Si para ingresar al sitio web de su banco escribe la contraseña y debe digitar un código que recibe en su celular es porque se está utilizando un factor de doble autenticación.
“En el mundo se identificó que solo un factor (la contraseña) no es suficiente, porque la pueden identificar y utilizar”, dijo el informático costarricense Manrique Feoli, CEO de Hound Software.
La firma con sede en Boston, Massachusetts, desarrolló un sistema para generar doble factor de autenticación (A2F) que podrían utilizar desde grandes a pequeñas empresas. Ante la emergencia por los hackeos de Conti en Costa Rica de estas últimas semanas a instituciones públicas, recibieron solicitudes de empresas locales.
“Estamos adaptando el sistema al país”, indicó Feolí.
Cuando se habla de sistemas de autenticación, como una contraseña, el usuario recurre a lo que conoce, como el apellido de la abuela materna o la mascota. En casos críticos utiliza el nombre de las empresas y un número cualquiera, por ejemplo, las cuales son fáciles de descubrir. “La gente coloca claves muy débiles”, advierte Feoli.
Se puede usar una huella digital, la retina o la cara con dispositivos que se basan en tecnologías de biometría. Ya hay dispositivos, como los celulares, que lo utilizan y se puede extender a las apps. Por ejemplo, para ingresar a la app del banco en el móvil se usa la huella digital. También se puede utilizar para ingresar a apps de documentos.
En ese caso se utiliza algo inherente al usuario. “Este factor es algo que uno es”, explica Feoli.
O se utiliza algo que el usuario tiene, como en el caso de la firma digital, donde se emplea una tarjeta que es leída por un dispositivo.
La firma Eset recomienda también usar A2F para la seguridad de la cámara web de los dispositivos, como la computadora de escritorio o portátil, para asegurarse que ningún extraño tiene acceso a ella con el fin de espiar a la persona propietaria.
La A2F también permitiría, según la misma Eset, evitar el robo de las contraseñas a diferentes sistemas que utiliza una persona.
La firma había advertido hace un año la exposición de más de 3.000 millones de contraseñas asociadas a más de 2.000 millones de direcciones de correo únicas, de las cuales más de 1,5 millones asociadas a organismos gubernamentales de Brasil (68.535 contraseñas), México (31.995), Argentina (15.604), Colombia (9.428), Perú (6.038), Chile (5.843), Costa Rica (4.402), Ecuador (2.792), El Salvador (1.640) y Venezuela (1.461).
Con el celular
En Costa Rica la mayoría de las empresas utilizan el password o contraseñas, con algunas condiciones que hasta el momento se consideran más que suficientes: cambios de clave en forma periódica; uso de mayúsculas y minúsculas, números y signos especiales o caracteres.
En algunos servicios de correo electrónico, si tiene acceso desde un dispositivo distinto a los que ya autorizó o que usa comúnmente, la persona recibe un correo donde debe confirmar que es él.
La medida, sin embargo, no es del todo fiable: si un hacker logró ingresar a ese correo, también dirá que sí.
En otros casos, cada vez va a ingresar, el servicio envía un código a un correo elegido y que se supone solamente esa persona conoce. No es tampoco totalmente segura. Un hacker hábil —y típicamente lo son, se apoyan en herramientas de inteligencia artificial o en ingeniería social para obtener la información que necesita del mismo usuario— sabría superar el obstáculo.
La opción más segura es enviar el código al celular registrado. Se puede activar para accesos de tiendas en línea, redes sociales, trámites en centros de llamadas (el servicio envía un código al móvil para verificar que el cliente es quién dice ser) o trámites bancarios. En este caso, para hacer una transferencia a una cuenta que no es del cliente, por ejemplo, se puede obtener el código enviado al móvil o a través de la app móvil (cuyo acceso también requiere una clave).
“La probabilidad de que la persona que obtuvo una credencial también tenga el celular es muy baja”, dijo Feoli.
Los códigos se generan por tiempo limitado, se envían en forma encriptada y cambian constantemente.
Las empresas o entidades no deben quedarse en la utilización del A2F. El sistema de Hound Software —que se está implementando en bancos de Massachusetts y Maine, en EE. UU.— también ayuda a detectar en las empresas e instituciones otras situaciones de gestión de las credenciales o claves:
—Se detectan cuentas creadas y sus privilegios.
—Si alguien se va de la organización o cambia de puesto, departamento o división, se genera una alerta para revisar las cuentas y privilegios que tiene esa persona de forma que se eliminen accesos que no debería tener.
—Se realizan chequeos periódicos.
La solución es en la nube, con un costo por uso de centavos, por lo que puede ser utilizada por empresas de diferentes tamaños, incluyendo pymes o empresas grandes donde el equipo administrativo es reducido (como una agroindustria). Las grandes empresas pueden optar por paquetes según volumen.
Podrían usarla entidades financieras como mutuales, cooperativas de ahorro y crédito, asociaciones solidaristas o fondos de ahorro tanto para usuarios internos como clientes, afiliados o asociados.
Este tipo de soluciones se pueden usar hasta para accesos a instalaciones como edificios, plantas, bodegas u otras..