A estas alturas, seguramente ya utiliza la autenticación multifactor (MFA) para proteger una o varias de sus cuentas online en el trabajo. El proceso suele ser el siguiente: introduce la contraseña, el sitio o la aplicación le pide una segunda forma de autenticación (como un código enviado por mensaje de texto a su teléfono o generado en el dispositivo con una aplicación de autenticación), introduce esta segunda forma de autenticación y el sitio o la aplicación autoriza su acceso a la cuenta. La MFA puede parecer nueva, pero en realidad lleva bastante tiempo entre nosotros.
A continuación repasamos cómo ha evolucionado la autenticación multifactor y cómo sigue mejorando para proteger mejor a las empresas de las nuevas ciberamenazas.
Décadas de 1990-2000: de herramientas 2FA especializadas a soluciones 2FA fáciles de usar
La MFA y su predecesora, la autenticación de doble factor o 2FA, conviven con nosotros desde hace más de veinte años. Aunque la invención de la 2FA es objeto de disputa (AT&T asegura que la inventó en los años noventa), no empezó a cuajar hasta mediados de la década de los 2000. Uno de los grandes inconvenientes es que a los usuarios les parecía incómoda y pensaban que con una sola autenticación (las contraseñas) bastaba para proteger sus cuentas. Aunque algunas empresas grandes y organizaciones preocupadas por la seguridad adoptaron un tipo de criptografía de clave pública conocida como RSA (que usaba dos tokens de autenticación separados para validar los accesos de los usuarios), muchas compañías consideraban esta solución demasiado cara y difícil de implementar en ese momento. La evolución de la autenticación multifactor cobró impulso a mediados de la década de los 2000, cuando los smartphones aterrizaron entre los usuarios. Y como los smartphones eran además una fantástica herramienta para mejorar la productividad de las empresas, estas no tardaron en empezar a adoptarlos también. Algunas empresas incluso apostaron por programas de uso de dispositivos personales en el trabajo (BYOD), que permitían a los empleados usar sus propios dispositivos con fines profesionales. Con la generalización de los smartphones en casa y en el trabajo, un ingente volumen de población pasó de repente a tener acceso a soluciones 2FA más prácticas para proteger sus cuentas online. La comodidad de poder recibir códigos de autenticación por SMS o correo electrónico convirtió la 2FA en un concepto mucho más digerible.Décadas de 2000-2010: los robos de datos aceleran la adopción generalizada de la 2FA y la MFA
A medida que usuarios y empresas fueron abriéndose más a la idea de usar la 2FA y la MFA en sus smartphones, entre finales de la década de los 2000 y principios de la de 2010, los robos y las filtraciones de datos empezaron a asomar la cabeza como una de las grandes amenazas a la seguridad y la privacidad online. En Estados Unidos se produjeron robos de datos masivos que afectaron al sector privado, a particulares, a contratistas de la industria militar y a organismos gubernamentales. Sony Pictures Entertainment y la oficina de gestión de personal del gobierno de EE. UU. (OPM) fueron dos de las víctimas más ilustres de los espectaculares robos de datos de ese periodo. A principios de 2016, el presidente Obama escribió un editorial en el Wall Street Journal en el que declaraba que solo con las contraseñas no bastaba para proteger a clientes y empresas. Teniendo en cuenta que 9 de cada 10 estadounidenses tenía entonces la sensación de haber perdido el control sobre su información personal, el presidente anunció una nueva campaña nacional de sensibilización, bautizada como #Turnon2FA, para animar a la ciudadanía a reforzar su protección online. Al poco tiempo los smartphones empezaron a incorporar técnicas de autenticación biométrica, como la detección de la huella dactilar o el reconocimiento facial. Este cambio supuso un nuevo impulso para la autenticación multifactor, ya que permitió a particulares y empresas empezar a usar nuevos métodos de MFA para proteger sus cuentas.La evolución de la MFA en respuesta a las nuevas amenazas
