Tradicionalmente, el acceso a los recursos informáticos se ha gestionado mediante la combinación de nombre de usuario y contraseña. Se trata de un método económico, fácil de implementar y familiar para la mayoría de las personas que hacen uso de estos recursos.

Sin embargo, en la actualidad, cada uno de nosotros tenemos decenas o cientos de cuentas en Internet, algunas de ellas con datos importantes. Aunque las buenas prácticas establecen que deberíamos utilizar una contraseña diferente para cada servicio, es imposible recordar todas esas contraseñas que, si se siguen las buenas prácticas, deben actualizarse cada poco tiempo. Como consecuencia, muchas personas usan contraseñas sencillas, basadas en patrones predecibles o, directamente, reutilizan la misma contraseña en varios servicios.

Ataques

En este típico entorno, un atacante sólo necesita conocer la combinación de usuario y contraseña para acceder a la cuenta. Para conseguir esta información, los atacantes utilizan multitud de técnicas que se aprovechan de engaños sociales como:

• Engaños para revelar la contraseña mediante ingeniería social (phishing).

• Utilizar contraseñas de filtraciones previas para atacar a otros sistemas en los que se ha podido reutilizar.

  Tip

  Para incrementar la seguridad es altamente recomendable utilizar algún gestor de contraseñas.

• Adivinar la contraseña utilizando información personal (direcciones, fechas, nombres de familiares o mascotas) o usando la fuerza bruta (probando automáticamente una contraseña tras otra hasta acertar).
• Robos de contraseñas almacenadas de forma insegura (papeles o post-it, documentos no cifrados como el almacén de la mayoría de los navegadores) o viendo cómo se teclea (keyloggers).
• Interceptando contraseñas en tránsito o ficheros de contraseñas para posteriormente romper las protecciones que se hayan usado.

Todas estas técnicas se encuentran fácilmente disponibles y bien documentadas en Internet, y muchas emplean herramientas automatizadas que solo exigen un nivel técnico mínimo.

Solución

La autenticación multifactor (MFA) es un mecanismo diseñado para reforzar la seguridad de una cuenta mediante la incorporación de verificaciones adicionales al tradicional método de usuario y contraseña.

Al añadir capas extra al proceso de autenticación, se evita que un atacante que ya disponga de la contraseña pueda acceder directamente a la cuenta, ya que debe superar todas las verificaciones configuradas.

Estos factores, por diseño, no se basan en el conocimiento como lo hacen las contraseñas, sino en la posesión (como una llave física o un dispositivo que genera códigos) o en atributos inherentes al usuario (como la huella dactilar o el reconocimiento facial).