Las filtraciones de datos se están volviendo comunes tanto en las pequeñas como en las grandes empresas tecnológicas. La víctima más reciente fue la empresa de telecomunicaciones australiana Optus, que resultó en el acceso no autorizado a los datos de identidad de aproximadamente 10 millones de personas.

Sumado a la miseria de las víctimas, este ataque cibernético desató aún más una plétora de intentos de phishing y fraude posteriores utilizando los datos obtenidos de esta violación.

Tener medidas de seguridad más rigurosas al iniciar sesión puede ayudar a proteger sus cuentas y reduce significativamente la probabilidad de muchos ciberataques automatizados.

La autenticación multifactor (MFA) es una medida de seguridad que requiere que el usuario proporcione dos (también conocido como verificación en dos pasos o autenticación en dos pasos) o más pruebas de identidad para obtener acceso a los servicios digitales. Por lo general, esto requiere una combinación de algo que el usuario sabe (pin, pregunta secreta), algo que tiene (tarjeta, token) o algo que es (huella digital u otra biometría).

Por ejemplo, la Oficina de Impuestos de Australia endureció recientemente algunas reglas para los proveedores de servicios digitales sobre el uso obligatorio de la autenticación de múltiples factores. Si usa ciertos servicios, ya está familiarizado con MFA.

Pero no todas las soluciones MFA son iguales, con estudios recientes que demuestran formas simples de subvertir métodos más comunes que se utilizan para presentar ataques cibernéticos.

Además, las personas también prefieren diferentes opciones de MFA según sus necesidades y nivel de conocimiento tecnológico.

Entonces, ¿cuáles son las opciones disponibles actualmente, sus ventajas y desventajas, y para quién son adecuadas?

Hay cuatro métodos principales de autenticación multifactor

SMS :Actualmente, la opción más común que involucra una contraseña de un solo uso (como un código) enviada por mensaje de texto. Aunque es bastante popular y fácil de usar, la contraseña o el código que se le envía por mensaje de texto puede ser pirateado por aplicaciones maliciosas en el teléfono o al redirigir el SMS a un teléfono diferente. El método también falla si su teléfono inteligente no tiene servicio o está apagado.

Basado en autenticador :Otro método común, en el que una aplicación instalada en su teléfono inteligente (como Google Authenticator) genera contraseñas de un solo uso válidas por un período de tiempo muy corto, como 30 segundos. Aunque son más seguras que los mensajes de texto, las aplicaciones maliciosas aún pueden robar estas contraseñas de un solo uso. El método también falla si su teléfono inteligente no tiene energía.

Aplicación móvil :similar a las aplicaciones de autenticación, pero al usuario se le envía un aviso de verificación en lugar de una contraseña de un solo uso. Esto requiere que su teléfono inteligente tenga una conexión a Internet activa y esté encendido.

Llave de seguridad física :El mecanismo más seguro; utiliza una clave de seguridad de hardware (como YubiKey, VeriMark o Feitian FIDO) que debe conectarse al dispositivo para verificar la identidad; muchos de estos se parecen mucho a las memorias USB. Es el método líder actual respaldado por empresas como Google, Amazon y Microsoft, así como por agencias gubernamentales de todo el mundo.

Cada uno de estos cuatro métodos varía en usabilidad y seguridad. Por ejemplo, a pesar de que las llaves de seguridad físicas ofrecen el mayor nivel de seguridad, la tasa de adopción es la más baja, con cifras que sugieren solo un 10 % de aceptación.

Las preferencias importan

Los diferentes tipos de autenticación multifactor no solo varían en seguridad, sino que también tienen diferentes niveles de popularidad. Esto da como resultado una discrepancia entre los más confiables Método MFA (la clave de seguridad física) y cuál es en realidad el más utilizado (SMS).

Nuestro equipo del Centro de Investigación e Innovación en Seguridad Cibernética de la Universidad de Deakin realizó recientemente un estudio sobre la adopción de tecnologías MFA. Encuestamos a más de 400 participantes pertenecientes a diferentes grupos de edad, niveles educativos y experiencia con MFA.

Los resultados de nuestro estudio indican que las preferencias de las personas se ven afectadas no solo por sus necesidades de seguridad, sino también por la facilidad de uso. La mayoría de los usuarios se preocuparon más por la simplicidad del método MFA:esto explica claramente por qué las soluciones basadas en SMS aún dominan el panorama, aunque existen alternativas más seguras.

En nuestro estudio de seguimiento, los usuarios recibieron las llaves de seguridad físicas más populares durante un mes, para probarlas sin supervisión. Los resultados preliminares sugieren que la mayoría de los usuarios encontraron las teclas físicas efectivas e intuitivas de usar.

Sin embargo, la falta de soporte de la plataforma y las instrucciones de configuración crearon una percepción que estas claves eran difíciles y complejas de instalar y usar, lo que resultó en una falta de disposición para adoptarlas.

Una talla no sirve para todos

Creemos que debe haber una consideración cuidadosa antes de que cualquier agencia gubernamental o empresa exija MFA, con algunos pasos clave a considerar.

Diferentes personas y organizaciones tendrán diferentes necesidades, por lo que en algunos casos una combinación de métodos podría funcionar mejor. Por ejemplo, una solución basada en SMS se puede usar junto con una clave de seguridad física para acceder a sistemas de infraestructura críticos que necesitan niveles más altos de seguridad.

Además, la educación y concienciación de los usuarios es vital. Muchas personas no son conscientes de la importancia de MFA y no saben qué métodos son los más seguros.

Al asumir cierta responsabilidad personal y utilizar métodos altamente efectivos, como claves de seguridad físicas para proteger nuestras cuentas más vulnerables, todos podemos hacer nuestra parte para hacer de la web un lugar más seguro. + Explora más

Google actualiza su línea de llaves de seguridad Titan con versiones USB-A y USB-C

Este artículo se vuelve a publicar de The Conversation bajo una licencia Creative Commons. Lea el artículo original.