El estado de las contraseñas en 2021 y la necesidad de implementar soluciones masivas de autenticación de segundo factor.
La autenticación basada exclusivamente en contraseñas ya no puede considerarse como aceptable, sin embargo la mayoria de las organizaciones aun no proveen una solucion de 2FA o la limitan a grupos de usuarios reducidos.
11/01/2021
Todo sistema de autenticación está basado en algo que uno conoce, tiene o es. Los dos primeros tipos son los más conocidos, correspondiendo en general a contraseñas que permiten acceder a sistemas informáticos y a llaves tradicionales que permiten abrir puertas u operar vehículos, mientras que los últimos están basados en biometría que en estos últimos años se ha popularizado significativamente a través de teléfonos celulares con lectores de huellas digitales o reconocimiento facial.
Cuando uno considera en particular las contraseñas, que son el mecanismo por lejos más extendido para utilizar servicios provistos a través de internet, las mismas presentan diferentes desafíos que deben ser tomados en cuenta para poder considerarlas un mecanismo seguro de autenticación. El almacenamiento seguro de dichas contraseñas, la utilización de las mismas en protocolos de autenticación que no las expongan a redes abiertas y la prevención de ataques de fuerza bruta o basados en diccionarios fueron históricamente los aspectos en dónde más foco se puso, a veces incluso con acciones muy opinables como solicitar a los usuarios niveles de complejidad en dichas contraseñas que terminaban causando que se guardaran por escrito u obligando a su almacenamiento en navegadores o sistemas similares, lo cual introduce sus propios riesgos de seguridad.
Sin embargo, aún en el caso de contraseñas que cumplan con las mejores prácticas recomendadas, existen tres situaciones básicas en las cuales un potencial adversario puede acceder a las mismas: a) que el usuario sea víctima de cualquier forma de ataque de “phishing” o ingeniería social que lo haga revelar su contraseña, b) el compromiso de una base de datos de cualquier servicio donde se encuentre almacenada la contraseña, incluyendo su posible reutilización en múltiples servicios y c) el compromiso de cualquier cliente/plataforma que opera el usuario y donde ingresa la misma.
Si bien se podrían establecer responsabilidades por estas clases de ataques (claramente el usuario es responsable por la primera clase de ataques, los operadores de los servicios vulnerables por la segunda y posiblemente una combinación de ambos en la tercera), lo relevante termina siendo que la probabilidad de que una contraseña se vea comprometida es relativamente alta. Es crítico notar que esta probabilidad no solamente crece significativamente cuando el usuario no ha sido instruido o no cuenta con la capacidad técnica como para implementar las mejores prácticas existentes sino también con la gran cantidad de incidentes de seguridad ocurridos recientemente que exponen bases de datos gigantescas con credenciales de usuarios.
A lo descrito anteriormente, que representa riesgos intrínsecos de la utilización exclusiva de contraseñas, hay que agregar dos situaciones del contexto actual que complejizan aún más la situación. En primer lugar, debe considerarse el influjo sostenido y forzado de usuarios a diversos canales digitales, situación que ya se venía dando fuertemente en el sector financiero a través tanto de medidas de inclusión financiera como de procesos de reducción de costos en la atención al público, pero con el advenimiento de la pandemia causada por el COVID-19 y su impacto en el trabajo y las transacciones remotas, se ha extendido también a otras industrias. En segundo lugar, la creciente inversión de grupos criminales en campañas de phishing, hacking e instalación de malware hace que tanto el volumen de incidentes como su impacto venga aumentando en forma consistente en los últimos años.
Considerando el análisis previo, la utilización exclusiva de contraseñas presenta en la actualidad un nivel de riesgo que debería considerarse inaceptable al verse potenciados todos los desafíos y debilidades que las mismas tienen en el contexto actual y futuro. En tal sentido, la introducción de mecanismos de autenticación de segundo factor o, como se mencionaba al principio, sumar algo que uno tiene a algo que uno sabe, es la forma más simple, efectiva y eficiente de agregar un control adicional y mitigar significativamente la situación descrita.
En la actualidad existen múltiples variantes de soluciones de este estilo, pero la distribución de las mismas se encuentra limitada normalmente a un grupo muy reducido de usuarios de un servicio, ya sea aquellos que la propia organización consideró que por sus características requerían un nivel de seguridad adicional (por ejemplo, los clientes corporativos de un banco) o aquellos donde el propio usuario solicita la introducción de un segundo factor (en algunos casos incurriendo en un costo para obtener esta opción).
Esta utilización parcial, sin embargo, no permite minimizar la existencia de incidentes que puedan: a) resultar costosos no solamente por las transacciones involucradas en si mismas sino por el tiempo de investigación y gestión de los mismos considerando la participación de áreas de seguridad, cumplimiento y potencialmente auditoría interna, b) implicar potenciales incumplimientos de normativas cada vez más estrictas de privacidad de datos personales y/o c) ocasionar impactos negativos a la imagen corporativa al publicitarse estos incidentes.
En tal sentido, las soluciones existentes en la actualidad no están en general diseñadas o pueden considerarse aptas para lograr ese nivel masivo de adopción que sería deseable, principalmente por una combinación de los siguientes aspectos: la complejidad de operación (copiar múltiples dígitos recibidos por algún canal alternativo dista mucho de ser una solución ideal cuando se considera las características de todos los usuarios), la complejidad de administración (incluyendo la generación, distribución, enrolamiento, bloqueo, suspensión, borrado, etc. del elemento que provee el segundo factor), la complejidad de integración (especialmente cuando se cuenta con sistemas antiguos o de difícil modificación) y el costo de adquisición, licenciamiento y operación. A lo anterior se une que muchas de las soluciones más modernas se ofrecen en modalidad de servicio, lo cual no solamente implica la dependencia de un tercero para un aspecto crítico de seguridad, sino que además para organizaciones que dependen de la confianza de sus clientes puede resultar indeseable o directamente inviable.
ZofToken (www.zoftoken.com) es una solución desarrollada por un equipo que incluye profesionales de tecnología informática, seguridad de la información y usabilidad que busca proveer un mecanismo de autenticación de segundo factor que realmente pueda ser de uso masivo, utilizando tecnologías modernas para facilitar su integración, un diseño apto para cualquier clase de usuario y un nivel de seguridad que permite su introducción en cualquier industria independientemente de lo estricto de sus requerimientos.