Duo Push, que utiliza autenticación basada en aplicaciones, surgió como un método de autenticación sólido ya que el 91,5 % de las cuentas habilitaron Duo Push como uno de los factores de autenticación, lo que representa más de 3200 millones de autenticaciones (21 %). Se prefirió Duo Push a los métodos de autenticación heredados, como SMS y llamadas telefónicas (un 4,9% en 2023).
«Creo que es el punto de partida para que la gente se dé cuenta de que la autenticación basada en SMS se ve comprometida fácilmente, y hay un gran impulso por parte de los atacantes para comprometer las tarjetas SIM y poder falsificar esos números y luego, en virtud, poder interceptar SMS», dijo Lewis. agregado.
Los fallos de autenticación y la falta de políticas generan preocupación
El cinco por ciento de todas las autenticaciones medidas fallaron, y el 28% de las fallas se atribuyeron a usuarios que no estaban inscritos en el sistema. Esto presenta un área muy riesgosa que abre la posibilidad a que los atacantes obtengan acceso no autorizado a datos confidenciales o sistemas críticos, lo que lleva a violaciones de datos, según el informe.
También se observó que el 96,4% de las organizaciones no tienen ninguna política relacionada con la ubicación (permitir, denegar o exigir 2FA), abriendo sus redes a ataques mediante acceso no autorizado a través de geografías.
«Básicamente, el 96% de las organizaciones en general no tienen ningún bloqueo geográfico, lo que significa que tienen atacantes de todo el planeta», añadió Lewis. «El bloqueo geográfico tiene una utilidad limitada, pero reduce mucho el ruido para muchas organizaciones».
A pesar de una gran adopción, se descubrió que MFA tiene implementaciones más ligeras en toda la organización, lo que puede llevar a comprometer las credenciales, haciendo que la adopción parcial sea contraproducente. La empresa promedio tenía el 40,26% de las cuentas sin MFA o con un MFA 2 débil.