La autenticación multifactor comprueba múltiples aspectos de la identidad de una persona antes de darle acceso a una aplicación o base de datos, en lugar de comprobar solo uno de ellos. Es mucho más segura que la autenticación de factor único.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
La autenticación multifactor, o MFA, es una forma de verificar la identidad del usuario que es más segura que la clásica combinación de nombre de usuario y contraseña. La MFA suele incorporar una contraseña, pero también incorpora uno o dos factores de autenticación adicionales. La autenticación de dos factores (2FA) es un tipo de MFA.
La AMF es una parte importante de identity and access management (IAM), y con frecuencia se implementa dentro de las soluciones de inicio de sesión único (SSO).
Antes de conceder a un usuario el acceso a una aplicación informática o a una red, los sistemas de verificación de la identidad evalúan al usuario en función de sus características específicas, para asegurarse de que sea quien dice ser. Estas características también se conocen como "factores de autenticación".
Los tres factores de autenticación más utilizados son:
MFA hace referencia a cualquier uso de dos o más factores de autenticación. Si solo se utilizan dos factores de autenticación, la AMF también se conoce como autenticación de tres factores o verificación en dos pasos. La autenticación de tres factores es otra forma de AMF.
La autenticación de factor único es el uso de uno solo de los factores anteriores para identificar a una persona. Pedir una combinación de nombre de usuario y contraseña es el ejemplo más común de autenticación de factor único.
El problema que tiene la autenticación de factor único es que un atacante solo tiene que atacar al usuario de una manera para hacerse pasar por él. Si alguien roba la contraseña del usuario, su cuenta está en peligro. En cambio, si el usuario implementa la AMF, un atacante necesita algo más que una contraseña para acceder a la cuenta; por ejemplo, es probable que también tenga que robar un objeto físico del usuario, lo cual es mucho más difícil.
Este problema también se aplica a otras formas de autenticación de factor único. Imaginemos que los bancos solo exigieran el uso de una tarjeta de débito para retirar dinero (el factor de posesión), en lugar de exigir una tarjeta más un PIN. Lo único que tendría que hacer un ladrón para robar dinero de la cuenta de alguien es robar su tarjeta de débito.
Es importante tener en cuenta que lo que hace que la AMF sea segura es el uso de factores diferentes, no el uso múltiple del mismo factor.
Supongamos que una aplicación pide al usuario que introduzca solo una contraseña, mientras que otra aplicación pide al usuario que introduzca tanto una contraseña como la respuesta a una pregunta de seguridad. ¿Qué aplicación es más segura?
Técnicamente, la respuesta es ninguna: ambas aplicaciones se basan en solo un factor de autenticación, el factor de conocimiento. Una aplicación que requiere una contraseña, y un token físico o un escaneado de huellas dactilares, es más segura que una aplicación que solo pida una contraseña y algunas preguntas de seguridad.
Esta es una pregunta muy contextual. En general, cualquier forma de autenticación multifactor será mucho más segura que la autenticación de un factor único.
Dicho esto, se ha demostrado que ciertas formas de MFA son vulnerables a métodos de ataque sofisticados. En un ejemplo del mundo real, los atacantes enviaron a los empleados mensajes SMS de phishing que apuntaban a páginas de inicio de sesión falsas para el servicio de inicio de sesión único de la organización. Si un usuario introducía su nombre de usuario y contraseña en esta página falsa, los siguientes pasos se llevaban a cabo:
En cambio, otra forma de verificar la posesión —un token de seguridad USB— no sería susceptible de este ataque en particular. Si todos los usuarios reciben tokens de seguridad únicos para conectar a sus ordenadores y deben activar físicamente esos tokens para autenticarse, los atacantes que tienen posesión del nombre de usuario y la contraseña de alguien no podrían acceder a las cuentas a menos que robaran el ordenador de esa persona. Lo mismo podría decirse de la verificación de la identidad mediante cualidades inherentes; por ejemplo, la huella dactilar o el escáner facial de un usuario.
¿Significa esto que los tokens de seguridad y los escáneres de huellas digitales son más seguros que las contraseñas de un solo uso? En un contexto de phishing, sí. Sin embargo, las organizaciones deben evaluar sus riesgos y necesidades de seguridad específicos antes de seleccionar un método de MFA. Y, de nuevo, cualquier forma de MFA es más segura que la autenticación de factor único y representaría un importante avance en el recorrido de seguridad de una organización.
Además de los tres principales enumerados anteriormente, algunos miembros del sector de la seguridad han propuesto o implementado factores de autenticación adicionales. Aunque rara vez se implementan, estos factores de autenticación incluyen lo siguiente:
Ubicación: Dónde se encuentra un usuario en el momento de iniciar sesión. Por ejemplo, si una empresa tiene su sede en EE.UU. y todos sus empleados trabajan en ese país, podría determinar la ubicación GPS del empleado y rechazar un inicio de sesión desde otro país.
Hora: Cuando un usuario inicia sesión, normalmente en contexto con sus otros inicios de sesión y con su ubicación. Si parece que un usuario inicia sesión desde un país, y luego, pocos minutos después, intenta iniciar sesión desde otro país, es probable que esas solicitudes no sean legítimas. Un sistema también puede rechazar los intentos de inicio de sesión fuera del horario laboral habitual, aunque esto es más una política de seguridad que un factor de autenticación de la identidad.
Si ambos se consideran factores de identidad adicionales, lo cual es discutible, entonces la autenticación de cuatro factores y la de cinco factores son técnicamente posibles. Ambas estás incluidas en la autenticación multifactor.
En la implementación de medidas de seguridad tan estrictas debe tenerse en cuenta lo que puede suponer para el usuario, ya que unas medidas de seguridad demasiado estrictas incentivan a los usuarios a eludir la política oficial.
Hoy en día, muchos servicios web para consumidores ofrecen MFA. La mayoría de las aplicaciones que tienen MFA ofrecen una forma de 2FA (autenticación de dos factores) que requiere que el usuario utilice su teléfono inteligente al iniciar sesión. Explora la configuración de seguridad de cada aplicación para ver si es posible activar la 2FA. Además, Cloudflare permite que todos los usuarios de Cloudflare puedan implementar 2FA en sus cuentas.
Se recomiendo usar una solución SSO para implementar la MFA. SSO proporciona un único lugar para implementar la MFA en todas las aplicaciones, mientras que no todas las aplicaciones individuales serán compatibles con la MFA.
Cloudflare Zero Trust se integra con proveedores de SSO compatibles con 2FA. Cloudflare ayuda a proteger los sitios web de las empresas y las aplicaciones de la nube al controlar qué pueden hacer los usuarios y reforzar las políticas de seguridad para empleados, trabajen de forma remota o dentro de entornos de oficina controlados.