Dovell Bonnett, CAC – Ciberseguridad para el propietario del negocio

Durante años he sostenido muchas discusiones acaloradas con diferentes compañías de seguridad y jefes de seguridad informática en cuanto a que un código adicional para inicio de sesión desde el teléfono o por mensaje instantáneo no es una verdadera autenticación de dos factores. He aquí por qué, he aquí mi demostración.

La autenticación siempre se ve desde la perspectiva del inicio de sesión por parte de los guardianes del acceso o del software de la computadora. Esos gatekeepers quieren saber si usted tiene en su posesión los múltiples identificadores que se requieren para obtener acceso. Muchas personas erróneamente consideran la autenticación multifactor desde la perspectiva del usuario en cuanto a la cantidad de elementos que deben presentar.

Actualmente existen tres factores o formas de identificación: algo que tienes, una tarjeta; algo que conoces, una contraseña o PIN; y algo que eres, una huella digital. Presentar uno de esos factores es lo que se llama autenticación de un solo factor y en el mundo actual se considera como una autenticación muy débil. Como comentario adicional, se está debatiendo un nuevo factor: algo que eres. Se utiliza el GPS de su teléfono inteligente para determinar la localización y si esa localización concuerda con sus hábitos de desplazamiento. Francamente, yo encuentro que esa forma de identificación es desconcertante por el hecho de que rastrea los movimientos de uno. Pero eso es tema para otro tipo de discusión.

Por definición, en la autenticación multifactor usted debe presentar dos o más factores disímiles, como tarjeta y PIN, tarjeta y huella digital, PIN y huella digital, o tarjeta, PIN y huella digital. Dos es más fuerte que uno, pero tres es incluso mejor.

Ingresar una contraseña y después un PIN de texto es una respuesta know-know. Eso es porque el usuario le está presentando al gatekeeper dos cosas que la persona conoce. El gatekeeper nunca autentica el teléfono, y los teléfonos pueden ser clonados o los mensajes pueden ser interceptados. El reconocimiento facial y de huellas digitales son dos reconocimientos “eres-eres” (are-are). Una tarjeta de membresía y una tarjeta de crédito es “tienes-tienes” (have-have). Por lo menos, si se usa una licencia de conducir con una foto, tienen el “eres” por parte de la foto. Todos estos son ejemplos de autenticación de doble-único factor.

Demostración: Entretanto, se ha detectado malware en Android que es capaz de derrotar la autenticación de doble factor mediante el reenvío de llamadas de voz que contienen códigos de seguridad de un solo uso que normalmente serían recibidos por usuarios autorizados, reportó Dinesh Venkatesan, ingeniero principal de análisis de amenazas de Symantec.

Venkatesan informó el pasado año que el malware en Android — detectado primero en 2014 y conocido como Android.Bankosy — había sido observado interceptando mensajes de servicio de mensajes cortos. Recientemente ese malware adicionó la capacidad de reenviar llamadas de voz porque las instituciones financieras han estado dejando de enviar los códigos de seguridad de un solo uso a través de SMS.

Aunque la habilidad de derrotar la autenticación de dos factores debe ser una preocupación, Symantec calificó el malware Android.Bankosy como “nivel de riesgo 1: muy bajo”, en parte porque tiene que ser instalado manualmente en el dispositivo de la víctima.

La autenticación de doble-único factor es más fuerte que la de un único factor, pero no tan fuerte como la verdadera autenticación de dos factores o multifactor. Con todos los ciberataques que se han producido y las regulaciones gubernamentales que recomiendan que se utilice por lo menos autenticación de dos factores, uno tiene que conocer lo que eso significa y qué hay que implementar para mantener segura la identidad y los datos.

El empleo de un PIN de texto o voz se plantea que es conveniente, pero esto es conveniencia sin seguridad, que ni es conveniente ni es segura.

Dovell Bonnett es el fundador y director general de Access Smart, LLC.