top of page

La Autenticación es el Presente y el Futuro de la Seguridad

Jose Vargas

Cyxtera Technologies, la compañía de la infraestructura segura, da a conocer tres tendencias de la seguridad hoy en día. Más de la mitad de los adultos de la actualidad fueron introducidos al mundo de los teléfonos inteligentes y el internet a muy temprana edad, y ahora, casi todas las facetas de su vida son influenciadas por esta tecnología. Con el advenimiento del teléfono inteligente, o smartphone, el cual se encuentra hoy en día prácticamente en todos los bolsillos, las ventas retail y la banca online están viviendo una transformación fundamental.

Las grandes y tradicionales cadenas de retail se están desvaneciendo rápidamente en el olvido (The Limited, Toys R Us, Circuit City, entre otras), e incluso el concepto del Centro Comercial se encuentra en vía de extinción. Los expertos consideran que la inteligencia artificial jugará un papel decisivo en el futuro del retail ya que muy pronto no habrá razón para visitar una tienda física y realizar una compra.

La primera línea de defensa en la mayoría de las instituciones financieras y compañías de comercio electrónico es la ya bien conocida combinación de nombre de usuario y contraseña. Sin embargo, la contraseña nunca fue concebida para ser la columna vertebral de una robusta estrategia de seguridad; esta fue creada como un mecanismo disuasivo para evitar el acceso no autorizado a datos sensitivos. Muchos años atrás, los cibercriminales descubrieron varias formas para descifrar y burlar contraseñas, e incluso para engañar a los usuarios y hacer que ellos mismos las revelen. Esta última práctica se conoce como ingeniería social, y en este momento es el método preferido de los hackers para obtener credenciales de usuarios.

No obstante, aquí no terminan los inconvenientes con las contraseñas. Irónicamente, otro de los problemas que afectan este mecanismo es su propio éxito. Al popularizarse el uso de las contraseñas como el principal método para proteger cuentas y servicios online, el usuario promedio no tiene más remedio que memorizar alrededor de 92 contraseñas diferentes. El resultado inevitable es un fenómeno conocido como reciclaje de contraseñas, en el cual los usuarios reutilizan contraseñas a través de múltiples sitios web y plataformas. Esto significa que, si un atacante consigue una contraseña para un sitio web en particular, muy posiblemente esté obteniendo también la forma de acceder a las cuentas bancarias de la víctima.

Para ser justos, se han propuesto diversos esfuerzos para mejorar la contraseña tradicional y por ende proteger al público contra esquemas de ingeniería social y otros ataques. Por ejemplo, antes algunas instituciones distribuían tokens físicos entre sus usuarios los cuales generaban números aleatorios para verificar transacciones. Estas “llaves” eran frecuentemente comprometidas en ataques masivos de phishing donde los cibercriminales obtenían las contraseñas de los usuarios e interceptaban los números generados por los dispositivos. Además, los tokens generaban costos excesivos para las instituciones al tener que reemplazarlos por daño, pérdida o robo.

Las contraseñas de un solo uso (OTP) enviadas vía mensajes SMS eliminaron la necesidad de distribuir tokens físicos ya que toman provecho del siempre presente smartphone. Desafortunadamente, los sistemas empleados para transmitir mensajes SMS no cuentan con protocolos de cifrado que eviten la interceptación de la información. Eso hace que este mecanismo sea tan vulnerable como las contraseñas tradicionales. En 2016, el Instituto Nacional de Estándares y Tecnología (NIST) aconsejó buscar un método de autenticación alternativo más seguro y confiable.

Los bancos y compañías deben tomar acción inmediata e ir más allá de los sistemas de seguridad que hackers y estafadores aprendieron a circunvenir hace años. La debilidad de las contraseñas tradicionales y los códigos OTP demuestra que necesitamos nuevos y más seguros factores de autenticación para mantener la confianza de los clientes en las plataformas de banca y compras online. Afortunadamente, el futuro de la autenticación está aquí.

Las 3 tendencias en seguridad de hoy:

1. Acceso sin contraseña: La tecnología de autenticación ha evolucionado para hacer uso de las funcionalidades que los actuales smartphones y tabletas ofrecen. Si bien es cierto que hoy en día el usuario promedio cuenta con diversos “gadgets”, al final siempre confía en un dispositivo en particular para realizar ciertas tareas por ejemplo, operaciones bancarias. Las organizaciones con visión a futuro reconocen esta tendencia y trabajan para hacer que el proceso de login sea mucho más sencillo y eficaz. Utilizando un dispositivo, en este caso un smartphone, los usuarios pueden entrar a una plataforma simplemente escaneando un código QR (código de respuesta rápida) con la cámara del dispositivo, evitando así la necesidad de ingresar una contraseña. Además de brindar una mejor experiencia de uso, este proceso tiene el potencial de reducir significativamente la posibilidad de un ataque de phishing. Al disminuir la relevancia de las contraseñas en el proceso de autenticación, los criminales no obtendrán beneficio alguno del robo de credenciales de usuario.

2. Biometría fuerte y sin fricción: Las instituciones financieras también están empleando la tecnología biométrica en novedosas formas. La biometría puede ser usada para analizar las características físicas de los usuarios y confirmar su identidad. El proceso es altamente seguro pero no invasivo, ofreciendo el balance justo entre seguridad y facilidad de uso. La autenticación biométrica utiliza la tecnología de los smartphones, como lectores de huella, micrófonos y cámaras, para permitir que el usuario confirme su identidad con comodidad. La mejor parte es que los clientes disfrutan al utilizar este proceso, ya que es similar a la forma en que normalmente utilizan su teléfono todos los días.

3. Geolocalización: La geolocalización utiliza el GPS del smartphone del usuario para facilitar servicios de autenticación en cualquier parte y momento. Digamos que un cliente se encuentra realizando una compra y su banco requiere autenticarlo; una opción viable es enviar una notificación push para autorizar la transacción. No obstante, el servicio de geolocalización permite que el banco conozca la ubicación del usuario gracias a su dispositivo y verifique que este se encuentra en la misma ubicación donde se está llevando a cabo la operación. En este escenario no hay necesidad de que el usuario responda a una notificación push o tome acción alguna, creando una experiencia de uso transparente y sin fricción.

“El propósito de las tecnologías de autenticación que hemos explorado es confirmar con seguridad que las actividades transaccionales sean legítimas. Sin embargo, debemos tener en cuenta que ningún mecanismo protege operaciones bancarias con 100% de efectividad. La clave es mantenerse un paso delante de los cibercriminales mientras se brinda una experiencia de uso de baja fricción. Las contraseñas no ofrecen ninguno de estos aspectos. Indudablemente es hora de evolucionar y acoger todos los beneficios que la autenticación multifactorial tiene para ofrecer”, comentó Ricardo Villadiego, Vicepresidente Ejecutivo de Seguridad y Antifraude de Cyxtera Technologies.

Comentários


bottom of page