[07/03/2022] La autenticación basada en el riesgo (RBA, por sus siglas en inglés), también llamada autenticación adaptativa, ha alcanzado la mayoría de edad, y no podía ocurrir lo suficientemente rápido para muchos responsables de seguridad de las empresas. A medida que el phishing y las tomas de posesión de cuentas han florecido bajo la pandemia, la RBA puede convertirse en una tecnología clave para proteger los activos corporativos, sobre todo porque el trabajo a distancia es más la regla que la excepción.
¿Qué es la autenticación basada en el riesgo?
La RBA consiste en examinar las "señales", como denominan los proveedores a las diversas observaciones que realizan en tiempo casi real cuando un usuario se mueve por el proceso de inicio de sesión o cuando un cliente compra algo en línea. Crea un perfil de riesgo de la persona o el dispositivo que solicita el acceso al sistema. Ese perfil se basa en factores o señales que incluyen la geolocalización de la IP, el comportamiento del usuario, los patrones de pulsación de teclas y el tipo de conexión. Estos factores pueden cambiar en función de los factores de amenaza específicos, lo que podría requerir una gestión continua de los perfiles de riesgo.
El cambiante mercado de la autenticación basada en el riesgo
Se han producido muchas fusiones y adquisiciones corporativas en el espacio de la autenticación desde que Experian compró 41st Parameter en el 2013:
- Equifax compró Kount
- Lexis/Nexis compró ThreatMetrix
- Transunion compró Iovation
- Quest Software compró OneLogin (y ahora es propietaria de OneIdentity)
- Vasco se renueva como OneSpan
- RSA separó Fraud Manager de Outseer
- Easy Solutions es ahora parte de Appgate
- Ping Identity compró SecureTouch
Detrás de toda esta actividad, RBA se ha dividido en dos mercados principales y medio: transacciones/prevención del fraude y autenticaciones empresariales. La "mitad" podría considerarse la marca sin contraseña que algunos proveedores están utilizando. Aunque este último caso de uso no es una autenticación totalmente adaptativa/de paso, la noción de combinar una serie de factores de autenticación ayuda a impulsar una adopción completa de RBA.
Obsérvese que algunas de estas fusiones implican a las principales agencias de crédito. Esto demuestra la rapidez con la que la RBA ha pasado de ser una tecnología infosecciosa a convertirse en la corriente principal.
Tendencias de autenticación que impulsan la adopción de RBA
La autenticación multifactorial se convierte en la norma: Google hizo obligatoria la autenticación multifactor (MFA) el pasado octubre en sus propias cuentas, y ha visto una rápida adopción y una disminución igual de rápida del phishing y de las cuentas comprometidas. Esto también ha contribuido a aumentar la adopción de la RBA, ya que se necesita la MFA antes de poder implantar la RBA. Otras dos tecnologías básicas que están experimentando una mayor tracción son la adopción de los estándares FIDOv2 y OpenID Connect. Ambos han recorrido un largo camino y ya están mayoritariamente aceptados y bien implementados en los cinco sistemas operativos de punto final (Windows, MacOS, Linux, Android e iOS).
Preocupación por el uso de datos biométricos: Gracias al GDPR de la UE y sus equivalentes mundiales, hay una creciente sensibilidad sobre cómo las herramientas de seguridad aprovechan los datos biométricos, dónde se almacenan estos datos y cómo atraviesan la infraestructura de autenticación. Las recientes reacciones al uso del software de reconocimiento facial por parte de la Agencia Tributaria son un buen ejemplo de lo que no se debe hacer. Disponer de RBA puede ayudar a controlar cómo se consumen estos factores biométricos en su aparato de seguridad.
Amenazas cada vez más sofisticadas: La RBA seguirá siendo útil para luchar contra las últimas amenazas sofisticadas. Un ejemplo es la creciente popularidad de los pagos a plazos.
Mayor adopción de EMV 3-D Secure: Los proveedores de pagos han seguido desarrollando el estándar EMV 3-D Secure (3DS), que incorpora métodos de RBA para luchar contra el fraude en las transacciones. Algunos proveedores de RBA han comenzado a incorporar esta norma en sus conjuntos de herramientas. Los proveedores de pagos y créditos -entre los que se encuentra el negocio de seguridad NuData de Mastercard- tienen ahora acceso a un enorme corpus de miles de millones de transacciones que pueden utilizar como alertas tempranas de fraude para aplicar los retos del step-up. (Entre los socios de NuData se encuentran Thales y Entersket).
