fbpx

Autenticación, dos pasos para la seguridad

¿Cómo saber que soy quien digo ser?

 

Ya todo está conectado a la red, por ello identificar al usuario y verificar que efectivamente es la persona que dice ser cobra especial importancia, no solo a título personal, también a nivel corporativo. De ahí que la autenticación tenga que evolucionar para ofrecer un mayor nivel de seguridad.

 

Entre las medidas de seguridad implementadas por diferentes compañías en los últimos años, están las técnicas de autenticación en dos pasos de los usuarios en el acceso a los servicios online u autorización de otras acciones dentro de los mismos.

 

La autenticación en dos pasos proporciona al usuario un elemento adicional para demostrar que efectivamente es él el que trata de realizar una determinada acción en lugar de un atacante. De esta forma, el usuario, además de la contraseña, deberá demostrar, utilizando un segundo paso de autenticación, que realmente es él.

 

El SMS es el método de autenticación en dos pasos más utilizado; consiste en el envío de un código alfanumérico de un solo uso a través de un mensaje de texto que el usuario debe introducir en el sistema durante el inicio de sesión. Sin embargo, a pesar de que es el más utilizado, no es el más seguro, ni sencillo, ni económico. La seguridad se afecta porque en un dispositivo infectado, la un malware tendrá acceso a los SMS recibidos y podrá reenviarlos al servidor de control del atacante; el malware en dispositivos móviles tiene registros elevados. Respecto a la facilidad, a muchos usuarios le parece tedioso introducir un código al mismo tiempo que miran el mensaje. En cuanto al costo, cada SMS tiene un costo para quien lo envía.

 

Otro método son las aplicaciones que usan los estándares abiertos desarrollados por The Initiative for Open Authentication (OATH) con el algoritmo Time-based One-time Password (TOTP), es decir, OATH TOTP, que tienen un funcionamiento muy similar a la técnica anterior, pero en este caso el usuario utilizará una aplicación como Google Authenticator (LastPass Authenticator o Latch) para generar un código temporal de autenticación. Los sistemas basados en estas aplicaciones pueden utilizar distintos métodos de autenticación para generar la clave final que se presentará al usuario, por ejemplo, la basada en eventos, en tiempo o en challenge-response. La implementación de este método tiene dos ventajas: costo de implementación y nivel de seguridad; el costo es más bajo que el de SMS y la seguridad más robusta y confiable.

 

La autenticación basada en factores biométricos se suma a las anteriores y, aunque se menciona en el tercer lugar, tiene el primero en las preferencias de los usuarios por ser cómoda y segura. Existen diferentes tipos de autenticaciones biométricas, entre las más utilizadas están el reconocimiento facial y dactilar, aunque también hay soluciones que utilizan el iris o fisionomía.

 

Dado que esta forma de autenticación podría tener riesgos ya que un atacante podría utilizar trucos sencillos para autorizar la autenticación, como una foto de la víctima en el caso de un sistema de reconocimiento facial, existe la posibilidad de proporcionar seguridad al usuario a través del análisis del comportamiento biométrico capaz de identificar a un usuario de forma silenciosa (sin impactar en su experiencia de usuario) analizando la forma en que teclea, mueve el ratón, sostiene su teléfono móvil, sus movimientos dentro de una aplicación o la Web, presión, latencia y velocidad de respuesta, entre otras posibilidades.

 

En los últimos años las grandes empresas de servicios online han apostado por la autenticación biométrica, aprovechando sobre todo los lectores de biometría física incorporados a los smartphones; no obstante, dichos métodos empiezan a convivir con nuevas técnicas como las del análisis del comportamiento biométrico, es decir, del patrón del comportamiento de una persona, tal como ritmo de la escritura, forma y velocidad de caminar, gestos y voz, debido a que, según el Biometrics Institute, ciertos identificadores biométricos, como el control de pulsaciones de teclas o la marcha en tiempo real, se pueden utilizar para proporcionar autenticación continua en lugar de una sola comprobación de autenticación única.

 

En México, la Comisión Nacional Bancaria y de Valores considera a la biometría como una medida de seguridad y espera que los intermediarios financieros, sobre todo los bancarios que son los que le competen al cien por ciento, puedan disponer de esta tecnología para validar la identidad de sus clientes a finales en noviembre de este año. Las Sofomes estamos consciente de la importancia de la seguridad tecnológica y nos sumamos a las mejores prácticas.

Abrir chat