Autenticación humana mutua.
La autenticación multifactor (MFA), ha demostrado ser una de las innovaciones de ciberseguridad que más impacto positivo ha tenido en la lucha por la seguridad en el ciberespacio. Pero todavía no es suficiente. Es decir, se siguen descubriendo formas novedosas de eludir las ciberdefensas, incluso con autenticación multifactor habilitada.
La ingeniería social es sin duda uno de los métodos por excelencia para obtener contraseñas y tokens. Los ciberdelincuentes aún pueden convencer a los usuarios de que entreguen no solo sus credenciales, sino también sus códigos autenticación multifactor.
Según un estudio de la empresa Silent Breach, el 98% de los ciberataques se basan en la ingeniería social y se estima que el 75% de las empresas han sido víctimas de phishing solo en este último año, lo que lo convierte en el ciberdelito más común en el mundo.
A medida que el software se asegura más y se implementan nuevos paradigmas en ciberdefensa, los ciberactores se adaptan para aprovechar los vectores de ataque centrados en el ser humano.
Para lograr una mayor resiliencia, una de las técnicas emergentes es la autenticación humana mutua (MHA, Mutual Human Authentication)
¿De qué se trata esto de la autenticación humana mutua? En las siguientes líneas, te explicamos un poco más acerca de esta nueva frontera.
Como sabemos, la autenticación multifactor consiste principalmente -además del nombre de usuario y la contraseña estándar-, en un requisito de contraseña o código de un solo uso (OTP), que se calcula basado en una semilla a través de una aplicación, o bien se envía por mensaje de texto o correo electrónico al usuario.
No obstante; una vez que un dispositivo o una dirección de correo electrónico, se ha visto comprometida, cualquier código MFA enviado estará igualmente disponible para el ciberdelincuente. Sin desmerecer, es evidente que la autenticación multifactor ha demostrado reducir radicalmente las tasas de éxito de los ataques de ingeniería social, sin embargo; aún quedan brechas y aquí es donde entra en juego la autenticación humana mutua (MHA).
La lógica es sencilla; en lugar de requerir un código de un solo uso (OTP), la autenticación humana mutua requiere el permiso humano de un tercero de confianza, es decir; otro humano. Entonces, cada vez que se solicita el acceso a una cuenta, se envía una solicitud mutua al “autenticador humano”, que puede revisar la solicitud y optar por otorgar o denegar el acceso.
En condiciones normales, una cadena será tan fuerte como su eslabón más débil. Sin embargo, con la autenticación humana mutua, una cadena puede volverse tan fuerte, como su eslabón más fuerte.
La autenticación multifactor y la autenticación humana mutua pueden contribuir en gran medida a revertir estas tendencias, defendernos para proteger nuestros activos más valiosos.
Si aún no te termina de convencer, hablaremos con ejemplos.
Un desarrollador de tecnologías emergentes de comunicación confidencial llamado SharePass, está siendo pionero en el enfoque integral de la autenticación humana mutua (MHA).
Esta tecnología propone que los usuarios puedan convertir cualquier dato que elijan, en un enlace cifrado seguro. Este enlace se puede proteger con autenticación humana mutua para que, incluso cuando se comparta, permanezca bajo el control de la parte designada.
Tiene el beneficio adicional de no solo proteger sus datos contra el robo, sino también permitir que las empresas y las personas sean propietarias y controlen sus datos durante todo su ciclo de vida. Así que, al fortalecer y ampliar la autenticación multifactor, la autenticación humana mutua, ayuda a mitigar los riesgos conocidos y relacionados con el Dark Web, como la filtración de credenciales que menudo llegan a ese inframundo, desde los ataques a grandes audiencias.
Con autenticación humana mutua, nuestros datos ya no supondrán un riesgo significativo de seguridad en la medida en que cualquier persona que compre las credenciales filtradas seguirá sin tener conocimiento de quién ha sido designado como el “autenticador humano”, lo que efectivamente inhibirá el acceso a la cuenta.
Como se expuso anteriormente, la ingeniería social y especialmente el phishing, sigue siendo el método más efectivo usado por los ciberdelincuentes. En pocas palabras, los humanos han demostrado ser mucho más fáciles de manipular o hackear que el software seguro que controlan.
Si bien la capacitación en concientización sobre la seguridad es fundamental para luchar contra los ataques de ingeniería social, las soluciones a corto plazo como autenticación humana mutua, pueden devolver el control a de quienes detectan y mitigan a los ciberdelincuentes.
