¿Qué es la autenticación multifactor (MFA)?
- Glosario IAM
- ¿Qué es la autenticación multifactor (MFA)?
La autenticación multifactor (MFA) es una medida de seguridad que requiere que los usuarios faciliten más de una forma de autenticación para acceder a un servicio o aplicación.
Definición de autenticación multifactor
La idea tras la MFA es ofrecer una capa de seguridad adicional (más allá del tradicional método de nombre de usuario y contraseña) con la que se requiere a los usuarios que faciliten una prueba adicional de su identidad. Esta prueba adicional se llama factor de autenticación. Hay cuatro tipos diferentes de factores de autenticación:
Algo que sabe: Podría ser una contraseña, un PIN o una respuesta a una pregunta de seguridad.
Algo que tiene: Esto puede ser un token físico, como una tarjeta inteligente o una llave de seguridad USB, o un token virtual generado por la aplicación de autenticación en el smartphone del usuario. A estos tokens virtuales se les conoce como contraseñas de un solo uso (OTP) o contraseñas de un solo uso y de duración limitada (TOTP).
Algo que es: Información biométrica, como la huella dactilar, el reconocimiento facial o el escaneo del iris.
Su ubicación: Su ubicación geográfica. A algunas aplicaciones y servicios solo pueden acceder los usuarios ubicados en una localización geográfica específica. Este particular factor de autenticación se utiliza frecuentemente en los entornos de seguridad de confianza cero.
Los sistemas MFA requieren que los usuarios ofrezcan al menos dos factores diferentes de dos categorías distintas. En este ejemplo se explica mejor:
- Un sistema que requiere que los usuarios introduzcan tanto una contraseña como un PIN no se considera como un sistema MFA, ya que ambos factores son de la misma categoría (algo que sabe).
- Los cajeros automáticos llevan utilizando la MFA desde hace décadas. Requieren que los usuarios inserten una tarjeta en el cajero (algo que tienen) y que introduzcan un PIN (algo que saben).
Además de usarse en cajeros automáticos, la MFA se emplea ampliamente para proteger cuentas en línea (como correos electrónicos, banca en línea o almacenamiento en la nube) y como acceso físico a edificios y a otras zonas protegidas.
No todos los factores de autenticación se crean igual
Algunos sistemas MFA usan contraseñas TOTP enviadas por llamadas de teléfono, mensajes de texto o correo electrónico para autenticar. Aunque estos métodos son técnicamente factores MFA válidos, muchos expertos en seguridad cibernética desincentivan su uso porque pueden verse fácilmente vulnerados.
Por lo tanto, una buena práctica de seguridad es evitar usar el correo electrónico, las llamadas de teléfono o los mensajes de texto en la MFA a menos que no haya otros métodos disponibles. Otras opciones más seguras incluyen la biometría, un token de seguridad físico o un aplicación independiente de autenticación.
¿Cuál es la diferencia entre la MFA y la 2FA?
2FA significa autenticación de dos factores. La única diferencia entre la 2FA y la MFA es que la 2FA hace referencia a un método de autenticación que solo requiere dos factores de autenticación, mientras que la MFA es un término más amplio que abarca sistemas que requieren dos o más factores de autenticación.
Por lo tanto, el ejemplo anterior del cajero automático es un ejemplo de 2FA, pero llamarlo MFA también sería correcto. Por el contrario, un sistema que requiere que el usuario inserte una tarjeta o llave de seguridad e introduzca un PIN o escanee su huella dactilar se considera un método MFA y no 2FA.
¿Qué protección ofrece la MFA?
Las contraseñas vulneradas son la principal causa de las violaciones de datos y los ataques de ransomware. La MFA previene los ataques cibernéticos relacionados con las contraseñas haciendo exponencialmente más difícil para los atacantes vulnerar una cuenta. Incluso si un actor de amenazas obtiene una contraseña que funciona, sería inservible sin uno o varios factores de autenticación adicionales. Una estadística de Microsoft reveló que la MFA puede bloquear el 99,9 % de los ataques que ponen en peligro las cuentas.
Por este motivo, la MFA tiene un papel importante en el cumplimiento de regulaciones de la TI. Muchos marcos de conformidad normativa y del sector exigen que las organizaciones apliquen la MFA para proteger sus sistemas internos. La MFA también es esencial para implantar un marco de seguridad de confianza cero, el cual requiere que los usuarios se verifiquen explícitamente.
Aplicar la MFA también puede ayudar a mejorar la confianza del usuario en el sistema, ya que demuestra que la organización se toma en serio la seguridad y que está comprometida con la protección de la información de los usuarios.
¿Cómo puedo aplicar la autenticación multifactor?
Para usuarios particulares
Todo el mundo debería habilitar la 2FA/MFA en todos los sitios web y aplicaciones compatibles para proteger sus cuentas personales de actores de amenazas cibernéticas. Muchos sitios y aplicaciones guían a los usuarios a través de este proceso en la configuración de sus cuentas. Si no es así, los usuarios pueden consultar los documentos de ayuda del sitio o de la aplicación.
Recuerde evitar usar correos electrónicos, mensajes de texto y llamadas telefónicas como factor de autenticación a menos que el sitio web o la aplicación no permita otros métodos.
Para usuarios empresariales
Los pasos que hay que seguir para implementar la MFA varían en función de los recursos y necesidades específicos de su organización. Se recomienda buscar la ayuda de un experto en seguridad o profesional de TI en caso de tener dudas sobre cómo proceder. No obstante, aquí tiene un resumen general de los pasos que hay que seguir:
Determine los tipos de factores de autenticación que deben usarse: Decida qué factores de autenticación utilizar en función de sus necesidades de seguridad y los recursos disponibles. Recuerde elegir al menos dos factores de dos categorías diferentes y evitar usar llamadas de teléfono, correos electrónicos o mensajes de texto como factor de autenticación.
Elija una solución de MFA: Hay muchas soluciones comerciales y de código abierto disponibles para implementar la MFA. Elija una que sea compatible con los factores de autenticación que ha seleccionado y que se ajuste a su presupuesto y a sus capacidades técnicas.
Integre la solución de MFA en sus sistemas: Esto puede suponer la necesidad de integrar la solución de MFA en su sistema de autenticación existente o reemplazarlo con una solución compatible con la MFA. Puede que tenga que modificar el código de su aplicación o hacer cambios en la infraestructura de su red.
Registre a los usuarios: Cuando haya integrado la solución de MFA en sus sistemas, registre a los usuarios. Para ello, deben proporcionar los factores de autenticación adicionales requeridos por la solución de MFA.
Supervise y mantenga la solución de MFA: Supervise periódicamente el rendimiento y la seguridad de la solución de MFA y actualícela cuando sea necesario para mantener su eficacia.