Modernización de la seguridad de la identidad más allá de la MFA

Durante los últimos 20 años, la autenticación multifactor (MFA) se ha considerado el estándar de oro para reemplazar las contraseñas y lograr una autenticación robusta. Si bien los códigos de acceso de un solo uso (OTP), los tokens de hardware y las notificaciones push han mejorado la protección contra ataques basados en la identidad, la MFA ya no ofrece una seguridad infalible.

El phishing, la ingeniería social y los ataques de intermediario siguen eludiendo la MFA. Mientras tanto, los usuarios se enfrentan a una experiencia de autenticación cada vez más frustrante. Es evidente que la MFA ha pasado su mejor momento. Varios factores han contribuido a su declive.

En primer lugar, muchas implementaciones de MFA, como las contraseñas de un solo uso (OTP) para SMS y los códigos de correo electrónico, son vulnerables a la interceptación. Los atacantes aprovechan técnicas de intercambio de SIM o ataques de adversario en el intermediario (AitM) para robar credenciales de autenticación. Incluso las notificaciones push se han convertido en blanco de ataques de fatiga de MFA, donde los usuarios, sin saberlo, aprueban intentos de inicio de sesión fraudulentos.

En segundo lugar, los métodos de autenticación basados en hardware, como YubiKeys, ofrecen una sólida protección contra el phishing, pero presentan problemas de usabilidad. Los usuarios suelen perder sus dispositivos, la distribución requiere coordinación logística y las demandas de soporte de TI aumentan cuando los empleados trabajan de forma remota o con varios dispositivos. Si bien las soluciones de identidad federada facilitan el acceso mediante el inicio de sesión único (SSO), aún dependen de autoridades centrales, lo que crea posibles puntos de fallo y plantea problemas de privacidad cuando terceros gestionan la autenticación.

Finalmente, una falla importante en los sistemas de identidad tradicionales es la frecuente necesidad de reautenticarse. Los empleados que acceden a diversas aplicaciones empresariales a menudo tienen que volver a ingresar sus credenciales, cambiar entre aplicaciones de autenticación y administrar múltiples tokens de seguridad. Estas interrupciones interrumpen los flujos de trabajo y aumentan la frustración, lo que finalmente lleva a los usuarios a buscar soluciones alternativas que introducen nuevos riesgos y vulnerabilidades.

Mientras tanto, el uso de inteligencia artificial por parte de estafadores para cometer fraudes de suplantación de identidad ha suscitado nuevas preocupaciones sobre las prácticas manuales obsoletas de contratación e incorporación. ¿Son las personas entrevistadas, evaluadas y que se presentan al trabajo realmente la misma persona? ¿Representan realmente quiénes dicen ser? Los sistemas de identidad tradicionales no fueron diseñados para abordar estas preguntas emergentes, lo que los deja mal preparados para el panorama de amenazas actual.

Principios clave de la autenticación de próxima generación.

La siguiente fase de la seguridad de la identidad debe centrarse en la autenticación resistente al phishing, el acceso sin interrupciones y la gestión descentralizada de la identidad. El principio clave que guía esta transformación es la resistencia al phishing por diseño. La adopción de los estándares FIDO2 y WebAuthn permite la autenticación sin contraseña mediante pares de claves criptográficas. Dado que la clave privada nunca sale del dispositivo del usuario, los atacantes no pueden interceptarla. Estos métodos eliminan el eslabón más débil —el error humano— al garantizar que la autenticación se mantenga segura incluso si los usuarios interactúan sin saberlo con enlaces maliciosos o campañas de phishing.

Mientras que los modelos de identidad tradicionales se basan en repositorios centrales que almacenan credenciales confidenciales de usuario, las alternativas gestionadas por el usuario, como las billeteras de identidad, ofrecen un enfoque más seguro. Las billeteras también permiten a las personas controlar sus propias credenciales.

Al aprovechar las credenciales verificadas basadas en blockchain (credenciales firmadas digitalmente y a prueba de manipulaciones, emitidas por una entidad confiable), las billeteras permiten a los usuarios autenticarse de forma segura en múltiples recursos sin exponer sus datos personales a terceros. Estas credenciales pueden incluir comprobantes de identidad, como documentos de identidad emitidos por el gobierno, verificación de empleo o certificaciones, que permiten una autenticación robusta. Su uso para la autenticación reduce el riesgo de robo de identidad y mejora la privacidad.