Productos de autenticación basados en el riesgo
Hemos hablado con los siguientes proveedores:
- Appgate RBA
- Cisco/Duo Security
- Entersket Authentication
- iProov
- Lexis/Nexis Risk Solutions
- Okta, que ofrece sus propias líneas de productos y Auth0
- OneLogin de One Identity/Quest
- OneSpan Autenticación Adaptativa Inteligente
- Outseer Fraud Manager
- PingID, que ofrece una serie de productos
- Silverfort
- Thales Safenet Trusted Access
Otros proveedores de este espacio, como Iovation, Kount, Verity Access de IBM Security, Global Risk Management de HID, SecureAuth y Transmit Security, no respondieron a las múltiples solicitudes.
Precios de RBA
La mayoría de los proveedores de RBA son tímidos en cuanto a los precios. Hay dos enfoques generales: Un esquema se utiliza para el negocio transaccional o de detección de fraudes, y otro para lo que a veces se llama la mano de obra -el negocio tradicional de autenticación por usuario.
Hay tres excepciones notables que merecen su atención: Duo, Ping y Okta. Duo tiene la mejor página de precios, exponiendo los distintos niveles de precios y las características disponibles en cada uno de ellos de forma clara e informativa. Ping finalmente ha hecho públicos sus precios, y Okta tiene páginas de precios para sus unidades de negocio Okta y Auth0. Muchos proveedores ofrecen pruebas gratuitas de sus planes más capaces y algunos, como Duo y Auth0, tienen planes gratuitos para siempre -pero con características limitadas que no incluyen ningún soporte RBA.
Appgate RBA: Appgate compró la línea de software RBA de Easy Solutions en octubre del 2021, y ha añadido biometría conductual avanzada que aporta una toma de decisiones casi en tiempo real y una API más completa. El producto almacena temporalmente la información biométrica en un servidor de Appgate cuando es necesario para verificar el inicio de sesión de un usuario, pero luego elimina los datos.
Appgate ha añadido el RBA de mano de obra para aumentar el antiguo RBA de transacciones de Easy Solutions. Aunque Appgate es ahora miembro de FIDO, todavía no ha añadido el soporte. La empresa tiene precios por transacción y dice que una organización de tamaño medio con unos seis millones de inicios de sesión al año pagaría una tarifa fija de 10 mil dólares, con recargos por transacciones adicionales. No tienen su propio proveedor de identidad, pero admiten Active Directory, Google, Salesforce, SugarCRM y otros a través de conexiones SAML y Radius.
Cisco/Duo Security: Desde que fue adquirida por Cisco hace varios años, Duo ha seguido mejorando su oferta de autenticación y tiene una colección completa de herramientas de autenticación. Algunas están disponibles con su nivel de acceso, pero probablemente quiera considerar el nivel del plan Beyond para obtener el conjunto completo.
Aunque su gama de características de autenticación es granular y profunda, la gestión de los procesos y políticas de RBA no es tan hábil como podría ser. Por ejemplo, puede rastrear la ubicación del usuario, la huella digital del hardware del dispositivo, los factores de comportamiento, las aplicaciones que se ejecutan y mucho más. Sin embargo, elaborar la mejor acción a partir de estas diversas señales puede requerir cierto esfuerzo. Todos los datos biométricos se cifran y se almacenan en el enclave seguro del punto final.
Duo es compatible con diversos proveedores de identidad, como Okta, Google y Active Directory. También es compatible con los estándares y dispositivos FIDOv2, y es un actor clave en el grupo de trabajo de señales compartidas de OpenID. Como he mencionado antes, los precios de Duo son transparentes y útiles y deberían ser un modelo para los proveedores que todavía ocultan su estructura de tarifas. La empresa procesa miles de millones de transacciones mensuales.
Entersket Authentication: Entersekt tiene su sede en Ciudad del Cabo (Sudáfrica) y lleva una década proporcionando seguridad en las transacciones de los servicios financieros. Recientemente se ha introducido en el mercado de la autenticación de usuarios de la fuerza de trabajo. Entersekt no tiene su propio proveedor de identidades, pero admite otros a través de SAML y OAuth. Trabaja con el enclave de hardware seguro del punto final para almacenar claves de cifrado privadas, y detectar jailbreak y aplicaciones dañinas instaladas en el teléfono.
