La autenticación multifactor (MFA), también conocida como autenticación en dos pasos (2FA), es un método de seguridad que requiere verificaciones adicionales además del nombre de usuario y contraseña.
En el entorno típico basado en usuario y contraseña, un atacante sólo necesita conocer esa combinación para acceder a la cuenta. Si la contraseña es débil o ha quedado expuesta en alguna filtración de datos, cualquier atacante tendría acceso a la cuenta y toda su información (datos bancarios, nóminas, investigaciones…). También le permitiría controlar la cuenta a la que tiene acceso o, incluso, usar la información para robar la identidad y actuar en nombre de la persona con files ilegales (compras en línea, pedir préstamos a su nombre...).
Al añadir una segunda verificación en el acceso, un atacante que ya conozca la contraseña no podrá acceder a la cuenta, ya que también necesitará controlar el segundo factor de autenticación. Esto evita que la cuenta quede inmediatamente desprotegida y reduce de forma significativa el riesgo de accesos no autorizados.
Tipos de factores
Cada capa de verificación extra puede ser de varios tipos:
-
Conocimiento
Alguna cosa que se puede memorizar, como una contraseña, un PIN, preguntas de seguridad, etc.
Algo que sabes
-
Posesión
Objetos que puedas tener, como el teléfono, una tarjeta, un certificado o una llave de seguridad.
Algo que tienes
-
Inherencia
Características biométricas, como las huellas dactilares, el reconocimiento facial o el escaneo del iris.
Algo que eres
Un inicio de sesión tradicional solo incluye el factor de conocimiento (contraseña). En un acceso protegido mediante MFA se pedirán al menos otro factor extra: teclear un código generado por el móvil (posesión), introducir una llave de seguridad (posesión), escanear la huella dactilar (inherencia), reconocimiento facial (inherencia)…
Si un atacante pudiera pasar el primer paso (contraseña), quedaría bloqueado en el segundo impidiendo el acceso fraudulento a la cuenta.
MFA más usados
Aunque existen multitud de mecanismos MFA, tres de ellos destacan por su sencillez de aplicación.
Aplicaciones OTP
El mecanismo básico y más empleado es el uso de códigos de un único uso (OTP). Existen dos tipos principales de códigos OTP:
Estas aplicaciones se instalan en un dispositivo (generalmente un teléfono móvil) y se vinculan individualmente con cada cuenta en línea para reforzar su seguridad. Una vez emparejadas, generan un código único por cuenta, que debe ingresarse para verificar la identidad del usuario. Lo más común es el uso de códigos TOTP, que se renuevan aproximadamente cada 30 segundos (la aplicación suele mostrar el tiempo restante), lo que impide que un atacante pueda reutilizar un código previamente generado.
Existen múltiples aplicaciones gratuitas que se pueden utilizar para este propósito: 2FAS, 2FAST, Authy, FreeOTP, Google Authenticator, Microsoft Authenticator…
Llaves de seguridad
Otro tipo de mecanismo es el uso de llaves de seguridad compatibles con FIDO21, un estándar abierto impulsado por FIDO Alliance en colaboración con World Wide Web Consortium (W3C), cuyo objetivo principal es reducir la dependencia de las contraseñas tradicionales, vulnerables al robo o reutilización.
Al igual que las aplicaciones que generan códigos OTP, estas llaves se vinculan con las diferentes cuentas a proteger. Cuando es necesario verificar el segundo factor, basta con conectarlas al puerto o acercarlas al lector NFC del dispositivo para confirmar la posesión.
Es habitual que estas llaves de seguridad incorporen un botón de activación, lo que permite dejarlas conectadas al puerto del ordenador sin el riesgo de que se validen automáticamente. Algunos modelos, además, permiten protegerlas con un PIN o integran un lector de huellas dactilares en el botón, de modo que, incluso si un atacante logra robar la llave, no podrá utilizarla sin superar estas medidas adicionales.
Lector de huellas
La protección con una llave básica es suficiente para configurar un MFA e incrementar la seguridad de tus cuentas. Aunque incrementa la seguridad, no es un requisito tener lector de huellas.
Las llaves con un lector de huellas equivaldrían a una triple autenticación usando los tres tipos de factores: contraseña (conocimiento), llave de seguridad (posesión) y huella (inherente).
Aunque Yubikey es la marca más conocida por haber sido una de las pioneras en esta tecnología, existen numerosas llaves de seguridad; como ChipNet, Feitian, Google Titan, TrustKey, u otras; que también soportan el estándar FIDO2 y pueden utilizarse para proteger cuentas on-line.
Biométricos
Muchos dispositivos fabricados en los últimos años incluyen sistemas biométricos para desbloquearlos. Los más usados son lectores de huellas o reconocimiento facial.
Es posible utilizar esta característica para acceder a las cuentas online de forma segura. Para ello, como en todos los casos previos, es necesario vincular el dispositivo con las cuentas on-line que se quiere proteger. A partir de ese momento, al acceder a la cuenta desde ese dispositivo, se puede usar el mecanismo biométrico para acceder.
Warning
La autenticación en este caso sólo funcionará desde el dispositivo con biométricos que se haya registrado.
Es necesario disponer de otro mecanismo (lo normal sería un OTP) para poder acceder en el caso de perder el dispositivo registrado.
- Aunque comúnmente se le conoce como FIDO2, el estándar en realidad está compuesto por dos especificaciones diferentes: Client to Authenticator Protocol (CTAP), que define cómo interactúan los dispositivos FIDO2 con el dispositivo o navegador, y WebAuthn, que establece la API utilizada por los navegadores para comunicarse con autenticadores externos. ↩