Modernización de la seguridad de la identidad más allá de la MFA

Durante los últimos 20 años, la autenticación multifactor (MFA) se ha considerado el estándar de oro para reemplazar las contraseñas y lograr una autenticación robusta. Si bien los códigos de un solo uso (OTP), los tokens de hardware y las notificaciones push han mejorado la protección contra ataques basados en la identidad, la MFA ya no ofrece una seguridad férrea.

El phishing, la ingeniería social y los ataques de intermediario (man-in-the-middle) siguen eludiendo la MFA. Mientras tanto, los usuarios se enfrentan a una experiencia de autenticación cada vez más frustrante. Claramente, la MFA ha pasado su mejor momento. Varios factores han contribuido a su declive.

En primer lugar, muchas implementaciones de MFA, como los OTP por SMS y los códigos de correo electrónico, son vulnerables a la interceptación. Los atacantes aprovechan técnicas de intercambio de SIM o ataques de adversario en el intermediario (AitM) para robar credenciales de autenticación. Incluso las notificaciones push se han convertido en blanco de ataques de fatiga de MFA, donde los usuarios, sin saberlo, aprueban intentos de inicio de sesión fraudulentos.

En segundo lugar, los métodos de autenticación basados en hardware como YubiKeys ofrecen una sólida protección contra el phishing, pero presentan problemas de usabilidad. Los usuarios suelen extraviar sus dispositivos, la distribución requiere coordinación logística y las demandas de soporte de TI aumentan cuando los empleados trabajan de forma remota o con múltiples dispositivos. Si bien las soluciones de identidad federada facilitan el acceso mediante el inicio de sesión único (SSO), aún dependen de autoridades centrales, lo que crea posibles puntos de fallo y plantea problemas de privacidad cuando terceros gestionan la autenticación.

Finalmente, una falla importante en los sistemas de identidad tradicionales es la frecuente necesidad de reautenticarse. Los empleados que acceden a diversas aplicaciones empresariales a menudo tienen que volver a introducir sus credenciales, cambiar entre aplicaciones de autenticación y administrar múltiples tokens de seguridad. Estas interrupciones interrumpen los flujos de trabajo y aumentan la frustración, lo que finalmente lleva a los usuarios a buscar soluciones alternativas que introducen nuevos riesgos y vulnerabilidades.

Mientras tanto, el uso de inteligencia artificial por parte de estafadores para cometer fraudes de suplantación de identidad ha suscitado nuevas preocupaciones sobre las prácticas obsoletas de contratación e incorporación manual. ¿Son las personas que son entrevistadas, realizan evaluaciones y se presentan al trabajo realmente la misma persona?. ¿Representan realmente quiénes dicen ser?. Los sistemas de identidad tradicionales no fueron diseñados para abordar estas preguntas emergentes, lo que los deja mal preparados para el panorama de amenazas actual.

Principios Clave de la Autenticación de Próxima Generación.

La siguiente fase de la seguridad de la identidad debe centrarse en la autenticación resistente al phishing, el acceso sin interrupciones y la gestión descentralizada de la identidad. El principio clave que guía esta transformación es la resistencia al phishing por diseño. La adopción de los estándares FIDO2 y WebAuthn permite la autenticación sin contraseña mediante pares de claves criptográficas. Dado que la clave privada nunca sale del dispositivo del usuario, los atacantes no pueden interceptarla. Estos métodos eliminan el eslabón más débil —el error humano— al garantizar que la autenticación se mantenga segura incluso si los usuarios interactúan sin saberlo con enlaces maliciosos o campañas de phishing.

Mientras que los modelos de identidad tradicionales se basan en repositorios centrales que almacenan credenciales de usuario confidenciales, las alternativas gestionadas por el usuario, como los monederos de identidad, ofrecen un enfoque más seguro. Los monederos también permiten a las personas controlar sus propias credenciales.

Al aprovechar las credenciales verificadas basadas en blockchain (credenciales firmadas digitalmente y a prueba de manipulaciones emitidas por una entidad de confianza), los monederos permiten a los usuarios autenticarse de forma segura en múltiples recursos sin exponer sus datos personales a terceros. Estas credenciales pueden incluir comprobantes de identidad, como documentos de identidad oficiales, verificación de empleo o certificaciones, que permiten una autenticación robusta. Su uso reduce el riesgo de robo de identidad y mejora la privacidad.

La autenticación moderna debe permitir a los usuarios registrarse una sola vez y reutilizar sus credenciales sin problemas en todos los servicios. Este concepto reduce la redundancia en los procesos de incorporación y minimiza la necesidad de múltiples métodos de autenticación. Las empresas pueden implementar identidades digitales reutilizables que funcionen en diferentes plataformas sin necesidad de volver a registrarse constantemente.

