Aprovechando la plataforma móvil para autenticación multifactor
12 January, 2016
category: Identificación digital, IoT, Seguridad en Internet, Seguridad lógica
Jason Soroko, gerente, tecnologías de seguridad, Entrust Datacard
La mayor parte de las violaciones de datos más grandes que han ocurrido recientemente, si no todas, tienen algo en común con respecto a la forma en que se realizaron los ataques – el atacante pudo robar un nombre de usuario y contraseña. Esas violaciones hacen resaltar la necesidad de una fuerte autenticación multifactor, pero debemos tener en cuenta que no todos los métodos de autenticación multifactor han sido creados de la misma forma.
Al aprovechar la plataforma móvil, la autenticación fuerte puede implementarse de manera que resulte fácil para el usuario. La tendencia a corto plazo para la plataforma móvil es sacar ventaja de los elementos seguros de hardware y los entornos de ejecución de confianza. Esto también es cierto para los entornos críticos de Internet de los Objetos (IoT) que demandan niveles más altos de seguridad.
En recientes violaciones de grandes comerciantes, instituciones financieras y agencias gubernamentales se robaron a principios del ataque un nombre de usuario y contraseña. Una contraseña es un mal secreto porque es difícil de asegurar. En la mayoría de los casos la contraseña es robada mediante un metodo de ingeniería social. Para dificultar un ataque a las contraseñas, se han introducido varias técnicas más complejas que añaden un segundo factor a la autenticación de usuario.
Los tokens de un solo uso que se entregan en una diversidad de formas, tales como el token duro o SMS, son por sí solos una mejoría con respecto a las credenciales de un solo factor. Sin embargo, hemos visto ejemplos en que los tokens SMS fueron comprometidos por malware de redireccionamiento, tales como Zitmo y Eurograbber trabajando de conjunto con Zeus o con una variante de infección Zeus en el punto extremo de la víctima.
Adicionalmente se transmiten tokens SMS en texto sin formato situándolos a riesgo de un ataque tipo man-in-the-middle. Las contraseñas de un solo uso que se ingresan en un formulario web por un usuario están en riesgo de compromiso porque no están “fuera de banda” y por tanto la ingeniería social, junto con capturadores de teclado y formularios web falsos pueden poner en riesgo esas formas de autenticación de doble factor de la misma manera que están en riesgo las contraseñas.
En otras palabras, aunque estas técnicas de seguridad ofrezcan un reto mayor para el atacante, la dificultad no suele ser tan alta como para detener el ataque. La fortaleza del autenticador debe estar a la par del riesgo que ha de ser mitigado.
Los sistemas operativos de escritorio no ofrecen el mismo nivel de aislamiento de las aplicaciones que los sistemas operativos móviles. Este aislamiento evita que el malware de dispositivo móvil interfiera en el espacio de memoria de las aplicaciones nativas críticas. Esta técnica está probada, pero ahora tenemos la opción de almacenar credenciales criptográficas en un entorno muy seguro, como son los elementos seguros de hardware y los entornos de ejecución de confianza. Esto será un largo camino desde el nombre de usuario y contraseña, en términos tanto de nivel de seguridad como de experiencia del usuario.
En la anterior autenticación fuerte a veces era difícil la implementación o existía una pobre experiencia de usuario. Actualmente, al aprovechar las plataformas móviles para la autenticación fuerte, estamos obteniendo ventaja del factor de forma que es fácil para el usuario, ya que siempre está en nuestro bolsillo. Podemos dejar olvidada la billetera en casa y no regresar a recogerla, pero si lo que olvidamos es el teléfono inteligente, la mayor parte de las veces regresamos a buscarlo.
Las plataformas móviles nos ofrecen la capacidad de asegurar nuestras identidades digitales con métodos más fuertes que las otras formas de autenticación de doble factor, tales como los tokens SMS explicados anteriormente.
Con las plataformas móviles, la identidad digital puede tomar la forma de una credencial criptográfica que nunca tiene que salir del dispositivo. La comunicación entre los sistemas backend y el dispositivo móvil puede encriptarse, y los tokens de identidad no tienen que ser reingresados en los puntos extremos del usuario. Esas capacidades le ofrecen a los usuarios una verdadera autenticación multifactor fuera de banda.
Los ataques en plataformas móviles típicamente se relacionan con temas de privacidad, tales como fotos robadas o mensajes SMS redireccionados. Hay aplicaciones privilegiadas que presentan un riesgo a la privacidad, como es una aplicación de calculadora a la que se da acceso al micrófono del dispositivo. Pero esa misma aplicación maliciosa de calculadora no podrá acceder a las credenciales criptográficas guardadas en un elemento aislado seguro de hardware.
La aplicación maliciosa también estará aislada de la ejecución de códigos críticos en un entorno de ejecución de confianza, ya sea una función criptográfica o un teclado seguro. Al aprovechar estas tecnologías podemos equiparar el nivel de seguridad con el nivel de riesgo que se está mitigando, todo esto mientras se provee una experiencia superior para el usuario. La idea es hacer que el costo del ataque sea tan alto que el atacante piense bien en su fraude.
Finalmente hay que observar que el empleo de elementos seguros en la Internet de los Objetos es una forma de ofrecer una base de confianza para que los dispositivos estén en capacidad de asegurar sus propias identidades digitales. La comunicación encriptada, la autenticación y autorización entre dispositivos puede resultar posible. Las cadenas complejas de suministro también requerirán que las identidades de dispositivo estén aseguradas durante todo su ciclo de vida. No se debe permitir que los atacantes simplemente lo suplanten a usted en su red por el hecho de haber robado la credencial. Esto es cierto lo mismo si estamos considerando las redes informáticas tradicionales que operan en nuestras empresas, que las redes tecnológicas operacionales centradas en dispositivos que operan nuestra infraestructura crítica. Al sacar provecho de las credenciales almacenadas de forma altamente segura, se hace posible la seguridad de las identidades digitales.