CALVINDEXTER/GETTY IMAGES

Todos conocemos los básicos del cibercrimen: correos electrónicos de phishing con enlaces y archivos adjuntos maliciosos y las llamadas telefónicas desde centros de soporte falsos para hacerse con el control de su ordenador. Pero las estafas del mundo digital se vuelven cada vez más y más sofisticadas. En uno de los últimos casos, los hackers robaron números de teléfono móvil para vaciar cuentas de criptomonedas como Bitcoin. ¿Cómo? Los delincuentes cibernéticos han identificado una debilidad en la forma en la que utilizamos nuestros teléfonos para autenticar nuestra identidad en los servicios de telefonía móvil y otras cuentas en línea. Están explotando esta debilidad para robar todo a lo que le puedan echar el guante. Y todo se remonta a la autenticación de dos factores o autenticación en dos pasos (A2F).

Si usted ha habilitado algún sistema de A2F en Twitter, Facebook y Google probablemente haya recibido una contraseña de un solo uso a través de un mensaje de texto SMS para iniciar sesión y realizar cambios en la cuenta. Muchas carteras y servicios de criptomonedas digitales también usan los SMS como una segunda forma de autenticación junto a la contraseña del usuario para acceder a su cuenta. No obstante, con los últimos secuestros de teléfonos móviles a lo que se ataca es al propio número de teléfono como método de comunicación.

El objetivo final de estos ataques es portar el número de teléfono de una persona a un teléfono o tarjeta SIM de prepago que no pueda rastrearse. Una vez que el atacante puede recibir los SMS de su objetivo, ya puede aprovecharse de ese útil enlace de "¿Olvidó su contraseña?", hacerse pasar por la víctima y acceder a sus servicios.

Las contraseñas de un solo uso, ya sea a través de SMS o correo electrónico, a menudo son la primera forma de A2F que las compañías adoptan para mejorar sus medidas de seguridad. Aunque los nuevos ataques móviles son una amenaza creciente para el método, todavía se valoran sus beneficios. En los últimos robos de criptomonedas, por ejemplo, podría argumentarse que la autenticación vía SMS se convirtió más en un vector del ataque que en una verdadera medida de seguridad.

Entonces, ¿cómo protegemos nuestra información? ¿No tendría más sentido que pudiéramos hacer que el proceso de autenticación fuera más inteligente y consciente del riesgo? Una forma de avanzar sería usar notificaciones push para vincular una identidad a un dispositivo en lugar de a un número de teléfono. Las aplicaciones de autenticación son un buen lugar para comenzar con este tipo de funcionalidad (Divulgación: IBM Verify, ofrecido por mi empresa, es una de ellas).

Nuevas defensas para nuevos ataques

Si bien las notificaciones push pueden ser una solución para este problema concreto, la gran solución para las empresas pasa por comprender mejor cada punto o momento de autenticación dentro de su entorno de seguridad. Las empresas grandes, pequeñas y medianas deberían considerar el uso de soluciones de gestión y acceso a la identidad para permitir el acceso a recursos y aplicaciones, ya sea en la nube, en sus propias instalaciones o en una nube híbrida. Las soluciones modernas gestionan las entradas y salidas de los usuarios, los certificados de acceso y la separación de responsabilidades para ayudar a las organizaciones a cumplir con normas como la GDPR y la PSD2.

Las empresas que analizan en detalle sus factores de riesgo suelen recurrir a la solución más sólida posible: la autenticación de múltiples factores. La mayoría de las instituciones financieras más grandes han adoptado este enfoque estratificado para comprobar la identidad de sus acesos en varios puntos a lo largo de la experiencia del usuario. Por ejemplo, el usuario proporciona un PIN, una contraseña o una huella digital para iniciar sesión en una aplicación de banca móvil, pero si el sistema detecta factores de riesgo adicionales, es posible que pida también otras formas de autenticación. Por ejemplo, si el dispositivo móvil del usuario revela que éste se encuentra fuera de los lugares habituales de su rutina, el sistema podría identificar la sesión como un posible fraude y lanzar el siguiente desafío, la siguiente autenticación, para el usuario a fin de asegurar que su identidad es la correcta.

La otra capa de seguridad que se implementa para autentificar identidades es el análisis del comportamiento, el cual se utiliza para complementar la autenticación de múltiples factores, también conocida como AMF. Esto permite que los equipos de seguridad aumenten o disminuyan el nivel de seguridad requerida en función no solo del valor de los datos o la transacción, sino también de los riesgos de seguridad presentados durante toda la sesión. En situaciones en las que se determina que el riesgo es bajo y la experiencia del usuario es primordial, se pueden suprimir factores de autenticación adicionales si no se detecta una actividad anormal, lo que reduce las barreras para completar una transacción.

Todas estas mejoras de seguridad móvil apuntan al uso del propio dispositivo para la autenticación, no a un número de teléfono fácilmente transferible o un mensaje que pueda ser interceptado por un malware móvil. Cada nivel de defensa cuenta, pero como muestran los secuestros de teléfonos, las medidas de autenticación solo funcionan si no son el eslabón débil. Ningún método único de autenticación será adecuado siempre para cada situación. Más temprano que tarde, las empresas deberían adoptar un enfoque basado en el riesgo que utilice la autenticación de múltiples factores y tenga en cuenta la ubicación, el análisis del comportamiento y muchos otros indicadores de identidad.