A diferencia de la 2FA, que utiliza solo dos factores (o formas) de autenticación, la MFA normalmente verifica la identidad de una persona utilizando tres factores: algo que sabe, como la respuesta a una pregunta de seguridad, algo que tiene, como un código generado por una aplicación de autenticación en su teléfono, y algo que es, como su huella dactilar, el rostro o la voz. Con tres factores de autenticación protegiendo el acceso a su cuenta, los ciberdelincuentes lo tienen mucho más difícil para hacerse pasar por otro y cruzar la puerta sin ser vistos. La MFA ofrece a las empresas una protección muy superior a la que pueden darles las contraseñas solas, pero ni siquiera la MFA es infalible. Por ejemplo, si la información personal de un usuario ha formado parte de un robo de datos y un hacker la ha comprado en la Dark Web, tendrá más posibilidades de entrar en la cuenta de ese usuario. También es habitual que personas con malas intenciones peinen las publicaciones en redes sociales en busca de datos que les permitan para acceder a una cuenta. Asimismo, algunos métodos de autenticación tienen también sus vulnerabilidades. A través del método de suplantación de SIM, un hacker puede acceder al teléfono de una persona y usarlo para completar la autenticación por SMS antes de que la víctima se dé cuenta. Si alguien roba el teléfono de la víctima y no está bloqueado mediante autenticación biométrica, como el reconocimiento facial o la detección de huella dactilar, podría usarlo para acceder a las cuentas online de esa persona y dejar al descubierto datos comerciales confidenciales. Incluso es posible falsear la autenticación biométrica si un hacker tiene a su alcance herramientas lo bastante avanzadas, por lo que es importante que la MFA siga evolucionando para poder proteger a las empresas. La MFA, piedra angular en nuestro futuro sin contraseñas Con su evolución, la MFA ha abierto la puerta a un futuro sin contraseñas. Antes de la irrupción de la MFA, muchos empleados únicamente sabían manejar contraseñas. Si un usuario concreto utilizaba contraseñas poco seguras, sus credenciales podían quedar al descubierto y la empresa corría el riesgo de sufrir un robo de datos. Una vez que los empleados empezaron a familiarizarse con la MFA para reforzar la protección de sus cuentas y los datos de la empresa, también descubrieron que no era tan difícil añadir diferentes tipos de autenticación a sus procesos tradicionales basados en contraseñas. Vieron, por ejemplo, que al recibir un código por mensaje SMS en un iPhone o Android este código podía introducirse automáticamente en la pantalla de la MFA sin que tuvieran que hacer nada. Y si usaban una aplicación de autenticación, podían configurarla para que se abriera automáticamente y copiar el código activo y pegarlo directamente en la pantalla de la MFA. La autenticación biométrica se lo ponía todavía más fácil, ya que permitía autenticarse únicamente con un dedo. Al poco tiempo, estos pasos adicionales ya no parecían una carga tan pesada y los usuarios estaban cada vez más protegidos contra posibles ciberataques. Ahora que las empresas y sus empleados ya dominan la MFA están en una posición ideal para dar el paso definitivo a la autenticación sin contraseñas. Por ejemplo, aplicando un protocolo de autenticación seguro como FIDO2 ahora pueden usar la MFA para sustituir o eliminar las contraseñas. El protocolo FIDO2 permite a los usuarios autenticarse en servicios online con sus dispositivos móviles y ordenadores, por ejemplo mediante métodos ya conocidos por los usuarios como la autenticación biométrica. Por lo tanto, para sus empleados la autenticación sin contraseñas será probablemente tan sencilla y práctica como la MFA: solo deberán aplicar lo que ya saben, en lugar de tener que empezar de cero, y la empresa podrá disfrutar de la tranquilidad de saber que sus datos están mejor protegidos.Así protege su negocio la MFA de LastPass
La tecnología de MFA adaptativa de LastPass no deja de evolucionar en respuesta a amenazas a la ciberseguridad como los ataques de ransomware. Descubra cómo la MFA puede proteger a su empresa en un contexto de ciberseguridad en constante transformación:- Autenticación adaptativa. La autenticación multifactor de LastPass combina inteligencia contextual y biométrica para comprobar la identidad de un usuario con una combinación de factores, por lo que su empresa estará perfectamente protegida por más que cambie el entorno.
- Experiencia de usuario sin contraseñas. Sus empleados pueden usar LastPass para acceder a su trabajo en todos los dispositivos (desde móviles hasta ordenadores) sin necesidad de contraseñas.
- Métodos de MFA personalizables. LastPass ofrece a su empresa opciones de autenticación flexibles. Puede crear y aplicar factores de MFA únicos por usuarios o por grupos para garantizar una seguridad integral.
- Gestión sencilla de la MFA. LastPass se lo pone fácil a su equipo de TI para aplicar la MFA a diferentes puntos de acceso, como aplicaciones en la nube, conexiones de red privada virtual (VPN), estaciones de trabajo y proveedores de identidad, entre otros. Así su organización podrá avanzar hacia una arquitectura de confianza cero y reforzar su estructura de ciberseguridad.
