El primer jueves de mayo se celebra el Día Mundial de las Contraseñas. Desde hace años Datasec recoge esta iniciativa con el fin de concientizar sobre la necesidad de adoptar las mejores prácticas para la identificación, autenticación y autorización de usuarios, como uno de los pilares de la seguridad de la información y ciberseguridad de las organizaciones y de las personas.
Las contraseñas han sido durante décadas la principal forma de autenticarnos en sistemas operativos, equipos, redes locales, correos electrónicos, cuentas bancarias, redes sociales y dispositivos móviles. No obstante, nunca fueron la única forma, y en los últimos años la necesidad acelerada de incorporar mayores niveles de fortaleza al control de acceso de usuarios ha hecho muy visibles otros mecanismos de autenticación.
Ninguna forma es en sí misma una bala de plata que garantiza el éxito, ya que en prácticamente todos los casos el comportamiento de las personas en el manejo de sus mecanismos de control de acceso será determinante. Si la autenticación se basa en algo que el usuario debe ingresar o presionar, un ciberdelincuente siempre podrá engañar al usuario para que lleve ese comportamiento adelante en su beneficio.
En este contexto existen diferentes modelos y marcos de referencia que evalúan el nivel de madurez y por ende de fortaleza de nuestros mecanismos de autenticación de usuarios.
En esta oportunidad mencionaremos el Modelo de Madurez sobre la Fortaleza de la Autenticación (CASMM), utilizada por los equipos de desarrollo y evaluación de la calidad de software para reconocer el nivel de fortaleza que se ha desarrollado para identificar usuarios.
Cómo usar este modelo
- Cómo primer paso, determinar en qué nivel te encuentras en este modelo.
- Una vez determinado esto, es necesario escalar a los niveles superiores.
- ¿Cómo moverse?:
La mayoría de los usuarios de Internet sin experiencia se encuentran en los niveles 1, 2 y 3.
Estos tres primeros niveles son los que tienen más vulnerabilidades y donde la posibilidad de sufrir un ataque es mayor.
Pasar al nivel 4, consiste en inscribir todas sus cuentas principales en un administrador de contraseñas como Syspass. Esto significa usar el administrador de contraseñas para crear contraseñas nuevas y seguras, y luego cambiar las contraseñas para esos servicios/ plataformas.
El siguiente gran salto es pasar del nivel 4 al nivel 5 o superior, que es la transición de solo contraseña a autenticación multifactor (MFA).
Una vez en el nivel 5, el objetivo debe ser salir del nivel 5 y pasar al 6, 7 u 8. Esto se debe a que el nivel 5 (MFA basado en texto/SMS) es la forma más débil de MFA en el modelo de madurez, ya que los atacantes pueden usar ataques de intercambio de SIM para obtener acceso a sus códigos seguros o interceptarlos gracias a fallas en la red celular.
El Nivel 6 las contraseñas son generadas por una aplicación en su teléfono. (códigos MFA basados en aplicaciones). Esto no requiere una señal celular en absoluto, y la "semilla" que permite que la aplicación genere esos códigos de tiempo limitado se almacena solo en su dispositivo. Eso significa que es mucho más seguro, ya que incluso alguien que obtenga acceso a su número de teléfono o intercepte sus mensajes de texto no conocerá sus códigos.
La principal debilidad que tiene es la creación y el manejo de los propios códigos MFA. Esto significa que se le envía un código de alguna manera, que luego debe pasar al servicio para autenticarse. Esto es malo porque todavía deja la puerta abierta para que los atacantes roben ese token a través de phishing y vishing (phishing basado en voz).
La etapa final de mejora se encuentra en los niveles 7 y 8. En esa etapa, ¡no hay códigos MFA para robar! En estos dos niveles, la autenticación MFA se lleva a cabo de forma transparente en segundo plano, de una forma criptográficamente segura que nunca involucra al usuario.
Y dado que el usuario nunca ve un código, ese código no puede ser robado.
Habitualmente se emplean tarjetas de identidad o de coordenadas, o un token (generador de claves) que puede ser físico o virtual, así como también huella dactilar, reconocimiento facial o incluso activación por voz.
En cualquier caso, debemos seguir tratando de implementar buenos hábitos relacionados con la creación de contraseñas robustas y con la utilización de herramientas como los gestores de contraseñas para no tener que memorizar todas ellas. Y, por supuesto, de ser posible, siempre utilizar el factor de autenticación doble o múltiple.
