¿Qué es la autenticación?
Métodos de autenticación y buenas prácticas
Desde los albores de la civilización, la humanidad ha buscado formas seguras y cómodas de autenticar las identidades para permitir el acceso sólo a quienes están autorizados y estar un paso por delante de los actores de amenazas. Rasgos faciales, fichas, criptografía, firmas, huellas dactilares y contraseñas eran sólo algunos de los métodos de autenticación utilizados antes de la era digital. Hoy en día, la autenticación se basa en la evolución de estas técnicas.
Por ejemplo, en lugar de confiar en el ojo humano para reconocer los rasgos faciales, confiamos en las herramientasbiométricas de para autenticar a una persona por su iris, retina, huella dactilar, voz u otras características biológicas distintivas. Del mismo modo, en lugar de fichas físicas, los sistemas de seguridad expiden fichas digitales a los usuarios que han demostrado con éxito su identidad.
Sin embargo, las amenazas siguen encontrando formas de eludir la autenticación. En épocas anteriores, los delincuentes falsificaban sellos para eludir la seguridad. Hoy en día,los ciberdelincuentes de roban tokens de autenticación para salt arse la autenticación multifactor, a veces con efectos devastadores. Por ejemplo,los hackers de secuestraron tokens de sesión para hacerse espectacularmente con el control de tres canales de YouTube de Linus Media Group.
Los equipos de ciberseguridad de gigantes tecnológicos como Google, Microsoft y Apple buscan constantemente mejorar sus sistemas de autenticación para proteger tanto a los usuarios como a las organizaciones de ataques de ciberseguridad cada vez más inteligentes y frecuentes.
Sin embargo, muchos usuarios prefieren más comodidad que seguridad, lo que explicaríala lenta adopción de la M FA por parte de los usuarios de Microsoft a pesar de los 25.600 millones de intentos de secuestro de cuentas mediante contraseñas robadas por fuerza bruta en 2021. También podría explicar por qué Microsoft desactivó la autenticación Basic para Exchange Online en favor de la autenticación moderna, que ofrece opciones como MFA, tarjetas inteligentes, autenticación basada en certificados (CBA) y proveedores de identidad de terceros Security Assertion Markup Language (SAML).
Lea nuestra guía detallada:
- Significado de la autenticación.
- Autenticación de dos factores frente a autenticación multifactor.
- Autenticación frente a autorización.
- Métodos de autenticación.
- Autenticación sin contraseña.
Significado de la autenticación
La autenticación es un método de ciberseguridad que ayuda a verificar la identidad de un sistema o un usuario. El método de autenticación más común es a través de nombres de usuario y contraseñas. Otros métodos de autenticación, como la verificación biométrica, son más sofisticados y exhaustivos. Un ejemplo de autenticación sería si intentas acceder a tu correo electrónico, tendrás que introducir tu nombre de usuario y contraseña para entrar en tu buzón.
¿Por qué es importante la autenticación?
La autenticación es fundamental para proteger nuestra seguridad y privacidad. Realizamos muchos tipos diferentes de acciones en línea, desde trabajar y comunicarnos hasta comprar o almacenar datos privados, normalmente a distancia. La autenticación ayuda a preservar la integridad de cualquier espacio digital, como bancos, plataformas de computación en la nube, páginas de redes sociales y otros, mitigando el riesgo de acceso no autorizado. Gracias a la autenticación podemos confiar en sistemas e identidades físicamente invisibles.
Algunas herramientas de autenticación también pueden ralentizar o detener un ciberataque. Por ejemplo, un ciberdelincuente con un nombre de usuario y una contraseña robados puede entrar en una cuenta para robar datos, soltar malware o iniciar un ataqueMan-in-the-Middle (MitM) en . Sin embargo, sus movimientos laterales pueden detenerse en un sistema con protocolos de autenticación más profundos.
La autenticación también es esencial porque aumenta la responsabilidad del usuario. Un usuario autenticado puede ser menos propenso a realizar actividades maliciosas porque sabe que está siendo rastreado. La autenticación puede ayudar a las organizaciones de algunos sectores a cumplir las leyes de seguridad y privacidad al mejorar la seguridad de los datos.
¿Para qué sirve la autenticación?
La autenticación puede utilizarse con varios fines:
- Seguridad de los dispositivos: Todos los tipos de dispositivos con sistemas operativos implementan la autenticación para la seguridad, incluidos ordenadores de sobremesa, portátiles, teléfonos inteligentes, tabletas e incluso una amplia gama de dispositivos de Internet de las Cosas (IoT).
- Seguridad de las cuentas: Múltiples plataformas aprovechan la autenticación para mejorar la seguridad de las cuentas. Por ejemplo, las cuentas de correo electrónico y redes sociales utilizan la autenticación para impedir que usuarios no autorizados accedan a las cuentas. Las plataformas financieras protegen la banca en línea, los pagos digitales y el comercio electrónico del fraude mediante la autenticación.
- Computación en la nube: A medida que más organizaciones cambian a plataformas de computación en nube como Microsoft Azure, la autenticación se utiliza para la seguridad de los activos, los datos y las operaciones. La autenticación también se utiliza para la seguridad de las organizaciones con activos locales, como redes y sistemas que adoptan el trabajo remoto.
- Control de acceso: La autenticación no sólo se utiliza para la seguridad externa, sino también para la interna. Las organizaciones pueden utilizar la autenticación para garantizar que el personal pueda acceder a redes, aplicaciones y datos en función de la necesidad de conocimiento.
Autenticación frente a autorización
Aunque la autenticación y la autorización parecen similares, y los dos términos se utilizan a veces indistintamente de forma incorrecta, son dos conceptos diferentes en ciberseguridad. La explicación larga es que la autorización es el proceso de verificar la identidad mediante credenciales de inicio de sesión, rasgos faciales, voz o un token de autenticación. La autorización es lo que ocurre después de la autenticación. Una vez que el sistema ha autenticado la identidad de un sistema o una persona, permite a la entidad acceder a recursos o realizar acciones en función de sus privilegios.
La explicación resumida de la autenticación frente a la autorización es que la primera determina si se permite el acceso a una entidad, y la segunda determina a qué recursos puede acceder una vez autorizada.
Factores de autenticación más utilizados
Cualquiera que haya utilizado un sistema operativo moderno o trabajado en una plataforma de computación en nube sabe que existen muchos tipos diferentes de métodos y herramientas de autenticación, como PIN (números de identificación personal), huellas dactilares, tokens y direcciones IP. Estos métodos o herramientas se dividen en diferentes categorías denominadas factores de autenticación.
Factores de conocimiento
Se considera factor de conocimiento todo aquello que un usuario conoce, como una contraseña o la respuesta a una pregunta de seguridad. Los factores de conocimiento suelen ser rápidos pero vulnerables a la piratería informática. Por ejemplo, las contraseñas pueden ser robadas. Las contraseñas débiles son susceptibles de ataques de fuerza bruta comolos ataques de diccionario .
Le recomendamos encarecidamente que aprenda a crear una contraseña segura para proteger sus cuentas. También puedes considerar el uso de ungestor de contraseñas top para gestionar tu lista de credenciales de acceso complejas.
Factores de posesión
Un factor de posesión puede ser más seguro que un factor de conocimiento porque requiere que un usuario esté en posesión de un determinado elemento, como un token o un smartphone, para demostrar su identidad. Por ejemplo, un sistema puede enviar una contraseña de un solo uso al dispositivo inteligente de un usuario cuando éste intenta acceder. Sin embargo, los factores de posesión tampoco son perfectos, ya que las posesiones pueden ser secuestradas o robadas.
Factores hereditarios
Uno de los factores de autenticación más seguros es el factor hereditario, ya que se basa en las características físicas únicas del usuario, como la huella dactilar o el iris.
El mayor inconveniente de basarse en factores hereditarios es que el hardware del sistema debe ser capaz de absorber y procesar los datos biométricos, aunque la mayoría de los dispositivos modernos cuentan con estas características.
Un factor de herencia también puede resultar demasiado eficaz en raras circunstancias. Por ejemplo, ha habido muchos casos en los que los familiares no han podido acceder a la criptomoneda de su hijo fallecido porque su dispositivo está protegido por un factor de herencia.
Factores de localización
Una organización, como un servicio de streaming, puede utilizar un factor de localización como el geobloqueo para restringir el acceso a usuarios de ubicaciones específicas. Por ejemplo, un servicio de streaming como Netflix USA puede bloquear la visualización de algunos contenidos a los usuarios de Canadá. Sin embargo, los factores de localización suelen tener soluciones. Por ejemplo, alguien en Canadá podría teóricamente utilizar unaVPN privada de para enmascarar su ubicación y acceder a Netflix USA.
Factores de comportamiento
Un factor de autenticación basado en el comportamiento requiere que un usuario realice determinadas acciones para demostrar su identidad. Por ejemplo, se le puede pedir que dibuje ciertos patrones o resuelva un rompecabezas reudementario para demostrar que es humano y no un bot. El reCAPTCHA de Google utiliza un motor de análisis de riesgos y rastrea los movimientos del ratón para comprobar el comportamiento humano.
Tipos de autenticación
Autenticación mediante contraseña
La forma más común de autenticación, la autenticación basada en contraseña, es el proceso de verificar la identidad de un usuario haciéndole proporcionar una contraseña que coincida completamente con la almacenada. El sistema rechazará una contraseña que no coincida con la almacenada aunque sea por un solo carácter.
Como ya se ha dicho, los piratas informáticos pueden adivinar contraseñas débiles muy rápidamente utilizando las herramientas más modernas. Por eso, los usuarios deben establecer contraseñas de al menos 10 caracteres y complejas, y cambiarlas periódicamente.
Autenticación multifactor (AMF)
La AMF nació por necesidad. Hasta la contraseña más sofisticada puede ser robada. Conla autenticación multifactor , los usuarios no autorizados pueden tener que autenticar su identidad de otra forma si activan el sistema de seguridad del sistema. Por ejemplo, si un sistema identifica un nuevo dispositivo o dirección IP durante un intento de inicio de sesión, puede pedir un PIN o un token, aunque el usuario presente las credenciales de inicio de sesión correctas.
Autenticación de dos factores (2FA)
Mucha gente se pregunta cuál es la diferencia entre 2FA y MFA. La respuesta es que 2FA es esencialmente un subconjunto de MFA. Como ya se ha dicho, la MFA requiere dos o más factores de autenticación. La 2FA sólo pide dos, normalmente una contraseña y un código enviado a una cuenta de correo electrónico o a un dispositivo móvil. Para saber más, puedes leer en los fundamentos de la autenticación de dos factores.
Mientras que los usuarios de las páginas de redes sociales utilizan el 2FA para proteger sus cuentas, algunas plataformas están, por desgracia, monetizando la seguridad de las cuentas. Por ejemplo, es posible que hayas leído sobre Twitter y la autenticación de dos factores, donde la plataforma está sacudiendo drásticamente la configuración de seguridad. Desde el 19 de marzo, los usuarios no pueden utilizar la 2FA basada en SMS sin pagar una suscripción.
Sin embargo, los usuarios tienen otras opciones (por ahora). Por ejemplo, pueden configurar la autenticación de dos factores en Twitter utilizando una llave de hardware para una seguridad avanzada. Una llave hardware es una herramienta de seguridad mejor que un SMS, que está abierto a un ataque de swim-swapping.
Autenticación de factor único (SFA)
Como su nombre indica, el SFA sólo requiere que los usuarios ofrezcan un elemento de autenticación. Normalmente, una contraseña es el tipo más común de SFA. Aunque la SFA puede ser más cómoda que la MFA, puede ser bastante menos segura, sobre todo si el tipo de autenticación es débil. La SFA también es vulnerable a ataques de ingeniería social como el phishing.
Autenticación basada en certificados
Con este tipo de autenticación, un sistema utiliza un certificado digital. La autenticación basada en certificados es más segura que las contraseñas porque los certificados son sofisticados, utilizan claves y son revocables por la autoridad emisora. Las organizaciones de alto perfil, como los gobiernos, utilizan esta técnica criptográfica para mejorar la seguridad.
Autenticación biométrica
Como ya se ha dicho, la autenticación biométrica se basa en características físicas únicas como las huellas dactilares, la voz y el iris para proteger los sistemas. La autenticación biométrica es la forma de autenticación más segura y cómoda.
Autenticación basada en token
Las aplicaciones web, las API y otros sistemas suelen utilizar tokens para autenticar a los usuarios. En pocas palabras, un token es un identificador único que se emite a un usuario autorizado. Aunque el uso de tokens está creciendo debido al aumento de los entornos de trabajo híbridos, también está aumentando el robo de tokens.
Basic autenticación
Un sistema de autenticación básica sólo pide un nombre de usuario y una contraseña para autenticar a un usuario. Los sistemas que utilizan métodos básicos son más susceptibles a los hackers. Hoy en día, solo los recursos de pruebas internos o los sistemas públicos como las WiFi públicas utilizan la autenticación básica. Basic authentication es principalmente la razón por la que los usuarios deben tener más cuidado cuando utilizan WiFi públicas.
Autenticación sin contraseña
A medida que los usuarios y las organizaciones exigen más comodidad con seguridad, las opciones de autenticación sin contraseña, como la biometría, las claves de seguridad, los tokens y los códigos de un solo uso, ganan popularidad en los entornos empresariales y en las plataformas utilizadas por los consumidores.
Además de una mayor comodidad, la autenticación sin contraseña puede proporcionar más seguridad, ya que muchos usuarios siguen utilizando contraseñas débiles o son víctimas de ataques de phishing que atacan las credenciales.
Autenticación basada en el conocimiento (KBA)
KBA es un tipo de autenticación que pone a prueba los conocimientos de una persona sobre la información que ha guardado para autenticar su identidad. Algunos ejemplos de KBA son responder a preguntas sobre la calle en la que creció, su color favorito o el apellido de soltera de su madre.
Hay varias razones por las que KBA es un método de autenticación débil. Con más datos de usuarios disponibles públicamente en tablones de anuncios y plataformas de redes sociales como LinkedIn y Facebook, es más fácil para un agente de amenazas obtener los datos necesarios para eludir KBA. Además, es menos probable que los usuarios establezcan respuestas complejas a preguntas secretas que contraseñas complejas.
Autenticación mutua
La autenticación mutua, también conocida como autenticación bidireccional, es un tipo de autenticación en el que ambas partes de una conexión se verifican mutuamente, normalmente con certificados digitales. Aunque la autenticación mutua es la más utilizada por protocolos de comunicación como Transport Layer Security (TLS) y Secure Sockets Layer (SSL), muchos dispositivos de la Internet de las Cosas (IoT) también utilizan esta técnica en las conexiones entre dispositivos.
Autenticación por SMS
La autenticación SMS utiliza mensajes de texto como componente de la AMF. La autenticación SMS funciona mejor cuando los métodos de autenticación no están adulterados. Por ejemplo, un operador de telefonía móvil tuvo la brillante idea de mezclarla autenticación por SMS con un anuncio, lo que podría permitir a los actores de amenazas diseñar ataques más convincentes smishing .
Autenticación de red o servidor
La autenticación en red se refiere a la identificación de los usuarios que intentan acceder a una red o a un servidor. Este tipo de autenticación se utiliza en protocolos de comunicación, VPN, cortafuegos y sistemas que controlan el acceso a las aplicaciones.
Autenticación con clave secreta
En un sistema que utiliza autenticación de clave secreta, el usuario y el sistema comparten una clave de sesión criptográfica que sólo conocen las dos partes. Estas claves son simétricas. Es decir, sirven para cifrar y descifrar. Los protocolos de comunicación como Secure Sockets Layer (SSL) utilizan la autorización de clave secreta para garantizar la seguridad de la transferencia de datos, como entre un navegador web y un sitio web.
Llave de seguridad física
Una clave de seguridad física es una pieza de hardware que ayuda a un usuario a probar su identidad y es un ejemplo de factor de posesión. Una clave de seguridad física suele generar un código único que se comparte con un sistema para la autenticación. Hace más de una década, las claves de seguridad físicas sólo eran utilizadas por organizaciones de alto nivel, como bancos y agencias de inteligencia.
Sin embargo, hoy en día muchos tipos de plataformas, como las de juegos, comercio electrónico y redes sociales, permiten a los usuarios proteger sus cuentas con claves de seguridad físicas. Por ejemplo, los usuarios de pueden activar la autenticación con llave de hardware de Facebook para iOS y Android para obtener una capa adicional de seguridad de factor de posesión en torno a sus cuentas.
Mejores prácticas de autenticación
- Ten cuidado con el malware diseñado para robar credenciales o datos confidenciales, como algunos tipos de troyanos, spyware y keyloggers. Infórmate tambiénen sobre cómo eliminar un keylogger, ya que puede recopilar pulsaciones de teclas, capturas de pantalla y otra información para engañar a un sistema de autenticación.
- Establezca contraseñas que tengan al menos diez caracteres y una mezcla de números, símbolos y letras.
- Evite utilizar patrones conocidos en las contraseñas, como la fecha de nacimiento o el nombre de un famoso favorito.
- Nunca guardes tus credenciales de acceso a la vista, como un trozo de papel en tu escritorio. Cifra las contraseñas en los dispositivos.
- Eche una mano a su contraseña utilizando métodos MFA como la identificación biométrica o una clave de seguridad.
- Desconfíe de los ataques de ingeniería social diseñados para robar sus credenciales.
- Evite reutilizar su contraseña; de lo contrario, una contraseña robada puede dar lugar a la violación de varias cuentas.
- Cambie su contraseña con regularidad. Prueba a utilizar un gestor de contraseñas de confianza para mayor comodidad.
- Anime al administrador de red de su organización a limitar la duración de las sesiones para evitar el secuestro de sesiones.
- Los administradores deben supervisar los registros de autenticación y los datos de red para reaccionar rápidamente ante actividades sospechosas, como múltiples intentos de acceso desde direcciones IP sospechosas.
- Las organizaciones deberían considerar la adopción de una arquitectura de confianza cero para una mayor seguridad.