• Diego Espitia: Autenticación de dos factores, medida para proteger la información

    16 de marzo del 2022
    Reproducir:

    Por: Diego Samuel Espitia,

    image_pdfimage_print

    En nuestros días tener la garantía de que nadie tiene acceso a tus servicios en Internet es una necesidad que se valora más. Sin embargo, las cifras de ataques cibernéticos evidencian que esto no siempre se tiene asegurado, sobre todo en lo que respecta a herramientas de comunicación como el correo electrónico que utilizamos diariamente y que contiene información sensible propia y de terceros.

     

    El correo electrónico es la principal arma de ataque de los grupos de delincuentes, donde el 94% del malware que se envía en un día, utiliza este mecanismo para propagarse y generar perdidas muy importantes en las empresas, como lo demuestra el estudio de IC3 (Internet Complaint Center) en el 2020. Los ataques de BEC (Business Email Compromise) y EAC (Email Account Compromise) generaron pérdidas por $1800 millones de dólares en el 2020.

     

    El estudio de GreatHorn en el 2021 también evidencia un crecimiento en ataques que tienen como objetivo comprometer las cuentas, pasando del 8% de los incidentes en el 2020 al 10% en el 2021.

     

    Esta situación conllevó a que Google, una de las empresas más grandes de tecnología, publicar oficialmente que el futuro de su plataforma sería sin contraseñas en mayo del 2021. Con esta comunicación, la empresa hizo un cambio en la plataforma forzando a los usuarios a usar el 2FA (Doble Factor de Autenticación), una iniciativa similar se promueve en Telefónica desde 2016.

     

    Esta medida ha mostrado frutos en menos de un año, como lo ha demostrado Google en su blog oficial a propósito del Día del Internet Seguro , indicando que las cuentas comprometidas en ataques cibernéticos se redujeron en un 50% tras la aplicación de esta medida simple.

     

    Como siempre en seguridad nada ni nadie puede garantizar que no se pueda comprometer las cuentas que tienen habilitado el 2FA, incluso se han publicado hasta 5 métodos de romper la seguridad de esta medida, donde uno de ellos afecta directamente el control más robusto que ofrece Google, que son las llaves seguridad titan.

     

    A pesar de esto, la medida mitiga casi en su totalidad los ataques directos a las cuentas de correos empresariales, los cuales no solo se ven afectados por intentos de phishing sino por las fugas de información, aumentando la probabilidad de que la contraseña sea comprometida y usada en ataques más dañinos para las empresas como el Ransomware.

     

    Cabe resaltar que, el uso del 2FA se puede aplicar en casi todos los servicios que usamos en internet, como las redes sociales, correos electrónicos, billeteras de criptomonedas, plataformas de pago y otros. Además, existen varias formas de utilizar esta medida, como en las siguientes:

     

    • Los SMS: Este es el método usado por varios servicios, pero es el menos seguro de los sistemas de 2FA, porque los SMS no fueron diseñados para autenticar al usuario, sino que se asocia con el identificador del móvil y es muy factible a ataques de SIM Swap.

     

    • El correo electrónico: Este método es muy útil para servicios a los que se accede desde un dispositivo diferente a donde se tiene el correo, con el fin de agilizar la carga de código enviado. Aunque es más confiable hay que tener en cuenta que los ataques de terceras partes suelen acceder a correo para obtener estos códigos.

     

    • Aplicación de Autenticación: Al basarse en un protocolo y garantizar la autenticación del usuario al acceder al dispositivo, es uno de los mecanismos más seguros en sus formas de TOTP (Time based One Time Password) y en HOTP (Hash based One Time Password) y existen varias aplicaciones móviles que pueden usar para esto, como LATCH e integrar en estas todas las cuentas de servicios en Internet.

     

    • Llaves Físicas: Sin duda es el mecanismo más seguro pues si no se coloca el hardware en el equipo donde se va a usar el servicio, no es posible acceder a los servicios.

     

    Sin duda cualquiera de los métodos que se use, sirve para mejorar la seguridad de todos los servicios en línea a los que se esté inscrito y permite mitigar los ataques empresariales.

     

    Telefónica Tech es la empresa líder en transformación digital. La compañía ofrece una amplia gama de servicios y soluciones tecnológicas integradas en Ciberseguridad, Cloud, IoT, Big Data y Blockchain. Para más información, visite: https://tech.telefonica.com/. En Perú, Telefónica Tech ofrece sus servicios y capacidades a través de Movistar Empresas.

     

    No hay imágenes cargadas en la galería, por favor desactivar la opción de galeria.

    ESTUDIOS

    EMPRESA

    EXPERIENCIA LABORAL

Entradas Recientes

Elon Musk: Conoce cómo se cargarán a futuro los vehículos eléctricos

Elon Musk, a través de su compañía Tesla, presentó un innovador sistema de carga inductiva diseñado para vehículos eléctricos, que funcionará sin cables. Uno de los automóviles que se beneficiarán será el recientemente anunciado Robotaxi, el cual utilizará esta tecnología. Gracias a ella, la carga inalámbrica permitirá un estacionamiento automatizado y la recarga se realizará […]

Seguridad y salud en el trabajo: Aplicativo Elssa

Conforme lo señalan los artículos 29 y 30 de la Ley N.° 29783 – Ley de Seguridad y Salud en el Trabajo, las empresas que cuenten con 20 o más empleados tienen la obligación de constituir un Comité de Seguridad y Salud en el Trabajo (SST). Mientras, que las que tengan menos del referido número […]

Artículos relacionados

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MAPFRE  hASTA 08/06/2023
Suscríbete Contáctanos