Las infracciones son más comunes que nunca, las estafas de phishing siguen teniendo éxito y la IA está ayudando a llevar el ciberdelito a un nivel completamente nuevo. Informe de seguridad cibernética 2024 de Hornetsecurity analizó 45 mil millones de correos electrónicos enviados en 2023; el 3,6% se consideraron maliciosos. Son 1.600 millones de correos electrónicos potencialmente dañinos. Casi la mitad de todos los ataques basados en correo electrónico utilizan phishing para obtener las contraseñas de los usuarios. Si un usuario cae en una estafa de phishing y sus credenciales se ven comprometidas, la autenticación multifactor (MFA) o la autenticación de dos factores (2FA) proporcionan una salvaguardia adicional contra una infracción.
Pero, ¿cuándo es suficiente la 2FA y cuándo deberían las organizaciones implementar la MFA?
¿Qué es la autenticación multifactor (MFA)?
Ministerio de Asuntos Exteriores utiliza factores de autenticación como un pin, un código SMS, un código autenticador y/o un método biométrico (huella digital, retina, reconocimiento facial). Algunos sistemas también utilizan la verificación de ubicación como parte del proceso de inicio de sesión. Cuantos más factores haya, más difícil será para un atacante penetrar cuentas y violar una organización.
Con MFA activo, si un pirata informático descifra una contraseña, aún necesitará al menos un elemento más para poder causar algún daño. Sin él, no pueden completar el proceso de autenticación para demostrar que son el propietario real de una cuenta.
¿Qué es la autenticación de dos factores (2FA)?
Como su nombre indica, 2FA utiliza dos factores de autenticación. Después de que el usuario ingresa un nombre de usuario y contraseña, se le solicita que realice un paso adicional, como ingresar un código de una notificación push basada en un teléfono móvil, un mensaje SMS o algún otro método.
MFA vs. 2FA: Identificando las diferencias
Los términos 2FA y MFA a veces se utilizan indistintamente. Esto se debe a que 2FA es en realidad un subconjunto de MFA. 2FA implica solo un factor de autenticación adicional. MFA significa en términos generales dos o más métodos. Sin embargo, en la definición más estricta, implica tres, o incluso más en situaciones de alta seguridad. ¿Recuerda la escena de Misión Imposible: Nación Secreta donde Benji (Simon Pegg) tiene que proporcionar una serie de elementos para ingresar a una instalación: una tarjeta de identificación digital, una contraseña, un escaneo de retina y un análisis de la forma de andar para ingresar a una instalación altamente segura? Bueno, ese es un ejemplo de MFA llevado al extremo.
Pros y contras del MFA
MFA es más potente que 2FA, pero también tiene limitaciones.
Profesionales del MFA
- Hay más factores que hacen que sea mucho más difícil acceder a una cuenta.
- Si alguien obtiene su contraseña, necesitará factores de autenticación adicionales para violar una cuenta.
- Si se pierde la tarjeta bancaria de un usuario y el PIN se ve comprometido, el delincuente aún necesita un código biométrico u otro código antes de poder acceder a los fondos.
Contras del MFA
- Si MFA carece de un factor biométrico, una cuenta es un poco más fácil de piratear, ya que los delincuentes han aprendido técnicas de phishing para obtener códigos SMS comprometiendo teléfonos, así como computadoras de escritorio y portátiles.
- El inicio de sesión se vuelve más complejo y puede ralentizar la productividad.
- Implementación del AMF es más sofisticado que 2FA y tiende a ser más costoso y más exigente con el personal de seguridad y TI.
- MFA puede requerir actualizaciones de software o tener problemas de compatibilidad de software.
Pros y contras de 2FA
Puede que 2FA no sea tan potente como MFA, pero tiene ciertos beneficios.
Ventajas de 2FA
- Menos factores facilitan que un usuario ingrese a una cuenta y realice tareas.
- Cuantos más factores de autenticación existan, mayor será la resistencia del usuario. 2FA simplifica las cosas.
- Si alguien obtiene una credencial de usuario, al menos tiene un obstáculo más que debe superar antes de poder causar algún daño.
- Los sistemas 2FA son más simples que MFA.
Desventajas de 2FA
- La mayoría de las 2FA generalmente dependen del uso de un teléfono inteligente como parte de la verificación y los piratas informáticos han aprendido cómo comprometer los teléfonos.
- Para datos financieros y archivos confidenciales y sensibles, las organizaciones necesitan varias capas adicionales de protección, no solo una.
- Muchos usuarios no son tan diligentes cuando se trata de protegerse contra amenazas de seguridad en su teléfono en comparación con cómo se comportan en su computadora portátil o de escritorio.
¿Cuándo es mejor 2FA?
Las organizaciones deberían optar por 2FA para el tráfico rutinario que no requiere alta seguridad. 2FA probablemente sea suficiente para muchos consumidores. Y en organizaciones donde las aplicaciones, los sistemas y los usuarios no manejan datos sensibles o confidenciales, 2FA debería ser suficiente. Después de todo, 2FA promete una experiencia de usuario más fluida y sencilla. Y si el presupuesto es ajustado, 2FA puede resultar menos costoso que MFA.
¿Cuándo es mejor la MFA?
Para los usuarios de organizaciones, MFA puede ser más seguro ya que requiere factores de autenticación adicionales. Si bien es posible que algunos no necesiten ese nivel de protección, otros sí. Incluso a nivel individual, MFA debe proteger una cuenta bancaria personal. MFA que incluye un sistema biométrico es la forma ideal de obtener información financiera y confidencial. Y para los archivos organizacionales confidenciales, así como para las personas que trabajan en puestos ejecutivos, de TI, de recursos humanos, financieros y otros puestos organizacionales destacados, MFA ayuda a mantener un mayor nivel de seguridad.
¿Su organización debería utilizar MFA o 2FA?
Muchas organizaciones aún no utilizan 2FA o MFA. La implementación de cualquiera de ellas puede ser un paso importante hacia una mayor protección. Vade seguro informa que los ataques de phishing están aumentando constantemente. Aumentaron un 173% en el tercer trimestre de 2023. Solo en un mes, se enviaron más de 200 millones de correos electrónicos de phishing. Incluso si un pequeño porcentaje de estos intentos tiene éxito, representa una gran cantidad de credenciales comprometidas. 2FA y MFA hacen la vida más difícil a los piratas informáticos.
MFA es el camino a seguir para cualquier organización que necesite proteger información confidencial o sensible. Pero para otros, la 2FA puede ser suficiente. Es menos costoso, más fácil de implementar y más sencillo de mantener. Sin embargo, para quienes facilitan entre 2FA y MFA, una pequeña diferencia de precio y una carga adicional de implementación y mantenimiento de TI puede ser un pequeño precio a pagar para evitar una infracción grave.