La autenticación moderna debe permitir a los usuarios registrarse una sola vez y reutilizar sus credenciales sin problemas en todos los servicios. Este concepto reduce los procesos de incorporación redundantes y minimiza la necesidad de múltiples métodos de autenticación. Las empresas pueden implementar identidades digitales reutilizables que funcionen en diferentes plataformas sin necesidad de registrarse constantemente.

Permitir identidades reutilizables de esta manera también ayuda a abordar los problemas emergentes de cumplimiento normativo y confianza relacionados con la suplantación de identidad mediante IA. Métricas tradicionales como la eficiencia del reclutador, la calidad de la contratación, el tiempo de contratación y el coste por contratación siguen siendo preocupaciones acuciantes, que se complican aún más por el uso de identidades sintéticas y robadas por parte de estafadores e incluso actores de amenazas patrocinados por estados-nación.

Por último, la autenticación debe ser adaptativa y continua, en lugar de depender de eventos de inicio de sesión estáticos. Al integrar análisis de comportamiento, telemetría de dispositivos y evaluaciones de riesgos basadas en IA, las organizaciones pueden ajustar dinámicamente las medidas de seguridad en respuesta al análisis de amenazas en tiempo real. Un usuario que accede a un sistema interno desde un dispositivo conocido en una ubicación conocida podría no necesitar autenticación adicional, mientras que un intento de acceso desde una ubicación sospechosa activaría una verificación reforzada.

La autenticación biométrica con detección de vida mejora significativamente la seguridad al garantizar que solo un usuario real y presente pueda completar el proceso de autenticación, lo que previene ataques de suplantación de identidad que utilizan fotos, videos o máscaras deepfake. A diferencia de los sistemas biométricos tradicionales, la detección de vida verifica activamente indicadores como el movimiento, la textura o la respuesta para confirmar la presencia física del usuario, lo que dificulta enormemente su evasión por parte de los atacantes.

Implementación de una identidad a prueba de futuro.

Modernizar la identidad conlleva desafíos. Muchas organizaciones tienen dificultades para integrar nuevos métodos de autenticación en sus sistemas heredados, superar la resistencia de los usuarios al cambio y lograr un equilibrio entre seguridad y facilidad de uso. Esta transición exige una planificación minuciosa, la aceptación de las partes interesadas y la inversión en tecnologías que respalden la autenticación descentralizada y adaptativa.

Un enfoque gradual, comenzando con casos de uso de alto riesgo, puede facilitar la adopción y minimizar las interrupciones. Una comunicación clara, la formación del usuario y una integración fluida con los flujos de trabajo existentes son esenciales para garantizar una transición fluida.

Las organizaciones que buscan pasar de modelos de autenticación obsoletos a un marco de identidad moderno y fácil de usar deben considerar estas mejores prácticas:

Elimine los factores de autenticación susceptibles de phishing reemplazando los OTP de SMS y la MFA basada en push con métodos sin contraseña, como credenciales vinculadas al dispositivo, claves de acceso y autenticación biométrica.

Adopte identidades digitales reutilizables para reducir la fricción en la incorporación y la autenticación redundantes. Este enfoque permitirá a los usuarios verificar su identidad una sola vez y usarla sin problemas en múltiples servicios.

Integre la autenticación continua utilizando análisis de comportamiento impulsados por IA, evaluaciones de confianza del dispositivo y autenticación basada en riesgos para ajustar los requisitos de seguridad en tiempo real de forma dinámica.

Garantice el cumplimiento de los estándares de seguridad alineando las estrategias de autenticación con las pautas MFA resistentes al phishing del NIST, los protocolos de FIDO Alliance y los principios de Confianza Cero.

Incorpore autenticación biométrica con detección de vida para fortalecer la verificación de identidad y prevenir ataques de presentación, garantizando que solo los usuarios reales puedan obtener acceso.

Ir más allá de la autenticación multifactor (MFA) no es solo una actualización, sino un replanteamiento fundamental de la seguridad de la identidad. Las organizaciones deben diseñar sistemas que mejoren la seguridad sin comprometer la usabilidad, donde la autenticación sea fluida, adaptable y resistente a la manipulación.

El desafío radica en la ejecución, que implica migrar de las limitaciones heredadas, invertir en los marcos adecuados y brindar soporte a los usuarios durante la transición. Modernizar la identidad proporciona, en última instancia, una ventaja competitiva al fomentar la confianza, optimizar los flujos de trabajo y garantizar el cumplimiento de las normativas de privacidad y seguridad.

También podría gustarte

Apple podría estar trabajando en un producto similar a ChatGPT mientras intenta alcanzar a sus rivales en IA

DeepSeek personalizará su chatbot para usuarios italianos tras una investigación

Conozca los nuevos unicornios europeos de 2026