Entersekt puntúa las señales de riesgo, incluyendo la ubicación, el hardware con huellas dactilares y el corpus de transacciones de NuData Security para construir un perfil de riesgo para cada transacción. Es compatible con los dispositivos y estándares FIDO. Entersekt ofrece precios por transacción y por usuario.
iProov: iProov es otro proveedor de seguridad con una década de antigüedad que ofrece SDKs para desarrolladores, en lugar de una suite de aplicaciones llave en mano. Su red gestiona cientos de miles de transacciones diarias. iProov no almacena datos privados más que durante un breve periodo de tiempo para comprobar el inicio de sesión de un usuario. Los clientes pueden especificar un rango de 12 horas a un mes para la vida de este almacenamiento temporal de datos.
iProov es compatible con proveedores de identidad como ID.me, Ping Identity y Jumio.com. iProov está participando en una interesante prueba en la estación de tren londinense de St. Pancras, donde los pasajeros solo tienen que escanear su cara para subir a los trenes Eurostar.
Lexis/Nexis Risk Solutions: La compañía adquirió ThreatMetrix en el 2018 y desde entonces ha construido un sofisticado negocio de RBA, ofreciendo una línea de SDKs móviles y herramientas basadas en Java que ahora se encuentran en casi todos los grandes bancos y la mayoría de las principales compañías de seguros. Lexis/Nexis Risk Solutions utiliza su gran corpus (la empresa procesa más de 270 millones de transacciones por hora en más de 8.500 millones de dispositivos) para detectar el fraude en las transacciones y proporcionar señales para la verificación de la identidad.
Ofrece tres niveles diferentes de identificación de puntos finales: el ExactID basado en cookies, el SmartID basado en Java, y el sistema StrongID que utiliza firmas criptográficas con una clave privada almacenada en el enclave seguro del teléfono o de la computadora. Es compatible con los últimos protocolos EMV 3DS. Lexis/Nexis ofrece precios por transacción.
Okta: Okta ofrece dos líneas de productos. La primera es la Adaptive MFA de Auth0. Auth0 tiene una colección bien desarrollada de señales de riesgo, incluyendo "viajes imposibles" (cuando se producen múltiples inicios de sesión en una sucesión cercana desde lugares muy alejados), direcciones IP malas conocidas, detección de bots y detección de contraseñas violadas a través de sus servicios separados de protección contra ataques y Credential Guard, que están disponibles para los planes Enterprise. Los precios son transparentes, con un plan gratuito para siempre y otros que comienzan en 23 dólares al mes (no se basan en los usuarios, sino en las transacciones). Las funciones RBA/MFA solo están disponibles en el plan Enterprise con un coste adicional.
La línea de productos propios de Okta incluye su herramienta MFA y una gran colección de políticas de autenticación para siete mil productos diferentes y una gran colección de referencias de API para diferentes lenguajes de programación y frameworks. La API del Ecosistema de Riesgo de Okta aumenta su sistema de puntuación de riesgo integrado mediante la ingesta de señales de riesgo externas procedentes de nuevas soluciones de terceros, incluidos los proveedores de detección de bots y firewalls de aplicaciones web Fastly, HUMAN, F5 Networks y PerimeterX. El producto FastPass de Okta sin contraseña funciona con su producto de inicio de sesión único.
La empresa también tiene una página de precios transparente que ofrece planes de mano de obra que comienzan en cinco dólares/usuario/mes para RBA. Se añaden seis dólares/usuario/mes para Adaptive MFA, y hay otras características de costo adicional. Un esquema de precios separado para las transacciones comienza en 36 mil dólares/año para los planes de grado empresarial.
OneLogin de One Identity/Quest: OneLogin es ahora el componente de gestión de acceso de las soluciones de One Identity, que abarcan situaciones que incluyen el acceso privilegiado y los conectores de Active Directory. Las funciones de RBA de OneLogin son suministradas por su motor de riesgo dinámico Vigilance AI, que puntúa cada intento de autenticación y asigna la acción y los flujos de inicio de sesión adecuados. El producto también ofrece la autenticación dinámica de factores inteligentes y comprueba las credenciales comprometidas para evitar que los usuarios reutilicen sus contraseñas o formen parte de una infracción anterior.
OneLogin no almacena ningún dato biométrico y admite la toma de huellas dactilares por hardware en el dispositivo. Los estándares FIDO2/WebAuthn como MFA adicional (incluyendo el uso de claves Yubico, FaceID y Windows Hello) son compatibles y se almacenan en el enclave seguro del punto final. OneLogin puede sincronizar su propio IDP, así como Google Workspace, AD, Azure AD, LDAP y otros. El precio oscila entre dos y seis dólares por usuario al mes para los usuarios del lugar de trabajo, y también está disponible el precio por transacción para su línea de productos de fraude/transacción.
OneSpan Intelligent Adaptive Authentication: El producto OneSpan lleva muchos años ofreciendo soluciones de RBA, y ahora es compatible con los mercados de autenticación de usuarios y de transacciones. Su propio token de hardware Cronto para proporcionar un canal cifrado para las transacciones fue uno de los primeros en adoptar FIDO, e incorpora métodos de comportamiento. OneSpan también cuenta con una esignature integrada y sus propias aplicaciones de verificación de identidades gubernamentales. Cubre una variedad de métodos MFA y factores de forma de token y proporciona tanto SSO como RBA con una gran colección de reglas y políticas preconfiguradas.
Un lugar que debería examinar es su aplicación online de demostración "My Bank", donde puede jugar libremente con su interfaz y ver cómo funciona el producto. OneSpan no ha revelado los precios.
Outseer Fraud Manager: Outseer es el repositorio de la unidad de negocio de análisis de fraude de RSA que se dirige principalmente a las instituciones financieras. (La unidad SecurID de RSA tiene su propia versión de RBA basada en una tecnología similar). Viene en versiones locales o basadas en la nube, y puede obtener señales de otros comportamientos y de terceros basados en la localización. Uno de los nuevos módulos puede proteger el fraude en las transacciones a plazos "compre ahora, pague después", mientras que otro es compatible con el último estándar EMV 3DS. El proveedor también ofrece un servicio de inteligencia FraudAction.
PingID PingOne: PingOne es una serie de productos de identidad que pueden utilizarse en varias configuraciones para apoyar la RBA tanto para la autenticación del flujo de trabajo como para las transacciones. La empresa adquirió SecureTouch el año pasado y ahora llama a ese producto PingOne Fraud, que examina el análisis del comportamiento y para identificar dispositivos comprometidos y otras señales dudosas. Ping es conocida por su amplia colección de más de 1.800 integraciones SAML diferentes para sus herramientas SSO. Otras herramientas que forman parte de su oferta son:
PingOne Risk es su motor de gestión de riesgos que evalúa estas diversas señales; PingOne Verify es su propia herramienta de verificación de identidad; PingOne Authorize es su principal herramienta RBA donde se configuran las reglas y políticas de autenticación; PingOne DaVinci, su última incorporación, es una herramienta de orquestación de identidades que puede utilizarse para crear rutinas de automatización utilizando diagramas de flujo similares a los de Visio. Esta es una gran ventaja, ya que la configuración de escenarios de escalada de riesgo utilizando conjuntos de reglas y políticas entrelazadas puede ser difícil de depurar.
PingID ofrece pruebas gratuitas de 30 días de todos los componentes. Tiene una página de precios completa, aunque confusa.
Silverfort:Silverfort adopta un enfoque diferente de RBA al apoyarse en proveedores de identidad existentes como Ping, Okta y Azure AD. Tiene un motor de riesgo integral que puede detectar señales, incluyendo cambios de comportamiento e indicadores de riesgo externos, como los de sus herramientas de gestión de la seguridad de la red. No utiliza ningún agente de software o proxies para detectar posibles amenazas y problemas de autenticación, lo que puede ser útil si le preocupan los compromisos basados en el IoT o de los equipos basados en la red que no pueden ser fácilmente supervisados o protegidos. Un ejemplo de esto sería proporcionar soporte FIDO2 para cualquier dispositivo de punto final. Tiene un precio basado en el usuario.
Thales Safenet Trusted Access: Thales tiene dos unidades de negocio para RBA: Su Safenet Trusted Access se encarga de la RBA de la fuerza de trabajo, y su unidad Gemalto se centra en la RBA bancaria y de transacciones. El producto Safenet existe desde hace muchos años y se ha convertido en una sofisticada colección de reglas y políticas para combinaciones de usuarios, sistemas operativos y aplicaciones. Cubre una variedad de métodos MFA y factores de forma de token y proporciona tanto SSO como RBA. Fue uno de los primeros en desplegar FIDO y admite su propio proveedor de identidades y otros a través de SAML. Se ha asociado con NuData Security para la inteligencia de transacciones. El precio base de Safenet es de 3,50 dólares por usuario y mes, y no incluye las opciones de RBA o MFA.
Basado en el artículo de David Strom (CSO) y editado por CIO Perú
Puede ver también: