Estrategias de autenticación más allá de las contraseñas

El uso de contraseñas para autenticar el acceso a sistemas y plataformas digitales ha sido la norma durante décadas, pero cada vez es más obvio que esta práctica no es suficiente para garantizar la seguridad de la información en línea.

A

medida que la cantidad de datos almacenados en la nube aumenta y con ellos la complejidad de los ataques cibernéticos, crece la necesidad de llevar a cabo estrategias de autenticación más sólidas y avanzadas. 

De acuerdo a los datos que arroja un estudio lanzado por la empresa especialista en gestión de contraseñas NordPass, un usuario medio tiene del orden de 100 contraseñas distintas repartidas por todos sus servicios. La mayoría de las personas se sienten frustradas por la ingente cantidad de tiempo que se malgasta en procesos de recuperación de claves. Muchas veces, en el mismo momento en el que las recuperan, las vuelven a olvidar. 

Según otro estudio lanzado en enero de 2021 por LastPass y OnePoll bajo el título Password Anxiety (Ansiedad por las contraseñas), más del 60% de los usuarios prefiere no acceder a un sitio antes que tener que recuperar una contraseña, lo que deviene en pérdidas de contactos y, por tanto, de beneficios para las empresas. La otra gran causa de pérdidas económicas es, sin duda, la actividad delictiva en línea, que se aprovecha de las vulnerabilidades que produce una mala higiene de contraseñas.  

Responsabilidad sobre el cuidado de la identidad digital 

En general, todos los informes subrayan que los huecos en la responsabilidad de los consumidores y usuarios provoca la gran mayoría de los incidentes. El 80% de los ataques se produce por fallos en la gestión de contraseñas; lo que encaja con datos facilitados por la empresa especialista en soluciones de autenticación sin contraseña HYPR, que indican que un 72% de los internautas utiliza la misma clave para distintos servicios y más de la mitad utiliza la misma contraseña, o con un aligera variación, cuando tiene que restablecerla.   

Afortunadamente, existen varias alternativas a las contraseñas tradicionales que pueden mejorar significativamente la seguridad. Estas estrategias de autenticación más allá de las contraseñas se basan en refuerzos de la verificación de identidad mediante el uso de otros factores. 

• Preguntas de seguridad. Utilizadas en combinación con contraseñas, las preguntas personales con una respuesta que solo el usuario conoce son una capa de seguridad muy popular. Este sistema tiene ciertas desventajas, pues, al basarse en información personal, no es infalible contra las técnicas de ingeniería social basadas precisamente en recabar este tipo de datos.  
• Email o red social. La autenticación a través de una cuenta ya existente de correo electrónico o red social es un método que puede evitar tener que recordar otra contraseña, facilita el proceso de registro y suma al acceso la seguridad y las medidas de autenticación de dos factores de dicha cuenta. 
• Reconocimiento biométrico. Sin duda, una de las grandes revoluciones de nuestro tiempo. Ya es común encontrar tecnología de reconocimiento facial, reconocimiento de voz o lectura de huellas combinada con otros sistemas de seguridad para completar procedimientos en sitios de bancos o aseguradoras. Estos sistemas son fáciles de usar y evitan tener que recordar o almacenar claves.  
• Autenticación conductual. Los desarrolladores están explorando los límites de la biometría con métodos que registran el movimiento del iris, la cadencia de escritura en un teclado, la presión al firmar, etc., para lograr los procesos de autenticación más seguros y personalizados. Descifrar datos concretos a partir de estas interactuaciones del usuario con los dispositivos generan experiencias muy fluidas y cercanas. 
• Autenticación multifactor. También conocida por sus siglas en inglés, MFA (multifactor authentication), requiere que los usuarios proporcionen más de un elemento para demostrar su identidad. Por ejemplo, un sitio web puede solicitar que los usuarios ingresen una contraseña y luego proporcionen un código enviado a su teléfono móvil. Esto hace que sea mucho más difícil para los hackers acceder a las cuentas, ya que deben descifrar varios métodos de bloqueo diferentes. 
• Autenticación sin contraseña o passwordless. Es un método que utiliza otras formas de verificación de identidad, como tokens de un solo uso, enviados al usuario.  

Evaluar los riesgos y diseñar estrategias de identificación a medida 

Es importante destacar que la implementación de estas estrategias de autenticación avanzadas no es una solución única para todos los problemas de seguridad cibernética. Aunque estas técnicas pueden proporcionar un mayor nivel de seguridad, aún existen posibles vulnerabilidades que deben ser consideradas. Por ejemplo, si los datos biométricos se almacenan en un sistema frágil, podrían ser utilizados por los hackers para acceder a las cuentas. Además, la autenticación multifactorial y sin contraseña aún depende de otros factores, como el acceso físico al dispositivo utilizado para la autenticación, que también deben ser asegurados. 

Las empresas que manejan grandes cantidades de información personal o financiera pueden necesitar estrategias de autenticación más avanzadas que las empresas que manejan información menos sensible. Por lo tanto, es fundamental evaluar el nivel de riesgo y adaptar las técnicas de seguridad en consecuencia. 

Para garantizar la seguridad cibernética, es indispensable un enfoque integral que incluya una variedad de técnicas de seguridad, incluida la autenticación avanzada, pero también una labor profunda de pedagogía e higiene de métodos de autenticación. Es vital que las empresas eduquen a sus empleados y clientes sobre las mejores prácticas de seguridad cibernética, como la detección de correos electrónicos de phishing y la actualización periódica de claves, y poco a poco edifiquen una cultura sólida de la protección en entornos digitales.