La evolución de la autenticación
19 January, 2015
category: Seguridad en Internet
Bryan Ichikawa, especialista principal, Deloitte Cyber Risk Services
Al parecer todos los días hay una nueva historia sobre un sistema de información víctima de una violación de seguridad. Todo tipo de organizaciones – desde compañías hasta entidades gubernamentales e instituciones académicas – han sufrido violaciones.
Sin embargo, esas intrusiones revelan que se hubieran podido adoptar medidas para reducir la amenaza de un hackeo, y muchas organizaciones toman conciencia del hecho de que unos controles de acceso más fuertes son un elemento crítico en su situación general de seguridad.
También los individuos se percatan de que la seguridad es su responsabilidad. Si se efectúa un robo en la casa de un amigo o vecino, uno aprende de su experiencia y toma las medidas apropiadas para protegerse a uno mismo y a sus bienes. Suele decirse que el mejor momento para venderle a alguien un sistema de seguridad del hogar es después que han sido víctimas de un robo. Lo mismo puede decirse respecto a que las organizaciones mejoren su situación de seguridad.
La autenticación, la noción de que eres quien dices ser, es requerida en los puntos de entrada a las aplicaciones que realizan entregas o transacciones de datos. En dependencia de la gravedad del daño que puede ocurrir si un atacante realiza una transacción maliciosa utilizando la identidad de usted, es que se requieren métodos fuertes de autenticación. La autenticación solamente con contraseña no es suficiente.
Las contraseñas son el método de autenticación de facto que se utiliza actualmente en la mayoría de las aplicaciones. Las contraseñas más fuertes son al parecer el mantra primario de las organizaciones, planteando que una contraseña más fuerte es más difícil de hackear. Pero el blanco principal no es la contraseña de un individuo. A menos que usted sea una celebridad, usted no será posiblemente el blanco específico de un ataque.
Un punto de gran vulnerabilidad para los usuarios finales son las contraseñas que emplean en sitios que no implementan sólidas prácticas de seguridad y son susceptibles a compromiso. Si pueden obtener una combinación de identidad de usuario y contraseña, los atacantes pueden simplemente ejecutar un script para tratar de conectarse a miles de sitios, un gambito efectivo porque muchos individuos reutilizan exactamente las mismas combinaciones de identidad de usuario y contraseña en múltiples sitios. Los atacantes no tienen que hackear en un sitio de alta seguridad. Todo lo que tienen que hacer es violar un sitio de baja seguridad y ver si las identidades obtenidas ilícitamente funcionan en otros sitios.
La autenticación multifactor es un método que puede mejorar significativamente la seguridad para acceder a una aplicación o sitio web. A menudo los factores se traducen como contraseñas — lo que sabes – una tarjeta o token — lo que tienes — y datos biométricos, algo que eres. El empleo de dos o más de estos factores cuando uno inicia sesión en un sitio web es lo que se denomina como autenticación multifactor.
Es una buena idea utilizar contraseñas fuertes, y una mejor práctica no reutilizarlas. El uso de factores adicionales de autenticación mejora de manera significativa su situación de seguridad y le proporciona mejor protección contra los delincuentes que realizan transacciones ilícitas a nombre suyo.
Existen nuevas tecnologías de autenticación fuerte que pueden remplazar la combinación completa de identidad de usuario y contraseña, alzando de forma eficaz la barrera que como resultado los adversarios de dirigen a otro sitio que les resulte más fácil. Es como tener en su casa un perro que ladra fuerte, y entonces los ladrones se van a otra casa en su cuadra que esté más tranquila.
Estos nuevos métodos de autenticación realmente levantan más la barrera. No son infalibles ni invulnerables a un ataque. El crimen organizado ya ha demostrado su habilidad para lanzar ataques multifacéticos a las organizaciones, derrotando los mecanismos de protección multifactor. Se trata de ataques orquestados y altamente sofisticados que a veces toman meses, si no años, en ejecutarse.
La tecnología de seguridad está evolucionando y los nuevos mecanismos de sustitución de contraseñas logran ventaja de la sofisticación que tienen los dispositivos de computación actuales. Estos dispositivos existen en las casas, las oficinas, los bolsillos y las carteras.
Actualmente las PI y laptops se venden con juegos de chips de seguridad integrados, que crean entornos informáticos de confianza únicos para cada dispositivo. Los Módulos de Plataforma de Confianza o TPMs facilitan el uso de fuertes algoritmos criptográficos, que son esenciales para la protección contra intrusiones externas. Los dispositivos móviles se benefician con mecanismos similares, como son el Entorno de Ejecución de Confianza (TEE) y el Elemento Seguro (SE). Estas tecnologías promueven las innovaciones para proteger muchos de los dispositivos de hoy día.
A medida que se desarrolla la Internet de los Objetos (IoT), los dispositivos que resultan conectados no necesariamente tienen que poseer esos nuevos módulos de seguridad, y para muchos dispositivos de consumo se puede asumir como normal general que no tienen esos módulos. Si combina Internet de los Objetos con la nube, incrementa la oportunidad para violaciones de seguridad y privacidad. Ya aumenta la controversia en torno a temas relativos a privacidad, seguridad, y el problema potencial del control cedido a los gobiernos y corporaciones.
La Internet evoluciona constantemente como una infraestructura crítica de telecomunicaciones y su empleo crea dependencias respecto a individuos, negocios y gobiernos como eje central de los flujos diarios de tareas y como recurso para la información que se requiere para cumplir esas tareas.
El abuso de esa información es una amenaza siempre presente, y proteger el acceso se convierte en un asunto de la mayor importancia. Es responsabilidad de cada individuo en particular hacer su trabajo y ser diligente en proteger sus puntos de acceso. Es como tener un pero grande en casa… los delincuentes van a estar ahí afuera, ayúdelos a decidir que se larguen a otra parte.
Sobre el Panel de Expertos de AVISIAN Publishing
Al cierre de cada año, el equipo editorial de AVISIAN Publishing selecciona un grupo de líderes importantes de varios sectores del mercado para actuar como panelistas expertos. Se les pide compartir su visión única de diversos aspectos del mercado de tarjetas. Durante los meses de diciembre y enero las predicciones de esos panelistas se publican en CR80News.