Evitar la extinción con MFA

Mi familia y yo hemos empezado a aplicar recientemente una rutina de cena y película semanal, en la que basamos el menú de la cena en los personajes o premisa de la película. En nuestro caso, estamos contando ya los días para realizar nuestro próximo viaje familiar, pero espero poder continuar con esta divertida rutina después de volver del viaje. El entusiasmo de los niños escogiendo un sobre mientras todos miramos expectantes para ver qué película nos toca ver esa semana, y la misma ilusión de mamá y papá para ver qué tipo de comida tendrán que preparar en los próximos días. Qué entretenido es el mundo de las tradiciones familiares… pero ahora pasemos a la parte de ciberseguridad de esta historia.

Esta semana pasada uno de mis hijos escogió un sobre con “Jurassic World: Dominion” como la película elegida. Mi mente rápidamente empezó la confección el menú que tendríamos que preparar (garras de velocirraptor de queso, nuggets de dinosaurio, quizás alitas de pterodáctilo) pero imagine mi gran sorpresa, una vez que empezamos a ver la película, cuando pude tener una fantástica charla de ciberseguridad con mis hijos — que cada vez están más sumergidos en la tecnología que les rodea, como les pasa a muchos otros estudiantes de primaria y secundaria.

¿Qué es la autenticación multifactor?

¿Jurassic World: Dominion y la seguridad? Sí claro. Los dinosaurios de escapan de áreas valladas durante toda la franquicia de Jurassic Park, aunque ese no es el tipo de seguridad en la que estoy pensando. Sin perjuicio de provocar ningún spoiler (¡eso espero!), hay una escena en la película en la que Ian Malcolm le entrega en secreto su super tecnológica pulsera de identificación (pensemos en una credencial identificativa que llevas en la muñeca o si has estado en Walt Disney World recientemente, piensa en una Magic Band) a la doctora Ellie Sattler. Ellie y Dr. Alan Grant usan esa pulsera identificativa para entrar en las áreas restringidas del laboratorio, donde terminan robando ADN, y que conduce a la terrorífica, aunque emocionante, aventura por las que son conocidas las películas de Jurassic Park.

La cuestión es, con tan solo la pulsera ID, fueron capaces de acceder a la parte del laboratorio que estaba restringida para los visitantes. No se les pidió que proporcionaran una huella dactilar o algún un código junto al barrido de la pulsera ID (¡venga por favor!, si hasta Disney te pide tu huella tras escanear la pulsera Magic Band). Y como resultado de ello fueron capaces de entrar robar la propiedad de Biosyn.

En el mundo de la ciberseguridad, nos referimos a esto como la carencia de un sistema de autenticación multifactor (o en algunos casos una verificación de dos pasos), también conocida como MFA. Cuando solo se pide un tipo de identificación, en este caso la pulsera ID, la pérdida de esa única fuente pone el riesgo los bienes protegidos. Si añades una segunda forma de identificación (o una tercera, cuarta, etc.), como por ejemplo un PIN, el escáner de la retina o incluso la respuesta a una pregunta, entonces de repente cuentas con una autenticación multifactor y la pérdida de una de las formas no supone el mismo riesgo que antes.

¿Cómo funciona la autenticación multifactor?

Probablemente ya usa la autenticación multifactor en su vida diaria pero no se ha dado cuenta. Al iniciar sesión en su banco, para operar online, puede introducir su ID de usuario (o quizás un número de cuenta) y su contraseña (o PIN). Pero si en un momento dado le aparece un mensaje diciendo que el portal no reconoce su dispositivo, esto es un tipo de MFA. En este caso, un dispositivo registrado como un teléfono o un ordenador personal, actúa como su segunda forma de autenticación.

