamente y se utiliza para cifrar los datos enviados a un usuario. Actúa a modo de candado, y cualquiera podrá usarla para bloquear un mensaje de forma segura. La llave privada es secreta en todo momento y sirve para descifrar los datos encriptados con la llave pública. Digamos que es la llave para abrir el candado. Cuando alguien quiera enviar datos encriptados o verificar su identidad, utilizará la llave pública. A continuación, el usuario podrá descifrar los datos o verificar su identidad con la llave privada. Desde la perspectiva del usuario, simplemente se le pide que desbloquee su dispositivo o servicio con su huella o cara para que se le conceda acceso. Todo lo demás ocurre en el sistema backend. A medida que más sitios web y aplicaciones empiecen a admitir las llaves de acceso, habrá más empresas que podrán cambiar a un método de inicio de sesión seguro y sin contraseña para evitar los ataques de ingeniería social y facilitar la autenticación en general.¿Por qué las llaves de acceso son mejores que las contraseñas?
Las contraseñas tienen varios puntos débiles que las hacen vulnerables de cara a la ingeniería social y otras ciberamenazas:- Los usuarios suelen elegir contraseñas poco seguras que son fáciles de adivinar o descifrar.
- Muchas personas utilizan la misma contraseña en varias cuentas, lo que aumenta el riesgo en todas ellas si alguna se ve expuesta.
- Los ataques de suplantación de identidad (phising) pueden engañar a los usuarios para que compartan sus contraseñas involuntariamente.
- Si los desarrolladores almacenan contraseñas en texto plano en bases de datos o no blindan las credenciales con la seguridad adecuada, estas serán vulnerables a las filtraciones de datos.
- Por naturaleza, las contraseñas carecen de la seguridad añadida de la autenticación multifactor que muchos usuarios no activan.
- Son cadenas de caracteres largas, únicas y generadas aleatoriamente que resultan prácticamente imposibles de adivinar o descifrar.
- Los usuarios no tienen que introducirlas en formularios web, así que no son susceptibles a la suplantación de identidad ni al registro de pulsaciones en el teclado.
- Las llaves de acceso ofrecen irrenunciabilidad. Esto significa que siempre es posible verificar y validar el origen de una acción realizada con llave privada, lo cual podría evitar el uso de información privilegiada con malas intenciones.
- Las llaves de acceso pueden integrarse con otros factores (autenticación multifactor), como la biometría, para brindar mayor seguridad sin solicitar pasos adicionales a los usuarios.
- Las llaves privadas no se almacenan en servidores de terceros. Por tanto, los hackers no podrán obtener información de autenticación aunque haya una filtración de datos.
- Las llaves de acceso son únicas para cada servicio, de modo que no es posible engañar a los usuarios para que inicien sesión en un sitio web falso.
- Las llaves de acceso pueden utilizarse para un acceso remoto seguro, lo cual protegerá a su empresa frente a accesos no autorizados.
