Contenido principal
Curso: Seguridad en Internet > Unidad 1
Lección 7: Más información sobre la seguridad y tus dispositivosAutenticación multi-factor
El uso de una contraseña es la forma más común de autenticación, pero no es la única ni la más segura. Un atacante solo tiene que aprender una sola pieza de información (como una contraseña) para autenticar.
Una manera más segura de proteger el acceso no deseado a datos privados es la autenticación multifactor, que requiere múltiples piezas de información para autenticar.
Factores de autenticación
La autenticación requiere que presentes evidencia que pruebe tu identidad. Esta evidencia viene en tres formas comunes:
- Evidencia basada en conocimiento (como algo que sabes). Con frecuencia pruebas tu identidad a un sitio web presentando evidencia en la forma de una contraseña. Tu contraseña representa algo que sabes. Otros ejemplos son PINs o frases.
- Evidencia basada en posesión (como algo que tienes). Los cajeros automáticos ATM verifican la identidad de sus usuarios requiriendo que inserten su tarjeta bancaria como prueba. Tu tarjeta bancaria representa algo que tienes. Otros ejemplos incluyen teléfonos, llaves, o dispositivos de fichas de seguridad.
- Evidencia basada en inherencia (es decir, algo que eres, algo inherente a ti). Los teléfonos más nuevos pueden autenticarte escaneando tu huella digital. Tu huella representa algo que tú eres. Otros ejemplos incluyen reconocimiento facial o de voz.
Las diferentes formas de evidencia también se conocen como factores de autenticación. Existen otros factores de autenticación (por ejemplo, el lugar en el que estás), pero los más utilizados son los anteriores.
Los atacantes pueden robar estos factores de autenticación para obtener acceso no autorizado a una cuenta. Dependiendo de la ubicación del atacante, ciertas formas de evidencia son más fáciles de robar que otras. Por ejemplo, puede ser más fácil para un atacante remoto robar contraseñas que tarjetas bancarias, mientras que para uno local le puede resultar más fácil lo contrario.
Autenticación multi-factor
Para defenderse contra ataques locales y remotos, los sistemas de autenticación usan una técnica común de control de acceso conocida como autenticación multi-factor (MFA).
MFA requiere que un usuario presente evidencia de múltiples factores distintos (por ejemplo, algo que conoce y algo que tiene) para obtener acceso a un sistema.
Autenticación de dos factores
La forma más popular de MFA usa dos factores de autenticación. La autenticación de doble factor (2FA) requiere dos pruebas de identidad y esas dos pruebas deben ser de dos factores diferentes.
Un sistema de autenticación que requiere una contraseña y un PIN sólo usa uno de los factores, aunque pida dos piezas de evidencia. Las contraseñas y los PIN entran en el factor de conocimiento, de modo que el sistema de autenticación no cumple los requisitos de autenticación de múltiples factores.
Así que si ese sistema no usa autenticación de dos factores, ¿cómo se ve un sistema 2FA real? Un esquema común primero pide que se introduzca una contraseña (algo que conoces) y luego pide que se escriba un código generado en su teléfono (algo que tienes).
Sigamos paso a paso el flujo de autenticación de dos factores para iniciar sesión en Github, un sitio web para repositorios de código fuente y control de versiones.
Primero, Github me pide que llene un nombre de usuario y contraseña:
Github me pide que introduzca un código de autenticación generado por una aplicación en mi dispositivo:
Abro una aplicación de autenticación en mi teléfono y veo el código generado para mi cuenta de Github:
Si miras de cerca, verás un temporizador que cuenta hacia abajo hasta que el código generado caduca. Al terminar la cuenta regresiva, se generará un nuevo código y se restablecerá el temporizador. Muchos sistemas 2FA añaden una fecha de caducidad a una pieza de evidencia para así evitar que los atacantes la usen por siempre.
Debido a que el código generado expirará en unos minutos, tengo que pegarlo rápidamente en el sitio web de Github en mi computadora portátil:
Y después de eso, ¡ya inicié sesión en mi cuenta de Github!
El paso adicional de usar mi teléfono para generar un código más que duplicó el tiempo y la complejidad de iniciar sesión en Github, pero también hace mucho más difícil que un atacante entre a mi cuenta de Github.
En mayo de 2019, varios usuarios de Github descubrieron que sus repositorios de código habían sido borrados y reemplazados por una nota de rescate. Los usuarios no usaban 2FA y habían expuesto accidentalmente sus contraseñas, lo que facilitó que los atacantes tomaran control de sus cuentas. Por eso Github recomienda fuertemente usar 2FA.
Como cada factor adicional de autenticación agrega otra capa de seguridad para proteger contra ataques, ¿por qué no usar 3FA o aún 4FA? Puede ser inconveniente para los usuarios tener que presentar 3 o más piezas de evidencia para autenticarse, especialmente dado que los sistemas con frecuencia requieren autenticar de nuevo después de un cierto tiempo. Este es un ejemplo de un compromiso común en ciberseguridad: usabilidad vs. seguridad. A medida que aumenta la seguridad de un sistema, su usabilidad puede tener que disminuir.
Recomendaciones
Para proteger nuestras cuentas, es mejor usar autenticación de múltiples factores además de una contraseña fuerte. Según un estudio de investigación de Google, MFA evitó más ataques que la autenticación de un solo factor, y evitó 100% de los ataques de robots automatizados y redujo significativamente otros ataques.
No es posible usar MFA si el sitio web no la provee, pero a medida que más sitios web actualizan sus sistemas para proveerla, ocasionalmente podemos comprobar si ya lo hacen. Si usas un manejador de contraseñas, este puede notificarte cuando una de tus cuentas puede protegerse com MFA.
También debemos asegurarnos que la evidencia para un factor no contiene evidencia para otro factor. Por ejemplo, si almacenas contraseñas en la aplicación de Notas de tu teléfono, y alguien te lo roba y lo desbloquea, tendrá acceso tanto a evidencia basada en posesión como a evidencia basada en conocimiento. 😬
🤔 Cuando un sistema usa múltiples factores de autenticación, almacena más información sobre ti. ¿Es esto un problema de privacidad?
🙋🏽🙋🏻♀️🙋🏿♂️¿TIenes alguna pregunta sobre este tema? ¡Nos encantaría responderte; tan solo pregunta en el área de preguntas más abajo!
¿Quieres unirte a la conversación?
Nota: Autentificación multi-factor, es el uso de diferentes factores para permitir el uso de una cuenta, estos factores se dividen en 3 normalmente; 1. Conocimiento, 2. Algo que tienes y 3. algo que eres. Hoy en día se usa muchos el 2FA, usando solo 2 factores, siendo lo mas recomendado.(2 votos)
