Seg\u00fan Microsoft, el 99,9% de las cuentas de usuarios que son hackeadas no utilizan doble factor de autenticaci\u00f3n<\/a>. En el caso de cuentas corporativas, solo el 11% de ellas utilizan MFA –Multi Factor Authentication.<\/em><\/strong><\/p>\n\n\n\n En este escenario, la pregunta que nos hacemos es, \u00bfpor qu\u00e9 el uso de un doble factor de autenticaci\u00f3n no se encuentra m\u00e1s extendido?<\/strong>, \u00bfpor qu\u00e9 hay tantas reticencias?<\/strong><\/p>\n\n\n\n Seg\u00fan los estudios realizados por algunas consultoras, las justificaciones \u2014que no certezas\u2014 que plantean los posibles usuarios son m\u00faltiples<\/a>. <\/p>\n\n\n\n A continuaci\u00f3n, revisamos las que nos parecen m\u00e1s relevantes.<\/p>\n\n\n\n Es evidente que el despliegue de una soluci\u00f3n MFA <\/strong>a menudo implica la instalaci\u00f3n de un producto comercial de Gesti\u00f3n de Identidad<\/em> (IdM<\/em>)<\/strong> que proporcione servicios avanzados de seguridad. A ello hemos de unir que algunos de estos productos utilizan como doble factor de autenticaci\u00f3n el env\u00edo de SMS que masivamente resultan caros<\/strong>.<\/p>\n\n\n\n Sin embargo, no todos son as\u00ed. Existen soluciones econ\u00f3micas, accesibles incluso a las PYMES<\/strong>. Soluciones que no son complejas de desplegar.<\/p>\n\n\n\n Actualmente numerosas aplicaciones utilizan mecanismos PUSH OTP<\/strong> \u2014One Time Password\u2014<\/em> que no incrementan el coste operativo del servicio. Las aplicaciones se instalan en el terminal m\u00f3vil del usuario y este sirve de token de autenticaci\u00f3n. Algunos fabricantes llegan incluso a proporcionar estas aplicaciones de forma gratuitas para empresas que no superan un n\u00famero de empleados<\/strong>.<\/p>\n\n\n\n De hecho, los ciudadanos podemos hacer uso de los sistemas MFA \u2014dobles factores de autenticaci\u00f3n instalados en nuestros tel\u00e9fonos m\u00f3viles\u2014 pr\u00e1cticamente sin coste<\/strong>. Las mismas aplicaciones que emplean las grandes compa\u00f1\u00edas, aunque en versi\u00f3n reducida. <\/p>\n\n\n\n Se trata de sistemas que como m\u00ednimo proporcionan un segundo nivel de verificaci\u00f3n antes de autorizar el acceso<\/a> a cualquiera de las aplicaciones que habitualmente utilizamos \u2014redes sociales, cuentas correo electr\u00f3nico, etc. Si lo pensamos detenidamente, solo con este mecanismo dificultamos enormemente la acci\u00f3n de los ciberdelincuentes<\/strong>.<\/p>\n\n\n\n Muchos usuarios piensan que en realidad los MFA son solo necesarios para determinadas aplicaciones que se consideran importantes<\/strong> como cuentas bancarias, medios de pago, acceso a informaci\u00f3n sanitaria, conexiones VPN etc. Ahora bien, \u00bfpor qu\u00e9 pensamos que existen aplicaciones que no son importantes?<\/strong> <\/p>\n\n\n\n Cuando utilizamos cuentas de Facebook, Twitter o Gmail como mecanismo de autenticaci\u00f3n para otras aplicaciones, \u00bfhemos considerado el papel que juegan esas cuentas?<\/p>\n\n\n\n La dependencia entre aplicaciones pueda estar a menudo oculta<\/strong>.<\/p>\n\n\n\n Es evidente que los sistemas de SSO encuentran caminos alternativos para llegar a aplicaciones que quiz\u00e1s tambi\u00e9n deber\u00edan estar protegidas. Al final, pensado detenidamente, todas las aplicaciones que utilizamos deber\u00edan contar con un sistema eficiente de autenticaci\u00f3n<\/em><\/strong>.<\/p>\n\n\n\n Aquellos decisores que a\u00fan se muestran reticentes con los MFA argumentan que el impacto operativo en una compa\u00f1\u00eda puede ser importante. Y efectivamente, as\u00ed es. Estos sistemas introducen cambios en los procedimientos de trabajo<\/strong>. No nos enga\u00f1emos. Los MFA plantean pasos adicionales en la autenticaci\u00f3n<\/strong> de los usuarios y con ellos afectan a la operatividad.<\/p>\n\n\n\n Y ciertamente no podemos negar que en ocasiones resultan lentos<\/strong><\/em>. Algo desmotivador si durante un d\u00eda se accede continuamente uno o varios servicios.