Las contraseñas son incómodas y, además, son el origen de numerosas vulnerabilidades de seguridad, entonces, ¿por qué no las reemplazamos por otro sistema?
La respuesta es simple. A día de hoy, no existe un método mejor. Además, aunque las personas digan que valoran más la seguridad que la conveniencia, sus acciones muestran justo lo contrario. Una investigación realizada recientemente por Google desvela que menos del 10% de los usuarios están dispuestos a adoptar un sistema de autenticación multifactor (MFA), incluso cuando saben que alguien podría tener acceso a sus cuentas. Esta actitud solo se explica por la complejidad y la fricción asociada a este tipo de autenticación.
Cualquier método de autenticación es un equilibrio entre usabilidad, seguridad y fácil implementación. Para lograr reemplazar las contraseñas, la nueva solución debería ser capaz igualarlas en dos de esos factores y ser superior en, al menos, uno de ellos. Conseguir el apoyo de organizaciones y usuarios a la hora de promover el cambio de sistema cuando las ventajas no están claras, no es algo que se vaya a lograr fácilmente.
En esta realidad ¿es posible hacer algo para aliviar los problemas que generan las contraseñas eliminando las incómodas fricciones de los nuevos métodos?
Mejorar MFA es posible
Un camino podría ser acudir a la autenticación multifactor invisible (iMFA). A diferencia de las soluciones MFA actuales, que normalmente se basan en una contraseña combinada con un SMS, una contraseña de un solo uso por correo electrónico o un token físico, iMFA se basa en factores que son invisibles para el usuario, recopilando y procesando un número máximo de señales sin esfuerzo, es decir:
- Número máximo de señales. La autenticación web está convergiendo en un modelo de autenticación no binario en el que toda la información disponible se tiene en cuenta en cada transacción. Es decir, todo el contexto de la interacción del usuario con un sitio web puede ser utilizado para garantizar la mejor visibilidad de su perfil de riesgo.
- Recopilación y procesamiento de señales sin esfuerzo. La seguridad debería proporcionarse en el back-end, a fin de evitar que resulte algo farragoso para los clientes. Así, las empresas podrán mitigar las amenazas a un coste mínimo sin introducir fricciones ni molestar a los usuarios. Por ejemplo, la mayoría de los proveedores de correo electrónico se están conformando con métodos que clasifican el correo en función de patrones de comportamiento conocidos de los hackers. Estas defensas no son baratas ni fáciles de implementar, ya que los grandes operadores web necesitan destinar muchos recursos si quieren mantenerse al día de la evolución de las tácticas empleadas por los ciberdelincuentes. Sin embargo, este coste suele ser mucho menor que cualquier enfoque que requiera que los usuarios cambien su comportamiento.
iMFA podría implementarse con una combinación de herramientas como WebAuthn y señales de comportamiento. WebAuthn proporciona almacenamiento seguro de credenciales y verificación del usuario, mientras que la autorización continua puede aumentarse con señales de comportamiento. Los factores tradicionales de MFA ("algo que sabes", "tienes" y "eres") provienen de WebAuthn. Y el factor más nuevo, "algo que haces", proviene de las señales de comportamiento, incluidos los nuevos tipos de biometría. Además, generar esta variedad de señales requiere un solo gesto por parte del usuario, lo que supone un esfuerzo mucho menor que introducir una contraseña. Al combinar estos métodos y recalcular la confianza constantemente a través de tecnologías de aprendizaje automático, es posible lograr una mayor seguridad con una menor fricción para el usuario.
Una solución provisional
Pero iMFA no puede reemplazar a las contraseñas de la noche a la mañana. Los usuarios resistentes al cambio necesitarán una transición gradual y los sitios web tendrán que incorporar una solución como WebAuthn en sus protocolos de autenticación. Sin la urgencia de una amenaza específica, es probable que muchos sites se tomen su tiempo para adoptar este estándar. Además, el proceso de integración para un gigante tipo Amazon podría ser extremadamente complicado, por lo que aunque haya habido un apoyo inicial de los navegadores, aún no se ha producido en empresas de comercio electrónico o de redes sociales.
Mientras tiene lugar la adopción de este nuevo enfoque, lo único que pueden hacer las empresas es sobrevivir tratando de negar a los atacantes su recurso más preciado: el tiempo. Los ciberdelincuentes que emplean la táctica del relleno de credenciales tienen una motivación económica y no están dispuestos a invertir sin límite, por lo que si una organización es capaz de aumentar significativamente el tiempo necesario para monetizar un ataque, lo más probable es que el hacker abandone la búsqueda y se centre en un objetivo más débil.
Alargando la cadena de relleno de credenciales
Como consecuencia, el primer paso es lograr que los derrames de credenciales (incidentes de seguridad que implican la filtración de una combinación de datos compuesta por nombre de usuario y/o correo electrónico y contraseña) sean más difíciles de descodificar. Puede parecer obvio, pero todas las empresas deberían actualizar sus métodos de seguridad de contraseñas. De esta forma, si se está procesando las contraseñas con MD5, deberían moverse a algo más seguro, como bcrypt. Así, cuando un atacante logra violar una base de datos hacemos que necesite más tiempo para descifrar las credenciales comprometidas.
Por otra parte, las organizaciones también deben explorar cómo pueden obligar a los hackers a desarrollar ataques únicos para cada objetivo. Es decir, si un hacker consigue 100.000 credenciales, lo más probable -y lo más rentable para él- es intentar atacar de forma simultánea varios sitios web de compañías diferentes que presenten una infraestructura similar porque operan con la misma plataforma tecnológica, pero si estas compañías, además de compartir plataforma, comparten inteligencia recopilando datos que sirvan para identificar un ataque, al ciberdelincuente se le va a hacer más complicado emplear las mismas credenciales en un ataque múltiple.
¡No te rindas!
Es imposible detectar el 100% de los ataques de forma instantánea el 100% del tiempo. Lo que es posible es hacer que los ataques sean tan costosos para el hacker, que este no tenga más remedio que darse por vencido. El ciberdelito es un negocio y los ataques se organizan en función de una tasa de rendimiento predecible. Si hay algo que es cierto tanto en el mundo de la empresa como en el de los ciberdelincuentes es que el tiempo es dinero.
Shuman Ghosemajumder es director global de IA en F5