Cómo evitar la extinción con la autenticación multifactor
Mi familia y yo empezamos a tener, recientemente, una rutina semanal de cena y película, en la que basamos el menú en torno a los personajes o la premisa del filme. Estamos ansiosos por irnos de viaje en familia pronto, pero espero mantener esta divertida rutina incluso después de nuestro viaje. La emoción de los niños al elegir un sobre mientras todos miramos con entusiasmo para ver qué película veremos esa semana y la misma emoción de mamá y papá por ver qué tipo de comida deberán preparar en los próximos días. ¡Qué divertidas son las tradiciones familiares! Pero ahora abordaré la parte relacionada con la seguridad de esta historia.
La semana pasada, uno de los niños escogió un sobre con “Jurassic World: Dominio” como la película elegida. Rápidamente, mi mente se enfocó en el menú que ahora debía preparar (garras de raptor con queso, nuggets de dinosaurio, tal vez alas de pterodáctilo), pero imagine mi gran sorpresa una vez que empezamos a ver la película y pude tener una gran charla cibernética con mis hijos, que, cada vez más, se relacionan con la tecnología que los rodea, como muchos otros alumnos de primaria y de secundaria.
¿Qué es la autenticación multifactor?
¿Qué tiene que ver Jurassic World: Dominio con la seguridad? Lo explicaré. No me refiero al tipo de seguridad relacionado con el escape de los dinosaurios de zonas cercadas en toda la saga de Parque Jurásico. No tengo la intención de arruinar la trama (¡espero no hacerlo!), pero hay una escena en la película en la que Ian Malcolm entrega, en secreto, su pulsera de identificación supertecnológica (piense en la credencial que lleva en la muñeca o, si ha estado en Walt Disney World últimamente, piense en una Magic Band) a la Dra. Ellie Sattler. Ellie y el Dr. Alan Grant usan esa pulsera de identificación para ingresar al área restringida del laboratorio, donde terminan robando ADN, la pieza clave de la aterradora pero emocionante aventura por la que son conocidas las películas de la saga de Parque Jurásico.
La cuestión es que, con solo la pulsera de identificación, pudieron acceder a la parte del laboratorio que estaba cerrada a los visitantes. No se les pidió que brindaran una huella digital o un código además de deslizar la pulsera de identificación (¡incluso Disney exige su huella digital después de deslizar una Magic Band!). Como consecuencia, pudieron entrar y robar bienes de Biosyn.
En el mundo de la ciberseguridad, nos referimos a esto como la falta de autenticación multifactor (o, a veces, verificación en dos pasos), también conocida como MFA, por sus siglas en inglés. Cuando solo se exige un tipo de identificación —en este caso, la pulsera de identificación— la pérdida de esa única fuente pone en riesgo los bienes protegidos. Si agrega una segunda (o tercera, cuarta, etc.) forma de identificación, como un PIN, un escaneo de retina o incluso una respuesta a una pregunta, como consecuencia tiene autenticación multifactor, y la pérdida de una forma no es tan riesgosa como era antes.
¿Cómo funciona la autenticación multifactor?
Es probable que ya utilice la autenticación multifactor en su vida diaria y no se haya dado cuenta. Al iniciar sesión en la banca móvil, por ejemplo, puede ingresar su usuario (o quizás el número de cuenta) y su contraseña (o PIN). Pero, si se le solicita algo más porque el sitio no reconoce su dispositivo, esta es una forma de MFA. Un dispositivo registrado, como un teléfono o una computadora personal, actúa como su segunda forma de autenticación en este caso.
La MFA es un método en capas para proteger datos o una aplicación en el que un sistema exige que un usuario presente dos o más credenciales con el fin de verificar su identidad. Estas credenciales se dividen en tres categorías:
- algo que usted sabe: como una contraseña o la respuesta a una pregunta personal de seguridad
- algo que usted tiene: como un dispositivo físico, un token de hardware, una credencial o responder a una aplicación en su teléfono móvil
- algo que usted es: como una huella dactilar o un escaneo de retina
En el caso de la banca móvil, el dispositivo registrado entra en la categoría “algo que usted tiene”.
Sin embargo, es importante entender que una simple combinación de verificaciones no constituye una autenticación multifactor. Esa combinación debe incluir elementos de diferentes categorías. Por lo tanto, ingresar una contraseña y responder una pregunta de seguridad generalmente no se considera autenticación multifactor, ya que ambos cuentan como “algo que usted sabe”. Ingresar una contraseña y, luego, solicitar un código único que se muestra en una aplicación en su teléfono se considera autenticación multifactor, ya que abarcan las categorías “algo que usted sabe” y “algo que usted tiene”, respectivamente.
Tipos de autenticación multifactor
Si bien hay varios tipos de autenticación multifactor, algunos de los más comunes incluyen agregar uno de estos a una contraseña o a un PIN para una cuenta:
- notificación push a través de una aplicación de autenticación reconocida
- contraseña de un solo uso (código único que se muestra para que lo use una vez y que solo está disponible a través de un método de comunicación exclusivo para usted, como una cuenta de correo electrónico, un mensaje de texto (SMS) a su teléfono o a través de su aplicación móvil)
- token de dos factores (token físico que usted conecta o del que extrae un código)
- datos biométricos (como huellas dactilares, verificación facial o escaneo de retina)
Entonces, ¿por qué es importante? Si Biosyn exigiera verificación facial después de usar la credencial, Ellie y Alan no habrían ingresado al área restringida del laboratorio. Si alguien roba su nombre de usuario y contraseña, no puede avanzar en los sistemas donde también deba ingresar un código de un solo uso que se envió a su teléfono móvil.
La repetición de la MFA es la clave
Muchos sistemas ahora ofrecen la MFA a sus usuarios. Si bien, las primeras veces, puede parecer un paso adicional en el proceso, la realidad es que, cuanto más la use, más se acostumbrará, y ya no se sentirá como algo extra. Ese pequeño paso de agregar un método de verificación adicional puede hacer la diferencia entre si los paleontólogos pueden acceder a su laboratorio secreto de insectos o si se les impide avanzar. Por supuesto, en Jurassic World: Dominio, funcionó a favor de los buenos que el laboratorio no usara la MFA. Pero no devolvamos el favor a los ciberdelincuentes al no activarla cuando nos la ofrezcan.
La MFA es un paso básico de seguridad digital que se debe seguir
La autenticación multifactor puede parecer difícil, pero, al igual que la banca en línea, una vez que la incorpora a su vida digital, se convierte en parte del proceso y puede ser una de las formas más sencillas y básicas de aumentar su seguridad digital. Recuerde: es fácil mantenerse seguro en línea… solo necesita saber qué pasos básicos incorporar.
Si decide empezar la tradición de cena y película con su familia (¡se lo súper recomiendo! Tengo muchos menús de película para compartir si le interesa), empiece con Jurassic World: Dominio y converse sobre cómo la MFA puede evitar que otros se hagan pasar por usted. ¿Qué otras películas cree que deberíamos agregar a nuestra lista? ¿Alguna otra película buena que le enseñe a su familia sobre temas de ciberseguridad?