Sí, pero mejor que no estén basados en SMS
La confianza en la verificación de la identidad de un usuario través del uso de contraseñas ha ido reduciéndose con el tiempo. A medida que se evidenciaba la debilidad de las contraseñas habituales se manifestaba una creciente dificultad para recordar aquellas credenciales que resultaban más complejas y robustas. De ahí que los mecanismos de autenticación multifactor (MFA) se hayan convertido en un procedimiento de uso obligado en muchos entornos online.
La contraseña por sí sola no es suficiente
La seguridad de los usuarios cuando acceden a sus cuentas online pasa casi ineludiblemente por el empleo de contraseñas. Mucho se ha hablado sobre cómo debería ser la complejidad de estas palabras secretas para reducir la probabilidad de ser descubiertas frente a un ataque de fuerza bruta.
La inclusión de letras en mayúscula y minúscula, el uso de caracteres especiales o incluso la longitud no inferior a ocho caracteres son recomendaciones habituales. De hecho, de todas las recomendaciones mencionadas, es la longitud la que más seguridad aporta: cuantos más caracteres contenga una contraseña más difícil será de descubrir, aunque también lo será recordarla.
En este contexto se hace patente la utilidad de los gestores de contraseñas, encargados de actuar como cajas fuertes en las que alojar las credenciales de acceso (esta vez, sí suficientemente complejas) de los entornos y aplicaciones en los que el usuario está registrado. Pero, aun así, continúan siendo insuficientes; al fin y al cabo, “una contraseña protege otras contraseñas”.
Mecanismos de autenticación fuerte
El uso de mecanismos de autenticación fuerte se alzan ineludiblemente como un elemento complementario e indispensable de verificación de la identidad de un usuario.
La adecuación del sector financiero a la normativa PCI DSS 4.0 ha servido de punta de lanza para el empleo de estos mecanismos que hacen más robusta la verificación de la identidad, más aún cuando se trata de transacciones financieras.
Actores tan relevantes como Google, Saleforce o incluso Github han comenzado a manifestar que, más pronto que tarde, protegerán sus sistemas con MFA de forma obligatoria. Por el momento, la mayoría los sistemas ya hacen uso de servicios denominados OTP –One Time Password– que permiten añadir un segundo nivel de autenticación (2FA) a las tradicionales duplas de usuario y contraseña.
SMS como 2FA
Uno de esos mecanismos de doble autenticación consiste en el uso de SMS, es decir, un código que se recibe en el teléfono móvil y que el usuario debe introducir en el sistema para acceder a su cuenta online.
Sin embargo, mal que nos pese, y aunque nos parezca robusto, se trata de un procedimiento ciertamente inseguro. Tanto es así que tanto el NIST norteamericano como el ENISA europeo no recomiendan su uso.
Los ataques de SIM-swapping (solicitar de forma ilícita un duplicado de la SIM de un teléfono móvil), hacking al protocolo SS7, o incluso las técnicas de ingeniería social basadas en el robo de los códigos de acceso recibidos en el terminal, son más habituales de lo que creemos.
Pese a ello, los SMS siguen siendo ampliamente utilizados, desde entornos públicos, hasta aplicaciones de comercio electrónico o incluso para el acceso a cuentas bancarias. Las razones son sencillas de explicar. Las contraseñas suelen ser una lata para los gestores de aplicaciones de modo que la implantación de un segundo nivel, aunque esté basado en SMS, constituye una solución “suficientemente” eficaz.
Por otra parte, la mayoría de los usuarios suelen disponer de un teléfono móvil y como mínimo son capaces de recibir SMS. por último, y no menos relevante, no requieren de nada más por parte del usuario, que no debe instalar ningún aplicativo ni solicitar la activación de mecanismo alguno de doble autenticación ya que por defecto, quedará activado y asociado a su teléfono móvil, o mejor dicho, a su tarjeta SIM.
El móvil como medio de autenticación
Los terminales móviles también sirven como tokens físicos de autenticación. En estos casos, una aplicación software instalada en el terminal actúa como herramienta de autenticación proporcionando tokens de un solo uso. Es lo que se conoce “aplicaciones de autenticación PUSH”. Ejemplos de este tipo de aplicaciones las encontramos en Google Autheticator, Microsoft Authenticator, Cisco Duo, etc.
Sin embargo, también estas aplicaciones tienen sus limitaciones: necesitan de acceso a Internet en el terminal, pueden ser vulneradas por malwares descargados en los teléfonos móviles o incluso, como ha ocurrido recientemente, pueden verse sometidos a ataques de ingeniería social conocidos como “MFA Prompt Bombing” en los que el atacante bombardea el terminal de su víctima solicitando la aprobación de una petición de autenticación que le permita tomar el control de su cuenta.
Hace unos meses, Apple, Google y Microsoft decidieron dar un nuevo rumbo a sus propias iniciativas. Los tres se unieron para impulsar la adopción del estándar FIDO2 cuyo objetivo es el uso de un mecanismo que no requiera de contraseñas para la autenticación en servicios propios y de terceros.
FIDO, el camino hacia la autenticación sin contraseñas
La autenticación FIDO está basada en sistemas de claves privadas o sistemas biométricos de identificación de forma que se pueda, por ejemplo, deslizar una huella digital o ingresar un PIN, y no sea necesario recordar una contraseña compleja.
Para ello, emplea criptografía de clave pública (a través de protocolos WebAuthn y CTAP) que permite a los usuarios identificarse con datos biométricos, PIN o autenticadores FIDO externos, en un servidor FIDO2 que pertenece a un sitio web o aplicación. Las credenciales son únicas para cada entorno y nunca salen del terminal en el que están instaladas. De este modo no resultan vulnerables a su uso en otros entornos.
Y si no es FIDO, ¿qué?
Sin embargo, a FIDO aún le queda camino por recorrer. El estándar FIDO2 va tomando consistencia de forma lenta pero continua. Quizás en los próximos años podamos ver las primeras muestras de su más amplia adopción.
Mientras tanto, deberíamos pensar que el uso de los sistemas MFA no puede esperar. Bien a través de tokens físicos, bien a través de aplicaciones de teléfono móvil o sistemas de biometría, todos deberíamos emplear mecanismos de doble autenticación que reduzcan nuestros riesgos frente potenciales robos de credenciales o cuentas de uso habitual en nuestra vida cotidiana.
Una nota final: véase que no mencionamos los sistemas basados en SMS. Mal que nos pese, y siguiendo las recomendaciones internacionales, su uso como mecanismo de autenticación debería tender a desaparecer.