Autenticación multifactor

Captura del vídeo realizado por Roberto Sánchez para ilustrar el tema.
Serie: 'Conectados' (LVII)

Mes de la Ciberseguridad

¿Es realmente la autenticación multifactor necesaria? ¿Aporta más seguridad? ¿O es un engorro para el usuario? Hemos de tener en cuenta que la autenticación de un usuario se puede basar en una de estas tres premisas [1]:

• Algo que el usuario sabe (Contraseña, pin…)
• Algo que el usuario tiene (Token, código SMS…)
• Algo que el usuario es (Biometría en todas sus variantes: Huellas dactilares, reconocimiento facial…)

Tradicionalmente los sistemas de autenticación se basan en una simple contraseña, algo que el usuario sabe, pero os quiero preguntar y quiero que respondáis con sinceridad. ¿Habéis trabajado en alguna empresa donde absolutamente ningún usuario haya compartido la contraseña con otro? ¿O se os dado el caso de que ningún usuario tenga apuntadas las contraseñas en un cuaderno? ¿O en un post-it directamente pegado en la pantalla?

Quizás lo del post-it os suene un poco exagerado, pero ha ocurrido. Esta noticia sobre “Las contraseñas de alerta de misil de Hawái se guardaban en un post-it” [2] tiene ya algunos años, pero es un gran ejemplo del problema que puede suponer la autenticación mediante contraseña. La noticia no es broma, buscad por Internet y veréis que hay muchos artículos sobre el tema.

Aquí es donde cobra importancia, y mucha, la autenticación multifactor. En la variante que sea. Que no es otra cosa que unir dos de los puntos descritos al inicio. Por ejemplo, algo que el usuario sabe y algo que el usuario tiene: una contraseña y un móvil con SMS o aplicación de autenticación. Desde mi experiencia personal, las tres más utilizadas son SMS, email y las aplicaciones de autenticación.

Ahora bien, ¿Cómo decantarnos por una u otra? Aquí la respuesta no es sencilla.

Las aplicaciones de autenticación, que son las que se instalan en el móvil y generan un código durante unos segundos y, una vez transcurrido el tiempo, generan un código distinto, son, en mi opinión, la mejor opción, pero tienen inconvenientes. En caso de avería del móvil, de sustitución del dispositivo o de desinstalación de la aplicación por error, podemos vernos en un serio aprieto al perder la posibilidad de autenticarnos y tener que recuperar los códigos para cada uno de los distintos accesos que tuviéramos configurados.

Los códigos por SMS creo que son seguros, siempre y cuando no estemos tratando de autenticarnos en algún servicio desde el mismo dispositivo donde vamos a recibir el SMS. Las aplicaciones móviles pueden capturar los SMS recibidos y leer su contenido, por lo tanto, si, por el motivo que sea, estamos utilizando un dispositivo comprometido, un supuesto atacante va a poder tener acceso a nuestra contraseña y código de autenticación recibido.

El email tampoco es mala opción, pero aplicando un poco de sensatez. ¿Qué hay de la utilización de la misma contraseña para distintos sitios? Pues si un atacante consigue una contraseña nuestra, de nada nos sirve la autenticación multifactor si en nuestro correo no tenemos multifactor y usamos la misma contraseña.

En resumen, con la autenticación multifactor, el articulo en el que se basa esta entrada nunca hubiera sido escrito, por lo tanto ¿autenticación multifactor? Siempre. Del tipo que sea, pero con sensatez. A continuación les dejo el video que he elaborado y que podéis seguir a través de siguiente enlace.

Referencias

[1] D. Jiménez, «¿Cuáles son los factores de autenticación?» Viafirma.com, 4 Octubre 2021. [En línea]. Último acceso: 4 Octubre 2023.

[2] M. Lázaro, «Las contraseñas de alerta de misil de Hawái se guardaban en un post-it» Computer hoy, 17 Enero 2018. [En línea]. Último acceso: 4 Octubre 2023.

​Editor: Universidad Isabel I

ISSN 2792-1794

Burgos, España