fbpx -->

¿Conoce con seguridad quién accede a su red corporativa?

En la actualidad, la utilización de contraseñas forma parte de la cotidianidad. Sin embargo, es un elemento que continua siendo vulnerable, esto debido a la limitada capacidad humana de recordar largas cadenas de caracteres. Lo que ha causado que se hayan ido creando herramientas y esquemas complementarios al uso exclusivo de contraseñas.

El uso de un identificador de usuario y una clave de acceso para autenticarnos en cualquier sistema o servicio, es un método cómodo y el estándar de facto en la actualidad, ya que únicamente necesitamos conocer ambos elementos para poder acceder al recurso que deseamos. Pero, es en esta sencillez de implementación donde radica el problema: Así como es fácil para nosotros utilizarla, también lo será para cualquiera que conozca la contraseña. Basta con que la contraseña del usuario o del servicio al que accedemos (recordemos, las dos partes implicadas en la autenticación) deje de ser secreta, para que su seguridad sea vulnerable.

Por un lado, a un usuario legítimo, un tercero malintencionado puede robarle o adivinar su clave de acceso, o simplemente ese usuario puede compartirla con otras personas. En el otro extremo, el sistema al que accedemos puede ser atacado y las claves de sus usuarios comprometidas. En este caso, el sistema afectado debería ejecutar de forma inmediata procedimientos de gestión de incidentes que incluyan notificaciones y cambios de contraseñas.

¿Qué medidas podemos utilizar para reforzar el nivel de seguridad?

Utilizar un segundo o triple factor de autenticación, término que hace referencia a la capacidad de un entorno de verificar que un usuario es quien dice ser realmente. En pocas palabras: nosotros indicamos quiénes somos, ya sea utilizando nuestra dirección de correo, nombre de usuario, etc, y el sistema comprueba nuestra identidad.

¿Cómo lo hace?

En los esquemas de autenticación se pueden distinguir 3 grandes familias:

  • Algo que sabemos: Una contraseña o un código PIN.
  • Algo que poseemos: Una tarjeta de crédito o un token.
  • Algo que somos (autenticación biométrica): Puede ser la forma de la mano o una huella dactilar.

Y aunque los dos últimos grupos, en especial la autenticación por algo que poseemos, están siendo cada vez más utilizados por los servicios a los que accedemos, es sin duda la autenticación por algo que sabemos la que es habitualmente implementada. Y no hay que ser expertos para darnos cuenta de esto, solo tenemos que pensar cómo accedemos usualmente a la mayoría de los servicios, ya sean corporativos o personales, y casi con seguridad la respuesta es: mediante nuestra clave secreta, que sólo nosotros debemos conocer.

Sin embargo, en entornos que requieren mayor protección, una contraseña de acceso no es suficiente para garantizar la seguridad de nuestra información. Es por eso, que en dichos entornos se aplican mecanismos que se basan en la combinación de dos o hasta tres factores de autenticación: algo poseído y algo conocido, algo que somos y algo que tenemos, etc. A estos mecanismos, que combinan dos o más factores de autenticación, se les denomina autenticación fuerte o robusta. Un ejemplo claro de esto es el uso personal de tarjetas en medios de pago: al sacar dinero de un cajero o al realizar una compra, en estos casos combinamos algo que conocemos (el PIN) con algo que poseemos (la tarjeta). En ámbitos corporativos, cada vez es más frecuente la utilización de Tokens (físicos o lógicos) con códigos aleatorios que caducan en un breve periodo de tiempo.

En estos momentos, donde se ha dado un gran crecimiento en la utilización de la modalidad de trabajo remoto, es fundamental para las organizaciones poder asegurar la identidad de quienes se conectan a una VPN o a un sistema corporativo.

Para dar respuesta a este requerimiento, en Security Advisor le ofrecemos servicios de consultoría que le permitirán definir la solución que mejor se adecua a sus necesidades, así como acuerdos con los principales fabricantes de autenticación multi-factor. Para conocer más comuníquese con nosotros y le ayudaremos a implementar la mejor solución para su organización.

Fuente: INCIBE

Contáctenos