<\/p>\n\n\n\n Ahora bien, la pregunta que quiz\u00e1s deber\u00edamos plantearnos es si ese sacrificio merece la pena en beneficio de la seguridad. Actualmente existen sistemas MFA adaptativos<\/strong> que solo se activan cuando se detectan comportamientos sospechosos y que agilizan esos procesos, reduciendo sensiblemente los tiempos de acceso hasta hacerlos pr\u00e1cticamente irrelevantes<\/strong><\/em>.<\/p>\n\n\n\n Aquellos que comiencen a dudar sobre qu\u00e9 otros argumentos podr\u00edan dar, se escudar\u00e1n en que quiz\u00e1s deber\u00eda dejarse que los empleados decidieran sobre su uso o incluso que los MFA deber\u00edan utilizarse solo en usuarios privilegiados.<\/p>\n\n\n\n Respecto a la primera propuesta, la respuesta inmediata es que la seguridad no debe ser una opci\u00f3n<\/em>. Si se plantea con esa mentalidad, el fracaso estar\u00e1 garantizado<\/strong>. Un sistema MFA debe implantarse tratando de que afecte lo menos posible a los usuarios, cierto, pero dejar que el usuario decida cuando utilizarlo convierte a la ciberseguridad en un simple \u201ccheckbox<\/em>\u201d que podemos activar o desactivar a nuestra conveniencia. Y eso resulta extremadamente peligroso.<\/strong><\/p>\n\n\n\n Por otra parte, la afirmaci\u00f3n de que los perfiles de la mayor\u00eda de los empleados no implican riesgos de seguridad para una organizaci\u00f3n porque no tienen acceso a informaci\u00f3n sensible es tan arriesgada como la anterior<\/strong>. Y lo preocupante es que se trata de una idea muy extendida.<\/p>\n\n\n\n La mayor\u00eda desconoce que los ciberdelincuentes comienzan su escalada de privilegios precisamente por las cuentas de esos otros usuarios, hasta alcanzar sus verdaderos objetivos<\/em><\/strong>; porque una vez dentro de la organizaci\u00f3n los caminos hacia la informaci\u00f3n cr\u00edtica pueden llegar a ser m\u00faltiples. Por eso, tampoco este planteamiento resulta demasiado veros\u00edmil y nos conduce a una \u00faltima reticencia.<\/p>\n\n\n\n Y lo cierto es que efectivamente as\u00ed es. De hecho, no pretende serlo, entre otras cosas porque no existe la seguridad completa. Sin embargo, se trata de un mecanismo esencial que reduce la superficie de ataque de los ciberdelincuentes<\/strong>. Y decimos \u201creduce\u201d porque las soluciones MFA tambi\u00e9n tienen riesgos, principalmente de ingenier\u00eda social. A cambio, afronta, a trav\u00e9s una soluci\u00f3n sencilla y razonablemente robusta, uno de los problemas de ciberseguridad m\u00e1s extendidos<\/em>. M\u00e1s a\u00fan, los<\/em> MFA son un elemento b\u00e1sico de lo que actualmente viene a llamarse la seguridad Zero Trust<\/a><\/em><\/strong>.<\/em><\/p>\n\n\n\n![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-1-jac-alexandru-NmleJ9Rp8Zs-unsplash-1024x768.jpg\")
<\/figure><\/div>\n\n\n\nJustificaci\u00f3n 1: \u201cSoluciones costosas, concebidas solo para grandes compa\u00f1\u00edas<\/em>\u201d<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-3-smartphone-4562985_1920-1024x340.jpg\")
<\/figure><\/div>\n\n\n\nJustificaci\u00f3n 2: \u201cLos sistemas MFA son solo para determinadas aplicaciones<\/em>\u201d<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-2-markus-spiske-nBwhHm69x4I-unsplash-683x1024.jpg\")
<\/figure><\/div>\n\n\n\nJustificaci\u00f3n 3: \u201cImpactan en la operativa normal del negocio<\/em>\u201d<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-4-login-3938432_1920-1024x735.jpg\")
<\/figure><\/div>\n\n\n\nJustificaci\u00f3n 4: \u201cDeber\u00eda ser una opci\u00f3n para los empleados o solo para usuarios privilegiados<\/em>\u201d<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-6-jukan-tateisi-bJhT_8nbUA0-unsplash-1024x576.jpg\")
<\/figure><\/div>\n\n\n\nJustificaci\u00f3n 5: \u201cLos sistemas MFA no son una soluci\u00f3n completa<\/em>\u201d<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-7-bernard-hermant-rfpSOlH1JlQ-unsplash-683x1024.jpg\")
<\/figure><\/div>\n\n\n\nEl dif\u00edcil equilibrio entre seguridad y comodidad<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/all4sec.es\/blog\/wp-content\/uploads\/2021\/06\/MFA-8-brett-jordan-D44kHt8Ex14-unsplash-1024x768.jpg\")
<\/figure><\/div>\n\n\n\n