¿Qué es MFA?
Ante el panorama actual de amenazas en el ámbito digital, se hace vital el control de acceso de los usuarios a los recursos de un sistema o plataforma. Si un usuario accede por ejemplo a su cuenta de correo electrónico, o un empleado a los archivos de nóminas de una empresa, tienen que existir controles que verifiquen sus identidades para acceder a esos recursos y que a la vez sirven de control y sean una barrera ante posibles atacantes. Tanto para usuarios estándar como dentro del ámbito empresarial, la disponibilidad de los datos con los que se trabajan, su integridad y su confidencialidad son vitales, lo que hace fundamental desarrollar medidas para proteger estos datos tanto para el negocio como para los clientes del mismo.
Por una parte, los proveedores de estos servicios deben preparar a sus usuarios y clientes ante un panorama de amenazas en continua evolución y ser capaces de proporcionar soluciones que permitan mantener los datos seguros, a la par que concienciar en la necesidad de mejorar en una cultura de ciberseguridad. Así mismo, los clientes y usuarios tienen que saber que deben adoptar las últimas características y controles de seguridad, y más en concreto en el sector empresarial, ser conscientes que monitorizar comportamientos y eventos dentro de una red es fundamental para detectar posibles ataques, a la vez que estas medidas se ajustan a las normas de gobernanza fijadas por la dirección del organismo para proteger los datos más sensibles.
MFA, acrónimo del inglés Multi Factor Authentication o autenticación por múltiples factores, tiene como objetivo dificultar los intentos de intrusión de personas ajenas a cualquier organización.
Como concepto general se puede decir que los factores de autenticación son aquellos que sólo un usuario conoce, posee o es. El concepto básico trata de cómo se autoriza el acceso a los sistemas, servicios, dispositivos, etc., tanto si están en internet, en un servicio en la nube, como si están de forma local. Control de acceso y verificación de que un usuario es legítimo son las claves de este método, de forma que sólo la persona que demuestra su identidad pueda hacer uso de un sistema, herramienta, o plataforma.
A partir de aquí podemos llegar a la conclusión de que un usuario y una contraseña para el acceso a un servicio, plataforma, red social, se considera un factor de autenticación único, pero que, si se añade un factor más que sólo el usuario conoce, se estaría usando una autenticación de dos factores, en inglés 2FA, Two Factor Authentication, método que se usa para incrementar la seguridad en los accesos y confirmar que una persona es quien dice ser. Este 2FA se obtiene combinando dos elementos o credenciales diferentes que se suelen agrupar en tres categorías:
- Algo que el usuario sabe, como un PIN.
- Algo que el usuario tiene, como el teléfono móvil, un certificado digital, etcétera.
- Algo que el usuario es, huella dactilar, reconocimiento facial, y el resto de las verificaciones biométricas.
La diferencia entre MFA y 2FA es sencilla. Mientras 2FA siempre utiliza dos factores de los tres anteriormente expuestos para la identificación de un usuario, MFA usa dos o tres.
Herramientas de autenticación
Podemos encontrar múltiples apps, servicios online o aplicaciones de escritorio que posibilitan la utilización de mecanismos de doble factor de autenticación para añadir seguridad a la hora de utilizar las aplicaciones. Para su uso generalmente es necesario herramientas que facilitan, una vez validada la cuenta a través de un código, una clave temporal que va cambiando cada poco tiempo y que es necesario introducir al acceder a la herramienta interesada. De esta forma, además de los mecanismos tradicionales como el usuario y contraseña, se aumenta la seguridad a través de lo que se conoce como un token temporal utilizando para ello otras herramientas de confianza.
Podemos encontrar herramientas de este tipo entre los principales fabricantes de software del mercado, como por ejemplo, Google Authenticator, Microsoft Authenticator, Authy, Free OTP Authenticator, etc.
¿Dónde recibir asesoramiento?
Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.
Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.
