¿Qué es la Autenticación Multifactor (MFA)?

La Autenticación Multifactor (MFA) es un proceso de seguridad donde se requiere que los usuarios pasen por varios pasos de autenticación para obtener acceso a un sistema o aplicación o para completar una transacción. 

A diferencia de otras prácticas de verificación de identidad, la MFA añade una segunda capa de seguridad al requerir una pieza adicional de información. 

Esto, por supuesto, complica el acceso a los defraudadores, incluso si tienen la contraseña.

Las empresas SaaS deberían considerar seriamente implementar la MFA al manejar información sensible, ya que esto aumenta la seguridad y la privacidad. 

La MFA se centra en categorías de datos específicas al verificar la identidad:

• Factores de conocimiento: Información que el usuario conoce, como una contraseña o un PIN.

• Factores de posesión: Elementos que el usuario tiene, como un smartphone, un token de hardware o una aplicación de autenticación.

• Factores de inherencia: Rasgos biométricos, incluyendo huellas dactilares, reconocimiento facial o patrones de voz.

• Factores de ubicación o contextuales: Señales como la ubicación geográfica, dirección IP o reputación de la red.

Combinar factores en el proceso de verificación aumentará la seguridad.

La MFA ofrece los siguientes beneficios: 

• Mayor protección de la cuenta: Las contraseñas comprometidas por sí solas son insuficientes para el acceso.

• Menor riesgo de vulneración: Microsoft informa que la MFA puede bloquear más del 99% de los ataques de compromiso de cuentas.

• Control de acceso mejorado: MFA aplica una autenticación consistente y basada en políticas en todos los usuarios y sistemas.

• Menor impacto empresarial: Previene pérdidas financieras, tiempo de inactividad y daño a la reputación causados por filtraciones.

• Dependencia reducida de contraseñas: Limita la exposición a la reutilización de contraseñas y a los ataques de relleno de credenciales.
  

Si bien la MFA puede introducir una fricción menor y costos de implementación, estas compensaciones suelen verse superadas por los beneficios de seguridad para la mayoría de las organizaciones.

Las contraseñas siguen siendo el primer paso de autenticación en muchos flujos de trabajo de MFA. Las contraseñas débiles o recicladas aumentan el riesgo de ser hackeado y de sufrir ataques de ingeniería social, especialmente en el caso de la fatiga de MFA, donde los ciberdelincuentes presionan a los usuarios para que aprueben las solicitudes de inicio de sesión.

Una contraseña fuerte y única reduce la probabilidad de ser comprometido en primer lugar y fortalece la efectividad de la MFA. 

En un entorno corporativo, la MFA funciona así:

1. El usuario introduce su nombre de usuario y contraseña.
2. El sistema tiene en cuenta el contexto en lo que respecta al dispositivo, la ubicación y el comportamiento.
3. Se le pide al usuario que proporcione un segundo factor de autenticación, como un código de una aplicación de autenticación, un escaneo biométrico o un token de hardware. 
4. Se concede el acceso solo después de una verificación exitosa.

Las organizaciones SaaS también deben considerar añadir un método de autenticación adicional a la lista en caso de que el dispositivo principal se vea comprometido o no esté disponible para su uso.

Los sistemas MFA suelen utilizar varios métodos para identificar dispositivos nuevos o desconocidos, incluyendo:

• huella digital del dispositivo
• análisis de IP
• historial de ubicación
• monitoreo de actividad. 

Precisamente estos métodos son los que activan una alarma cuando se utiliza una nueva ubicación o un dispositivo inusual para el intento de inicio de sesión. Dichas prácticas son útiles para aplicaciones remotas y en la nube donde existe una gran diversidad de dispositivos.

La MFA adaptativa depende de las evaluaciones de riesgo para establecer una mayor o menor autenticación niveles de autenticación. Hay muchas señales que pueden activar niveles más altos de verificación, como:

• ubicaciones inusuales
• movimientos imposibles
• comportamientos o redes inusuales
• redes sospechosas. 

Las situaciones de bajo riesgo pueden proceder con fricción mínima, mientras que las situaciones de alto riesgo requieren más factores o se bloquean. Esta práctica proporciona mejor seguridad y elimina las solicitudes innecesarias de MFA para los usuarios normales.

Sí. La solidez de la MFA depende de los criterios utilizados. 

• Los códigos basados en SMS ofrecen el nivel más bajo de protección y son vulnerables al intercambio de SIM.
• aplicaciones de autenticación y hardware tokens proporcionan niveles más altos de garantía
• factores biométricos (empleados por 3D Secure) proporcionan el más alto nivel de seguridad siempre que se implementen correctamente. 

Las organizaciones SaaS deben considerar la solidez de la MFA según la sensibilidad de los datos o del sistema protegido, equilibrando los requisitos de seguridad con la experiencia del usuario.