Fortalecer la seguridad: el rol de FIDO en una estrategia de MFA

Como director de seguridad informática de Veritas, tengo asientos en primera fila para observar la creciente ola de delitos cibernéticos. En especial, la proliferación inquietante del robo de credenciales. Quiero compartirles el motivo por el que la autenticación multifactor (MFA) con FIDO, o identidad rápida en línea (por sus siglas en inglés, Fast Identity Online), es una de las mejores formas de fortalecer la autenticación.

Aumento de ataques contra la autenticación multifactor

El robo de credenciales no es algo nuevo, pero ha aumentado notablemente en los últimos meses. Los delincuentes cibernéticos de hoy en día no solo roban credenciales, sino que también aplican métodos sofisticados para eludir los mecanismos de MFA. Esto ha causado un incremento alarmante de accesos no autorizados y secuestro de sesiones.

Muchos de mis colegas han expresado preocupaciones similares y señalan que se han disparado los intentos de eludir la MFA y las campañas de captura de credenciales. CrowdStrike, empresa líder en ciberseguridad, respalda estas observaciones al destacar cuatro tendencias clave:

• Un cambio del uso de malware a la manipulación de credenciales legítimas
• Un rápida explotación de vulnerabilidades reveladas públicamente por parte de adversarios
• Un aumento de ataques de ingeniería social dirigidos específicamente a superar las defensas de la MFA
• Una evasión de la MFA debido al cansancio con la MFA y las notificaciones

El papel crucial de la MFA: mejorar la seguridad con FIDO

Generalmente, la MFA asegura un entorno al exigir un segundo método de verificación de identidad. Este método puede ser un objeto físico, como una llave o una tarjeta inteligente, o una verificación biométrica, como una huella digital, un escaneo de retina o un reconocimiento de voz. 

En la última conferencia RSA, Kevin Mandia, director general de ciberseguridad de la empresa Mandiant, encontró las palabras perfectas para describirla. «La mejor inversión que puedes hacer para protegerte contra el ransomware, o cualquier otro ataque de gravedad, es la autenticación multifactor. Punto.»

Pero recurrir solamente a la MFA ya no es suficiente. El tipo de MFA que se utilice es importante, ya que no todos los tipos ofrecen la misma protección. Los delincuentes cibernéticos siguen hallando formas novedosas e innovadoras de eludir la MFA. 

Los sitios web de delitos cibernéticos han comenzado a vender kits de phishing contra la MFA, muchos por un precio «menor al de una taza de café», según Matt Cooke, director de estrategia de ciberseguridad de EMEA en Proofpoint. «Los atacantes se aprovechan de que los empleados están cansados de recibir notificaciones y los bombardean con solicitudes de autorización hasta atraparlos.» También utilizan ataques por proxy, secuestro de sesiones, ingeniería social y cambio de SIM. 

Beneficios de FIDO

Es posible fortalecer la seguridad, reducir la dependencia de contraseñas y ofrecer una experiencia de autenticación más fácil de usar al incorporar FIDO a una estrategia de MFA. Al ser compatible con el uso de datos biométricos, tokens de hardware y dispositivos móviles, además de ofrecer interoperabilidad y autenticación continua, FIDO es un marco sólido para implementar soluciones seguras de MFA. En específico:

• Seguridad sólida: FIDO brinda una seguridad potente gracias al cifrado de claves públicas. Almacena las claves públicas de forma segura en los dispositivos de usuarios y completa la autenticación a nivel local, lo que reduce el riesgo de fugas de contraseñas y ataques en servidores. Al eliminar la dependencia de contraseñas e introducir la autenticación de cifrado, FIDO mejora la seguridad global de la estrategia de MFA.

• Autenticación sin contraseñas: FIDO apunta a eliminar contraseñas, que suelen ser vulnerables a los ataques. La autenticación sin contraseñas mejora la seguridad ya que elimina cuestiones como contraseñas débiles o repetidas o los ataques de phishing. En su lugar, FIDO utiliza factores más sólidos, como los datos biométricos y los tokens de hardware, para reducir las probabilidades de que se concreten ataques con credenciales.
• Conveniencia para el usuario: FIDO ofrece una experiencia de autenticación conveniente y fácil de usar. Los usuarios pueden recurrir a datos biométricos o dispositivos físicos que ya tienen, como teléfonos inteligentes o tokens de hardware, para la autenticación. Esto elimina la necesidad de recordar e ingresar contraseñas complejas, logrando un proceso de autenticación optimizado y fluido.
• Interoperabilidad: Los estándares FIDO promueven la interoperabilidad entre plataformas, dispositivos y servicios. Esto significa que es posible usar métodos de autenticación con FIDO en diversos servicios en línea para asegurar que la experiencia del usuario sea consistente. Con esta interoperabilidad, los usuarios pueden completar la autenticación en distintas aplicaciones utilizando un único dispositivo o método, en lugar de requerir múltiples mecanismos de autenticación.
• Resistencia contra el phishing: El modelo de autenticación local de FIDO ayuda a combatir los ataques de phishing. Ya que la autenticación con FIDO se realiza a nivel local en el dispositivo del usuario, es resistente a los intentos de engañar a los usuarios para que ingresen sus credenciales en sitios web o aplicaciones maliciosas. FIDO garantiza la verificación de la autenticación en el dispositivo de confianza del usuario, lo que reduce el riesgo de éxito de los ataques de phishing.
• Escalabilidad y adaptabilidad: FIDO está diseñado para ser escalable y adaptable a la evolución de las necesidades de autenticación. Es compatible con un amplio rango de métodos de autenticación y puede amoldarse a futuros avances en las tecnologías con datos biométricos y de seguridad. Al implementar FIDO, es posible adaptar sus estrategias de MFA de vistas al futuro y asegurar la compatibilidad con los estándares de autenticación emergentes.