El Grupo P&A es una firma de beneficios a empleados que ayuda a los empleadores a gestionar las cuentas de retiro de los empleados, programas de gastos flexibles y 401K de datos. Para P&A, proteger los datos de los empleados de sus clientes es una misión crítica, y añadir la autenticación de doble factor fue una necesidad.

“Tenemos 2 millones de participantes y si alguien toma nuestra base de datos de clientes, eso significa el fin del negocio”, expresa Greg Zillox, director de servicios informáticos del Grupo P&A. La compañía estaba consciente de las múltiples amenazas actuales y la intención era tomar medidas para evitar una violación de datos.

Se suma a esa complejidad que muchos de los empleados de P&A trabajan de forma remota. “Tenemos muchísima gente en el terreno y muchos que trabajan de forma remota y todos emplean diferentes dispositivos para conectarse a la VPN”, explica Zillox.

Con las violaciones rampantes y los hackers siempre tratando de encontrar una forma de penetrar, Zillox tiene preocupaciones. “Si eres un empleado de ventas o de informática que trabajas de forma remota y te entra un programa keylogger ¿qué haces?”, pregunta. “Los hackers podrían acceder a nuestro sistema y navegar por la base de datos”.

Las conversaciones con el proveedor de recuperación de desastres de P&A hicieron que la compañía pasara a la autenticación de doble factor y al código de seguridad SMS Passcode, explica Zillox. Después que un empleado ingresa un nombre de usuario y una contraseña en la VPN, el sistema de código de seguridad SMS envía al dispositivo móvil del empleado un código de cinco dígitos. Si el empleado no ingresa dicho código en un plazo de 45 segundos, se le envía un correo electrónico con el código para el caso de que no tenga el móvil.

Algunos se quejan de que esos mensajes de texto y soluciones de códigos en base a emails no son infalibles. Los números de los móviles pueden ser falseados, los mensajes de texto redireccionados, y los keyloggers pueden capturar los códigos para usarlos en ganar acceso.

P&A conoce esas preocupaciones y ejecutó su propia prueba para ver si esto era posible. Empleando dos diferentes laptops, dos personas diferentes trataron de conectarse con el mismo nombre de usuario, contraseña y código, pero solo el individuo que inició la sesión fue el que pudo lograr acceso, señala Zillox. SMS Passcode vincula cada código de autenticación de doble factor a una identificación única de sesión, de modo que incluso si alguien más tiene todos los datos correctos, no podrá obtener el acceso.

P&A aloja el sistema completo SMS Passcode en sus instalaciones, explica Zillox. Debido a la sensibilidad de los datos que guarda, la compañía no ha querido externalizar ninguno de los sistemas.

Por más de un año la compañía ha estado utilizando el sistema de autenticación de doble factor con 55 empleados sin ningún problema, señala Zillox. En el futuro lo utilizarán para restablecimiento de contraseñas de modo que los empleados no necesiten contactar al departamento de informática si olvidan una contraseña.

SMS Passcode tiene más de 10,000 clientes en todo el mundo, dice Henrik Jeberg, director general de la compañía. Aunque el Grupo P&A Group optó por alojar su propio sistema, SMS Passcode puede proporcionar también una solución de nube.

Los servicios financieros constituyen el segmento que más rápidamente se desplaza hacia la autenticación multifactor, seguido por atención de salud, servicios profesionales y gobiernos locales, explica Jeberg.

A menudo el interés procede de las organizaciones que tienen muchos empleados en el camino. “Básicamente cualquier cosa que tenga que ver con acceso remoto, muchas VPN y acceso a servicios en nube”, señala.