[07/06/2022] Las mejoras de seguridad comprobadas que ofrece la autenticación de múltiples factores (MFA, por sus siglas en inglés) o la autenticación de dos factores (2FA, por sus siglas en inglés) están impulsando a los departamentos de TI a implementarlas. Como sucede a menudo, muchos gerentes y empleados se oponen a los pasos adicionales asociados con los inicios de sesión de MFA y ponen muchas excusas para evitarlos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Hablamos con expertos en seguridad y ellos comparten las excusas más comunes que enfrentan para no imprentar MFA y las respuestas que usan para derrotarlas de manera efectiva.
1. Mi contraseña es lo suficientemente segura
Una contraseña segura es un primer paso crucial y aplaudible, pero a medida que los ciberataques se vuelven más sofisticados, no es suficiente por sí sola. Este es un punto que los CISOs deben inculcar a los usuarios y gerentes citando ejemplos de brechas de seguridad donde las contraseñas seguras no fueron suficientes.
"El beneficio de 2FA/MFA es que los consumidores pueden estar menos preocupados por ser víctimas del robo de sus datos a través de ataques de fuerza bruta, estafas de phishing convincentes u otros ataques de apropiación de cuentas”, afirma Aaron Goldsmid, vicepresidente y gerente general de seguridad de cuentas de Twilio. "Incluso si una contraseña ya se ha visto comprometida, con 2FA/MFA los consumidores pueden tener la confianza de que su cuenta no será usurpada por el relleno de credenciales u otros métodos comunes asociados con las contraseñas robadas”.
2. No quiero proporcionar mi número de smartphone personal para mi inicio de sesión de MFA
Usted no tiene que proporcionar su número de teléfono o incluso su dirección de correo electrónico. Hay muchas otras formas de implementar MFA que no lo requieren. Por ejemplo, las aplicaciones de autenticación son más convenientes que el enfoque tradicional de SMS o correo electrónico. Es posible que el usuario deba escanear un código QR o ingresar manualmente un código en la configuración inicial, pero los inicios de sesión posteriores se pueden configurar para que solo requieran una notificación automática donde se le pedirá al usuario que haga clic en un botón para verificar su intento de inicio de sesión.
3. Mi número de teléfono personal se utilizará para marketing o se venderá a terceros
Para garantizar este punto, su empresa de TI debe tener una política inquebrantable contra el uso o la venta de datos de los empleados con fines que no sean de seguridad, o utilizar un proveedor de MFA externo que siga las mismas reglas. La mayoría sigue las pautas de privacidad de datos locales y nacionales, y divulga cómo utilizan los datos de los clientes.
4. MFA es demasiado nuevo y no ha sido probado
"La autenticación de dos factores no es nueva”, afirma Tony Anscombe, evangelista jefe de seguridad de ESET. "Los bancos introdujeron tarjetas de débito con números PIN -algo que usted tiene y algo que sabe- que es, por supuesto, autenticación de dos factores. Destacar esto a menudo explica el concepto de una manera que elimina la objeción”.
5. Nuestro equipo de TI ya está sobrecargado abordando problemas de mayor prioridad
El equipo de TI estará mucho más sobrecargado si un ataque de ransomware deja a todos fuera del sistema. Puede suceder más fácilmente sin MFA porque "la autenticación basada en contraseña por sí sola no es suficiente”, afirma Paul Kincaid, CISO y vicepresidente de productos de seguridad e información de SecureAuth. "Los usuarios son la mayor fuente de riesgo, y es demasiado fácil aplicar ingeniería social sobre las contraseñas para vencer la seguridad de la empresa en base a ellas”.
6. Es demasiado complicado configurar MFA
Esta excusa puede provenir de usuarios, gerentes o TI, y aunque pudo haber sido el caso en el pasado, ahora no es cierto. "2FA/MFA pasó de ser una característica oculta que requería navegar por varios pasos, a ser una parte clave del proceso de incorporación, a menudo habilitado con el clic de un botón”, señala Goldsmid. "Aunque en el pasado la 2FA/MFA parecía un proceso más complicado, la mayoría de las aplicaciones y páginas web ahora incorporan APIs que brindan un botón con una pregunta: '¿Le gustaría habilitar la autenticación automática, una contraseña basada en el tiempo, válida solo en un momento específico (TOTP, por sus siglas en inglés), verificación de correo electrónico, verificación de SMS, etc.?'”.
7. La solución MFA no es compatible con nuestras aplicaciones previas
Si bien eso podría haber sido cierto en el pasado, la mayoría de las soluciones MFA actuales son más capaces de trabajar con sistemas anteriores. "El panorama tecnológico ha cambiado y ahora existen múltiples soluciones para ese desafío, algunas de las cuales podrían ni siquiera requerir cambios en las aplicaciones anteriores”, afirma Kincaid. "La orquestación de identidades y los factores MFA en capas/fuera de banda son opciones válidas que pueden permitir a las organizaciones mitigar los riesgos de las aplicaciones previas mediante la aplicación de métodos de autenticación más sólidos”. Cualquier gasto será menor que pagar un ransomware.
8. El riesgo no es lo suficientemente alto para la inversión en MFA
Esta excusa para evitar gastar dinero asume que las realidades de la ciberseguridad no han cambiado, y lo han hecho. ¿La razón? "Debido al cambio cada vez mayor hacia las cargas de trabajo en la nube y la dinámica del trabajo desde el hogar, el perímetro de la red ya no existe como antes”, afirma Kincaid. "Proporcionar una autenticación sólida a través de MFA es fundamental para una estrategia de seguridad en capas. No incluirlo deja a la organización expuesta en caso de una amenaza interna o una infracción externa. MFA puede ayudar a mitigar el daño causado por el atacante”.
9. No sé lo suficiente sobre lo que es MFA para sentirme cómodo usándolo
No hay problema, me complace explicarle MFA en términos simples y directos. ¡Entonces se sentirá cómodo! "Educar a los consumidores sobre la importancia de los métodos de seguridad nuevos y efectivos es fundamental”, agrega Goldsmid. "Es responsabilidad de todas las organizaciones, ya que la confianza del cliente y la privacidad de los datos se vuelven problemas cada vez más comunes, tanto para los consumidores como para los órganos del gobierno”.
10. No necesito más seguridad, no tengo nada que valga la pena robar
Se podría perdonar a los CISOs exasperados por responder a esta excusa afirmando: "¿En serio? ¡Dame todos los números de tus tarjetas de crédito y PIN, y averigüémoslo con seguridad!”
Esta es una excusa poco convincente, que enmascara un esfuerzo igualmente poco convincente para evitar el MFA. Sin embargo, la respuesta profesional a esta evasión verbal es replicar: "cada consumidor es un objetivo potencial de un ataque, ya que cada parte de la información de identificación personal [PII, por sus siglas en inglés] es valiosa para los actores maliciosos”, afirma Goldsmid. "Incluso si cree que no tiene nada que valga la pena robar, los actores malintencionados se dirigen a dispositivos domésticos inteligentes, cuentas bancarias individuales y, en última instancia, cualquier cuenta que tenga información personal puede usarse en actividades fraudulentas”.
"Los consumidores no necesitan ir muy lejos para encontrar evidencia de este panorama de amenazas de 'cualquiera es un objetivo'. Equifax, Marriott y Facebook son solo algunos ejemplos de ataques recientes dirigidos a consumidores cotidianos”, agrega Goldsmid. "Afortunadamente, existe una manera fácil de combatir estos ataques, y es simplemente configurar 2FA”.
Basado en el artículo de James Careless (CSO) y editado por CIO Perú
Puede ver también: