ICM / seguridad / Qué es la autenticación multifactor (MFA)

Qué es la autenticación multifactor (MFA)

30 diciembre 2020 | Pablo Gómez

La autenticación multifactor (MFA) es un proceso de seguridad que requiere que los usuarios respondan a una solicitud para verificar sus identidades antes de poder acceder a los servicios de red u otras aplicaciones. MFA puede usar una clave de acceso (a veces llamado token), la posesión de objetos físicos o ubicaciones geográficas o de red para confirmar la identidad.

Necesidad de la autenticación multifactor

A medida que las organizaciones digitalizan su funcionamiento y adquieren una mayor responsabilidad por almacenar los datos de los clientes y los suyos propios, los riesgos y la necesidad de seguridad también aumentan. Dado que los atacantes han explotado durante mucho tiempo los datos de inicio de sesión de usuario para obtener entrada a cualquier sistema, la comprobación de la identidad del usuario ha adquirido una importancia vital para las empresas.

La autenticación basada en nombres de usuario y contraseñas por sí sola es muy básica, y los usuarios pueden tener problemas para almacenarlos, recordarlos y administrarlos en distintas cuentas. Incluso muchos reutilizan contraseñas en todos los servicios y crean contraseñas que carecen de complejidad. Las contraseñas también carecen de una seguridad completa debido a la facilidad de apropiación a través de la piratería, el phishing y el malware.

El ejemplo más común de autenticación multifactor es el proceso de utilización de un cajero automático en un banco. Para obtener acceso a sus cuentas, los usuarios deben insertar una tarjeta bancaria (un elemento físico) e introducir un PIN (clave de acceso o token).

Funcionamiento de la autenticación multifactor

MFA requiere medios de verificación que los usuarios no autorizados no tendrán. Dado que las contraseñas son insuficientes para verificar la identidad, MFA requiere de varias pruebas para verificar la identidad. La variante más común de MFA es la autenticación de dos factores (2FA).

La autenticación multifactor puede utilizar dos categorías diferentes. El uso de dos autenticaciones de la misma categoría no cumple el objetivo de MFA. A pesar del amplio uso de la combinación de contraseña y pregunta de seguridad, ambos procedimientos de autenticación pertenecen a la categoría de «conocimiento» (o token o clave de acceso), y por tanto no cumplen como MFA. En cambio, una contraseña y un código de acceso temporal cumpliría como MFA porque el código de acceso es un elemento de posesión, que verifica la propiedad de una cuenta de correo electrónico específica o un dispositivo móvil.

autenticación multifactor

Complejidad del uso de la autenticación multifactor

La autenticación multifactor introduce uno o dos pasos adicionales durante el proceso de inicio de sesión, pero no es complicado. Las empresas desarrolladoras de procedimientos de seguridad están creando soluciones para agilizar el proceso de MFA, y la tecnología de autenticación se está volviendo más intuitiva a medida que evoluciona.

Factores biométricos como huellas dactilares y escaneos faciales ofrecen inicios de sesión rápidos y fiables. Las nuevas tecnologías que aprovechan las funciones de los dispositivos móviles, como GPS, cámaras y micrófonos, mejorarán aún más el proceso de verificación de identidad. Métodos simples como notificaciones push sólo requieren un solo toque para el teléfono inteligente o reloj inteligente para verificar la identidad de un usuario.

Diferencia entre MFA e inicio de sesión único (SSO, Single Sign-On)

MFA es una mejora de la seguridad, mientras que SSO es un sistema para mejorar la productividad al permitir a los usuarios utilizar un conjunto de credenciales de inicio de sesión para acceder a varios sistemas y aplicaciones que anteriormente pueden haber requerido sus propios inicios de sesión.

Quede claro que SSO funciona junto con MFA, no lo reemplaza. Las empresas pueden requerir SSO para que los nombres de correo electrónico corporativos se utilicen para iniciar sesión, además de la autenticación multifactor. Asimismo, SSO autentica a los usuarios con MFA y, a continuación, mediante tokens de software, comparte la autenticación con varias aplicaciones.

Las grandes compañías de Cloud también tienen estos sistemas MFA como añadido de seguridad. Por ejemplo, en Azure, existe el «Azure Multi-Factor Authentication» que ayuda a proteger el acceso a los datos y aplicaciones, manteniendo simplicidad para los usuarios. Proporciona más seguridad, ya que requiere una segunda forma de autenticación ofreciendo seguridad a través de diferentes métodos de autenticación. Además, no es necesario que sus aplicaciones o servicios realicen ningún cambio para usar Azure Multi-Factor Authentication. Los mensajes de comprobación forman parte del proceso de inicio de sesión de Azure AD, que solicita y procesa automáticamente el MFA cuando se precisa.

autenticación multifactor

Cómo aplicar MFA en el mundo real

Una vez aclarado qué es y cómo funciona el MFA, vamos a ver cómo se aplica en el mundo real.

En principio, se puede aplicar directamente una MFA cuando accedemos a un servicio en Internet. Azure u otras corporaciones con servicios en un CPD o la nube, requieren de MFA cuando se accede a esos servicios. Digamos que la MFA es aplicable directamente para llegar al servicio final y se puede instalar en el propio AD, o con un Radius.

Ahora bien, en muchas ocasiones es necesario primero levantar una VPN remota para llegar a esos servicios. En estos casos, se puede integrar la MFA en la VPN o bien en los servicios finales, o bien en los dos. Aquí ya hay que valorar la complejidad y la productividad de las conexiones. Si necesitamos 10 minutos para establecer una conexión y empezar a trabajar, e implica una bajada de productividad, al largo de un mes, puede impactar bastante.

Si se implanta en las VPN’s, aquí hay muchas formas de realizarla. Los Firewalls disponen de MFA con Tokens tanto físicos como por software, aunque esto suele ser licenciado y, por tanto, conlleva un coste adicional. También se puede implementar una MFA por mensajes SMS, aunque no es el mejor método de MFA ya que puede ser vulnerable a ataques. El email vendría a ser el otro método también muy versátil y práctico para la mayoría de usuarios.

Y por último, debemos pensar en la posibilidad de utilizar aplicaciones de autenticación, como por ejemplo Google Authenticator, donde con un solo «click» en el móvil, validamos un inicio de sesión.

Conclusión

Lo que está claro es que cada vez más, se van a implementar este tipo de soluciones porque los atacantes, cada vez más nos acechan para conseguir accesos a los servicios de red. Y, por tanto, nuestra misión es protegernos lo máximo posible para obtener estos accesos.