MFA es un enfoque por capas para proteger datos o aplicaciones donde un sistema requiere que el usuario presenta dos o más credenciales para verificar su identidad. Estas credenciales se clasifican en tres categorías diferentes:

  • Algo que sabe – como una contraseña o la respuesta a una pregunta de seguridad personal
  • Algo que tiene – como un dispositivo físico, token hardware, credencial de identificación o responder a una app en su teléfono móvil
  • Algo que es – como un escáner de huella dactilar o de retina

En el caso de la banca móvil, el dispositivo registrado entra dentro de la categoría “algo que tiene”.

Es importante comprender, sin embargo, que la simple combinación de verificaciones no constituye por sí solo un sistema de autenticación muiltifactor. La combinación necesita incluir elementos que pertenezcan a diferentes categorías. Así, introducir la contraseña y responder una pregunta de seguridad no se califica normalmente como autenticación multifactor, ya que ambas cuenta como “algo que sabe.” Introducir una contraseña y que se le solicite un código único que se muestra en una app que tienen en el teléfono sí se considera como una autenticación multifactor, ya que cubre las categorías “algo que sabe” y “algo que tiene” respectivamente.

Tipos de autenticación multifactor

Aunque existen varios tipos de autenticación multifactor, algunas de las más comunes incluyen añadir una de estas acciones a una contraseña o PIN para una cuenta:

  • Notificación push a  través de una app de autenticación reconocida
  • Contraseña de un solo uso (código único que se muestra para que lo use una sola vez y solo está disponible a través de un método de comunicación que es exclusivo para usted, como una cuenta de correo electrónico, un mensaje SMS a su teléfono o a través de su app móvil)
  • Token de dos factores (token físico que conecta o del que extrae un código)
  • Dato biométrico (como una huella dactilar, verificación fácil o escáner de retina)

¿Por qué es tan importante? Si Biosyn hubiera requerido una verificación facial tras usar la pulsera de identificación, Ellie y Alan no habrían podido entrar en la zona restringida del laboratorio. Si un “malo” roba su nombre de usuario y contraseña, no podrán avanzar en sistemas donde también se requiere introducir un código de un solo uso que se envía a su teléfono móvil.

La repetición de MFA es clave

Muchos sistemas ofrecen ahora a sus usuarios la autenticación MFA. Aunque las primeras veces puede parecer como un paso más redundante en el proceso, la realidad es que cuanto más lo use, más se asienta en la memoria y deja de percibirse como algo extra. Este pequeño paso de añadir un método de verificación adicional puede significar la diferencia entre si los paleontólogos pueden acceder a su laboratorio secreto de insecto o si se les impide seguir avanzando. Obviamente, en Jurassic World: Dominion, que el laboratorio no usara MFA fue algo que jugo a favor de “los buenos”. Pero no le demos la vuelta a la situación y no le hagamos el favor a los “criminales” al no activar el sistema MFA cuando se nos ofrece.

MFA es un paso de seguridad digital básico que hay que seguir

La autenticación multifactor puede sonar complicada, pero igual que ocurre con la banca online, una vez que se integra en su estilo de vida digital, se convierte en una parte más del proceso y puede ser una de las formas más sencillas y básicas de potenciar su seguridad digital. Recuerde — es fácil mantenerse protegido online… solo tiene que saber qué pasos básicos incorporar.

Si decide empezar la tradición de cena y película con su familia (¡se lo recomiendo encarecidamente! Y tengo muchos menús de película que puedo compartir si le interesa) empiece con Jurassic World: Dominion y tenga una charla sobre cómo el uso de MFA puede evitar que otros se hagan pasar por usted. ¿Qué otras películas piensa que deberíamos añadir al programa? ¿Hay alguna otra buena película que enseñe a su familia los temas importantes de la ciberseguridad?

Jennifer Bean
Jennifer is Veeam’s Director of Security Awareness and a member of Veeam’s Global Information Security team. Prior to joining Veeam, Jennifer built internal security awareness and training programs for companies in the financial, insurance, manufacturing and medical manufacturing industries. She focuses on building security-first cultures at each company and educating employees on the human side of cybersecurity.

More about author

Fuente info
Autor: Jennifer Bean

[su_divider]