Repaso de los principales mecanismos de autenticación utilizados

Publicado por buguroo - 04/12/2019

La tecnología avanza a gran velocidad, lo que no solo favorece el desarrollo de nuevos productos que facilitan la vida de sus usuarios, sino que además se convierten en un nuevo vector de ataque para los atacantes, que ven una nueva oportunidad para obtener beneficio económico.

Es por ello que, con el objetivo de reducir los ataques y proporcionar una mayor seguridad a sus clientes, las empresas invierten parte de sus beneficios en la implementación de medidas de seguridad.

Entre las medidas de seguridad implementadas por diferentes compañías en los últimos años, encontramos las técnicas de autenticación en dos pasos de los usuarios en el acceso a los servicios online u autorización de otras acciones dentro de los mismos.

La autenticación en dos pasos proporciona al usuario un paso adicional para demostrar que efectivamente es él el que trata de realizar una determinada acción en lugar de un atacante. De esta forma, el usuario, además de la contraseña, deberá demostrar, utilizando un segundo paso de autenticación, que realmente es él.

mecanismos-autenticacion-01

 Además, a día de hoy, existen numerosas directivas a nivel mundial que pretenden regular este tipo de autenticación para sobre todo el sector financiero y de comercio online, entre las que se encuentran la PSD2, la directiva europea que regula los servicios de pago proporcionados para cualquier servicio online que incluya actividades de pago dentro de Europa. En dicha  directiva se pone especial énfasis en la seguridad, solicitando el refuerzo y cumplimiento de determinadas características de seguridad para la autenticación de pagos conocida como Autenticación reforzada de clientes o “Strong Customer Authentication”. Dicha autenticación también consiste en una autenticación en dos pasos sobre las que hablamos en una de nuestras publicaciones pasadas.

 Mientras PSD2 termina de implementarse en toda el sector financiero y comercio electrónico, pues su aplicación se ha retrasado a fecha de 31 de diciembre de 2020, en este post repasamos los métodos de autenticación en dos pasos más comunes utilizados no sólo a nivel europeo sino global.

 

Autenticación mediante SMS

Es el método de autenticación en dos pasos más utilizado. Prácticamente todos los servicios que implementan un mecanismo de autenticación en dos pasos utilizan autenticación mediante SMS. Este sistema consiste en el envío de un código alfanumérico de un solo uso a través de un mensaje de texto, que el usuario debe introducir en el sistema durante el inicio de sesión. 

Aunque se trata del mecanismo más utilizado, no es el más seguro, ni el más sencillo. En cuanto a seguridad, y teniendo en cuenta el auge del malware para dispositivos móviles, es de los peores. En un dispositivo infectado, la aplicación maliciosa tendrá acceso a los SMS recibidos y podrá reenviarlos al servidor de control del atacante. 

En cuanto a usabilidad, puede llegar a ser realmente tedioso para los usuarios el proceso de ir introduciendo el código al mismo tiempo que miran el mensaje, sobretodo si lo hacen todo el proceso desde su propio móvil.

Por parte de las entidades que deciden implementar esta técnica, encontramos la problemática de los costes, ya que el envío de los mensajes de texto supone un coste para la empresa que implementa el sistema.

 

Autenticación mediante aplicaciones OATH TOTP

Esta tecnología hace uso de aplicaciones de terceros para autenticar al usuario. La tecnología se conoce como OATH TOTP, y su funcionamiento es muy similar a la técnica de envío de códigos a través de SMS. Sin embargo, en este caso el usuario utilizará una aplicación como Google Authenticator, LastPass Authenticator, o Latch para generar un código temporal de autenticación.

mecanismos-autenticacion-02

Los sistemas de autenticación OTP pueden utilizar distintos métodos para generar la clave final que se presentará al usuario, por ejemplo: autenticación basada en eventos, autenticación basada en tiempo o autenticación basada en Challenge-Response.

Como principales ventajas podemos destacar el bajo coste que conlleva para las empresas su implementación, además de que el nivel de seguridad que nos ofrece es muy robusto y confiable, y no supondría un problema para el usuario, ya que no tendría que instalar nuevas aplicaciones.

 

Autenticación basada en factores biométricos

Es uno de los favoritos por parte de los usuarios, ya que es uno de los más cómodos en cuanto a usabilidad además de ser uno de los más seguros. Existen diferentes tipos de autenticaciones biométricas, entre las más utilizadas encontramos el reconocimiento facial y dactilar, aunque también podemos encontrar soluciones que utilizan el iris o fisionomía.

Su popularidad ha ido en aumento en los últimos años, y se espera aún más durante los próximos años. Esto se debe a la facilidad con la que el usuario puede acceder a este tipo de tecnología y lo sencillo que es de utilizar. En el caso de reconocimiento dactilar se reduce a que el usuario coloque su dedo en el lector de su móvil.

Por otro lado, podemos encontrar problemas en la implementación de estos mecanismos. Si la implementación del sistema no es suficientemente robusta, un atacante podría utilizar trucos sencillos para autorizar la autenticación, pudiendo utilizar, por ejemplo, una foto de la víctima en el caso de un sistema de reconocimiento facial.

mecanismos-autenticacion-03

Además del uso de factores biométricos físicos para autenticar al usuario durante el inicio de sesión, existe también la posibilidad de proporcionar seguridad al usuario a través del análisis del comportamientos biométrico (“Behavioral Biometrics analysis” en inglés) capaz de identificar a un usuario de forma silenciosa (sin impactar en su experiencia de usuario) analizando la forma en que teclea, mueve el ratón, sostiene su teléfono móvil, sus movimientos dentro de una aplicación o Web, presión, latencia, velocidad de respuesta y muchos otros. Este análisis permite detectar si se trata realmente del usuario legítimo o si, por el contrario, se trata de un atacante que ha conseguido acceder de manera fraudulenta a la cuenta del usuario.

 

Otros métodos en fase de desaparición

Además de los factores de autenticación introducidos anteriormente, encontramos otros que poco a poco están siendo reemplazados por nuevos mecanismos como los comentados como son las tarjetas de coordenadas, llamadas telefónicas, hardware tokens en modo calculadora o USB, etc.

 

Apuesta de futuro por el análisis continuo biométrico


En los últimos años las grandes empresas de servicios online han apostado por autenticación biométrica, aprovechando sobre todo los lectores de biometría física incorporados a los smartphones Este hecho nos permite augurar un futuro brillante para este tipo de autenticación, que además de ser bastante buena en términos de seguridad, también lo es en términos de experiencia de usuario.

mecanismos-autenticacion-04

No obstante, dichos métodos empiezan a convivir con nuevas técnicas como las del análisis del comportamiento biométrico, que además de ser todavía menos intrusivas en la experiencia del usuario, además aportan un elemento de autenticación continua, no sólo en el momento en que un usuario utiliza su huella o rostro para autenticarse (autenticación estática), sino durante toda la sesión del usuario al utilizar cualquier servicio online, lo que aporta un nivel mayor de protección.

En buguroo apostamos por este tipo de tecnología y desarrollamos soluciones que permiten detectar si un usuario puede estar siendo suplantado o manipulado durante toda una sesión online. Si quieres saber más sobre nuestra tecnología, ponte en contacto con nosotros.

Temas: online fraud, Reconocimiento de identidad

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Repaso de los principales mecanismos de autenticación utilizados

read more

¿Amigo o enemigo? Cuando el estafador es, además, su cliente

read more

CYBERCRIME.ORG. Cibercrimen como Empresa

read more