Ciberseguridad

Cómo actúa la autenticación multifactor contra el fraude online

El fraude es un pecado tan antiguo como la humanidad. El engaño se adapta perfectamente a los cambios y las nuevas tecnologías. Si se le pone una barrera, no parará hasta derribarla. Una carrera que no parece tener fin. Por ello, cuántas más barreras se le pongan más seguridad se tendrá. La autenticación multifactor amplía el número de capas de protección para evitar el fraude online, el phishing, y garantizar transacciones confiables.

Una amiga me contaba hace unas semanas que revisando los movimientos de su cuenta había observado que una empresa que no conocía estaba cobrándole cada dos meses 10 euros. Investigó en Internet y se enteró entonces que estaba siendo víctima de un fraude online. Ni idea de cómo había caído en ello. No realiza apenas transacciones, no hace un uso cotidiano de la banca online, ni tiene un puesto de trabajo en el que desarrolle actividades comerciales y utilice dispositivos BYOD ni nada parecido. De hecho, desgraciadamente, no tiene empleo, es profesora de inglés y sin una gran actividad online. El fraude online puede afectar a cualquiera porque siempre está al acecho a ver que rasca de dónde sea.

La proliferación del acceso remoto a través de las redes y los dispositivos móviles a datos sensibles y aplicaciones corporativas; el incremento en el uso de cloud computing; y el auge del comercio electrónico y la banca online son un buen caldo de cultivo para el fraude online. La autenticación con una sola capa ha quedado totalmente obsoleta. Me refiero al tradicional método de «Nombre de usuario y Contraseña» que todos conocemos, o lo que es lo mismo: una sola capa de autenticación.


El incremento de la actividad en comercio electrónico y banca online exige blindar los datos críticos con medidas de seguridad más complejas como la autenticación multifactor.

La autenticación de un solo factor comporta diferentes vulnerabilidades, entre ellas:

  • Pobres contraseñas de usuario (ej. pepito, en lugar de otra más compleja como @@PEPito153@)
  • Usar la misma contraseña para procesos comerciales que para asuntos personales
  • Utilizar contraseñas creadas por un software de clave de registro
  • El phishing
  • Los ataques man-in-the-middle y man-in-the browser

Para poner freno a estas amenazas el sistema de autenticación multifactor (MFA) añade capas críticas de seguridad para los inicios de sesión de usuario y las transacciones. Funciona con dos o más de estos parámetros:

  1. La contraseña
  2. Un dispositivo móvil de confianza
  3. Verificación biométrica mediante la huella de voz, la escritura, o patrones oculares. O bien verificación con frases secretas y/o preguntas de seguridad.

Primer factor: la contraseña

Debe ser compleja, y no coincidir con ninguna otra que utilicemos para asuntos personales. Evitar las generadas por programas de clave de registro, y procurar actualizarlas y cambiarlas cada cierto tiempo.

Segundo factor: el dispositivo de confianza

Debe ser un dispositivo difícil de duplicar, portable y de uso común para los usuarios: un smartphone o una tableta electrónica son dispositivos ideales para este fin ya que cumplen con los requisitos. En la autenticación de doble capa se venía utilizando como dispositivo de confianza el token de seguridad. Sin embargo, estos aparatos -conocidos como generadores de contraseñas dinámicas- son bastante engorrosos para los departamentos TIC, además de ser más fáciles de duplicar, y ya existen amenazas sofisticadas capaces de derrotarlos. Y como no son dispositivos que se utilicen para la vida diaria son fácilmente olvidados o perdidos por los usuarios, a diferencia de los dispositivos móviles. Por otra parte, los costos de propiedad de una solución token pueden ser elevados.


Los tokens electrónicos son más fáciles de duplicar que los dispositivos móviles, son más costosos a la hora de ser reemplazados, y es más fácil perderlos u olvidarlos.

Los teléfonos inteligentes ofrecen mayor flexibilidad porque se pueden reemplazar fácilmente; dan acceso desde cualquier lugar (locales con Internet, el WIFI del aeropuerto, oficinas remotas o sitios de clientes); presentan una amplia gama de modelos; y, por sus características interactivas, ofrecen una gran variedad de opciones multifactoriales que irán en aumento conforme avance la tecnología móvil.

Además la red telefónica también proporciona un canal de comunicación bidireccional para la autenticación de la información específica, añadiendo otra capa de seguridad, el tercer factor, que con los métodos out-of-band complementa la autenticación.

Tercer factor: Verificación

La verificación ofrece diversas opciones. Puede realizarse a partir de parámetros biométricos como una llamada del programa de autenticación al usuario para verificar su huella de voz; con la verificación de transacciones; con la confirmación de la posesión del dispositivo de confianza en manos del usuario autorizado mediante una llamada automatizada; con el envío de un mensaje de texto con un código OTP (One Time Password) que el usuario debe responder con el código facilitado; o bien pulsando sobre una notificación enviada por el sistema al dispositivo del usuario que éste debe pulsar para autenticar. Las posibilidades de verificación son amplias.

Para tener una idea de cómo funcionan estas aplicaciones de autenticación multifactor, aquí os dejo un vídeo de una de las empresas proveedoras de estos sistemas, PhoneFactor. Otras compañías que comercializan este tipo de software son SafeNet, CA Advanced Authentication, Entrust IdentityGuard, o Veritrix Multichannel.

Las aplicaciones MFA permiten un fácil despliegue con un mínimo mantenimiento y una configuración sencilla que puede realizar el mismo usuario. Además, permiten una rápida implementación y una gran flexibilidad. Ofrecen una perfecta integración con un gran número de aplicaciones incluyendo las principales soluciones VPN de acceso remoto y las de inicio de sesión; aplicaciones en la nube; la banca online; sitios web; y aplicaciones personalizadas.

Imponer múltiples factores de autenticación presenta un reto significativo para los atacantes. Incluso si un atacante logra hacerse con la contraseña del usuario, es inútil sin poseer el dispositivo de confianza, el teléfono inteligente. Y a la inversa, si el usuario pierde el dispositivo, el que lo encuentre no será capaz de utilizarlo a menos que conozca la contraseña.

Estos sistemas de autenticación multifactor están dirigidos a pymes que utilicen el sistema de Usuario/Contraseña para autenticarse; para empresas u organismos que tendrían problemas en su actividad si los hackers accedieran y robaran sus datos sensibles como puede ser el caso del sector de la salud, empresas industriales relacionadas con patentes como laboratorios farmacéuticos, empresas de seguros, servicios o retail, y por supuesto, la banca online.