Permitir identidades reutilizables de esta manera también ayuda a abordar los problemas emergentes de cumplimiento normativo y confianza relacionados con la suplantación de identidad habilitada por IA. Métricas tradicionales como la eficiencia del reclutador, la calidad de la contratación, el tiempo de contratación y el coste por contratación siguen siendo preocupaciones acuciantes, que se complican aún más por los estafadores e incluso los actores de amenazas patrocinados por estados-nación que utilizan identidades sintéticas y robadas.

Por último, la autenticación debe ser adaptativa y continua, en lugar de depender de eventos de inicio de sesión estáticos. Al integrar análisis de comportamiento, telemetría de dispositivos y evaluaciones de riesgos basadas en IA, las organizaciones pueden ajustar dinámicamente las medidas de seguridad en respuesta al análisis de amenazas en tiempo real. Un usuario que accede a un sistema interno desde un dispositivo conocido en una ubicación conocida podría no necesitar autenticación adicional, mientras que un intento de acceso desde una ubicación sospechosa activaría una verificación reforzada.

La autenticación biométrica con detección de vida mejora significativamente la seguridad al garantizar que solo un usuario real y presente pueda completar el proceso de autenticación, lo que previene ataques de suplantación de identidad que utilizan fotos, videos o máscaras deepfake. A diferencia de los sistemas biométricos tradicionales, la detección de vida verifica activamente indicadores como el movimiento, la textura o la respuesta para confirmar la presencia física del usuario, lo que dificulta enormemente su evasión por parte de los atacantes.

Implementación de una identidad a prueba de futuro.

Modernizar la identidad conlleva desafíos. Muchas organizaciones tienen dificultades para integrar nuevos métodos de autenticación en sus sistemas heredados, superar la resistencia de los usuarios al cambio y lograr un equilibrio entre seguridad y facilidad de uso. Esta transición exige una planificación cuidadosa, la aceptación de las partes interesadas y la inversión en tecnologías que respalden la autenticación descentralizada y adaptativa.

Un enfoque por fases, comenzando con casos de uso de alto riesgo, puede facilitar la adopción y minimizar las interrupciones. Una comunicación clara, la formación del usuario y una integración fluida con los flujos de trabajo existentes son esenciales para garantizar una transición fluida.

Las organizaciones que buscan la transición de modelos de autenticación obsoletos a un marco de identidad moderno y fácil de usar deben considerar estas prácticas recomendadas:

Eliminar los factores de autenticación susceptibles de phishing reemplazando las contraseñas de un solo uso (OTP) por SMS y la autenticación multifactor (MFA) basada en notificaciones push por métodos sin contraseña, como credenciales vinculadas al dispositivo, claves de acceso y autenticación biométrica.

Adoptar identidades digitales reutilizables para reducir la incorporación redundante y la fricción en la autenticación. Este enfoque permitirá a los usuarios verificar su identidad una sola vez y usarla sin problemas en múltiples servicios.

Integre la autenticación continua mediante análisis de comportamiento basados en IA, evaluaciones de confianza de dispositivos y autenticación basada en riesgos para ajustar los requisitos de seguridad de forma dinámica y en tiempo real.

Garantice el cumplimiento de los estándares de seguridad alineando las estrategias de autenticación con las directrices de autenticación multifactor (MFA) resistentes al phishing del NIST, los protocolos de la Alianza FIDO y los principios de Confianza Cero.

Incorpore la autenticación biométrica con detección de vida para reforzar la verificación de identidad y prevenir ataques de presentación, garantizando así que solo los usuarios reales puedan acceder.

Ir más allá de la MFA no es solo una actualización, sino un replanteamiento fundamental de la seguridad de la identidad. Las organizaciones deben diseñar sistemas que mejoren la seguridad sin comprometer la usabilidad, donde la autenticación sea fluida, adaptable y resistente a la manipulación.

El reto reside en la ejecución, que implica migrar desde las limitaciones heredadas, invertir en los marcos adecuados y dar soporte a los usuarios durante la transición. Modernizar la identidad proporciona, en última instancia, una ventaja competitiva al fomentar la confianza, optimizar los flujos de trabajo y garantizar el cumplimiento de las normativas de privacidad y seguridad.

También podría gustarte

Reunión de analistas de HPE 2025: ¿Estrategia audaz o ambición familiar?

La startup de chips de IA d-Matrix aspira a escalar en rack con tarjetas de E/S JetStream

La Alianza pide que la Universidad Cibernética frene la ola de ataques de los Estados-nación