Passwordless Strategy

Sugerencias para la autenticación

Estrategia de autenticación sin contraseñas: Beneficios, desafíos y más

Estrategia de autenticación sin contraseñas: Beneficios, desafíos y más

  • 18 noviembre 2021
  • 6.5 minutos para leer

El paso a la nube hace que la Gestión de identidades y accesos (IAM) sea más importante que nunca para la seguridad. Los actores maliciosos siguen buscando formas de robar credenciales, y la higiene de las contraseñas es cada vez más importante.

Una forma de mitigar el riesgo de ataques en el perímetro de acceso es avanzar hacia una estrategia de autenticación sin contraseñas. Al fin y al cabo, si no hay contraseñas que adivinar o hackear, la seguridad aumenta.

Echemos un vistazo a cómo su organización podría beneficiarse de una estrategia de autenticación sin contraseña, y los pasos que puede dar para empezar.

"Autenticación sin contraseña": ¿un paso hacia un futuro más seguro?

A medida que las organizaciones adoptan cada vez más estrategias en la nube, los métodos tradicionales de autenticación pueden no proporcionar la seguridad necesaria. Los actores de las amenazas ya saben que mucha gente reutiliza las contraseñas, y los equipos de seguridad tienen que luchar constantemente contra la ardua batalla de la higiene de las contraseñas.

Aunque las contraseñas tienen una larga trayectoria de uso, las mejores prácticas han evolucionado a lo largo del tiempo. Continúe leyendo para ver nuestro desglose de la historia de las estrategias de contraseñas, y lo que se ha logrado en cada hito.

El nacimiento de las contraseñas

En los primeros tiempos de la informática, las contraseñas se utilizaban principalmente para proporcionar acceso a los sistemas de red internos. Los equipos solían estar situados detrás de puertas cerradas con llave porque ocupaban toda una habitación. Allí, las contraseñas se utilizaban para controlar el tiempo que las personas pasaban utilizando el equipo central, pero la clave de la sala era el propio proceso de autenticación.

La evolución del proceso de autenticación

Cuando los equipos de escritorio se convirtieron en la norma para los procesos empresariales, las contraseñas y la autenticación tuvieron que evolucionar. En ese momento, las contraseñas proporcionaban acceso tanto a un dispositivo físico como a las redes internas de la organización. Esto se debe a que los equipos todavía estaban conectados físicamente a la red de área local (LAN) mediante un cable Ethernet. Sin conectividad inalámbrica ni la posibilidad de acceder a la LAN desde fuera, la autenticación en el dispositivo mediante la contraseña funcionaba como una conexión segura.

Internet (y la nube) lo cambia todo

En los últimos años, la conectividad inalámbrica y la adopción de la nube han cambiado todo lo relacionado con las contraseñas. Las contraseñas y la autenticación crearon nuevos vectores de ataque para los actores de las amenazas. Con una contraseña, podían acceder a recursos corporativos desde cualquier parte del mundo.

Las estrategias de contraseñas se volvieron cada vez más complejas. Ahora, las organizaciones necesitaban establecer y aplicar políticas con respecto a lo siguiente:

  • La longitud de la contraseña
  • Una combinación de letras mayúsculas y minúsculas
  • El uso de números
  • El uso de caracteres especiales
  • Los períodos de rotación de las contraseñas

Con estos nuevos requisitos, muchas personas utilizaban contraseñas fáciles de recordar, y a menudo reutilizaban la misma contraseña en varios lugares. Al hacerlo, socavaban el propósito de las políticas de contraseñas, dándoles a los actores de amenazas una forma de robar credenciales o participar en ataques de diccionario.

En un intento de mitigar estos nuevos riesgos, las organizaciones empezaron a adoptar la autenticación multifactor (MFA), que requiere que los usuarios utilicen una combinación de dos o más de los siguientes elementos:

  • Algo que conocen (una contraseña)
  • Algo que tienen (un token o un teléfono inteligente)
  • Algo propio de su persona (biometría)

Desafortunadamente, los actores maliciosos siguen pudiendo encontrar formas de eludir estos controles. Por ejemplo, suelen utilizar ataques de ingeniería social para interceptar, suplantar y falsificar mensajes de texto. Al final, incluso las mejores prácticas de seguridad se vuelven problemáticas e intrínsecamente arriesgadas.

El paso a la ausencia de contraseñas

A medida que los actores de las amenazas evolucionan sus estrategias, las empresas deben mantenerse al día y proteger los activos digitales. Así nació el paso a la ausencia de contraseñas. Aunque es fácil confundir la ausencia de contraseñas con la autenticación multifactor, esta última es solo una parte de una estrategia sin contraseñas. La autenticación sin contraseñas hace que el factor "algo que se tiene" sea la forma principal de autenticarse en un entorno.

Estos son algunos ejemplos de estrategias de autenticación sin contraseña:

  • Contraseña de un solo uso (OTP)
  • Enlace único enviado por correo electrónico
  • Cookie persistente
  • PIN secreto
  • SMS o código generado por una aplicación
  • Certificado de autenticación personal de infraestructura de clave pública (PKI)
  • Autenticación biométrica

Presentación de la autenticación sin contraseñas en Microsoft 365

Como la autenticación multifactor ya no proporciona la garantía de seguridad que necesitan las organizaciones, Microsoft introdujo la autenticación sin contraseñas en su conjunto de servicios. Veamos con más detalle cómo se integrará la autenticación sin contraseñas en Microsoft 365, and how your organization can leverage it.

Windows Hello for Business (WHfB)

Con WHfB, el departamento de TI puede vincular las credenciales biométricas y de PIN directamente al portátil de un usuario. Esto significa que nadie más que el propietario del dispositivo puede acceder al mismo o a la red. WHfB utiliza la Infraestructura de Clave Pública (PKI) con soporte integrado para el inicio de sesión único (SSO) con el fin de crear una experiencia de autenticación sin contraseña.

Aplicación Microsoft Authenticator

Aunque muchas organizaciones ya utilizan la aplicación Authenticator para la autenticación multifactor, también pueden utilizarla para la autenticación sin contraseñas. Aunque el uso de la aplicación Authenticator sigue una infraestructura similar a la de WHfB, es un poco más complicado para los usuarios porque Azure Active Directory (AD) necesita encontrar la versión de Authenticator que se está utilizando.

Claves de identidad rápida en línea (FIDO2)

Con las claves de seguridad FIDO2, los usuarios pueden utilizar cualquier tipo de forma de autenticación que deseen. Una vez que se registran, seleccionan la clave de seguridad FIDO2 cuando inician sesión. Los dispositivos de clave FIDO2 pueden ser de los siguientes tipos:

  • USB
  • Bluetooth
  • Comunicación de campo cercano (NFC)

Beneficios y desafíos de las estrategias de autenticación sin contraseña

Aunque las estrategias de autenticación sin contraseña ofrecen una mayor seguridad y otros beneficios importantes, esto no quiere decir que no conlleven retos para el usuario final. Examinemos algunas estrategias populares y los pros y contras de cada una de ellas.

Correo electrónico

Probablemente, la estrategia de autenticación sin contraseña de correo electrónico es la más fácil de implementar. Además, es la menos costosa. Todo lo que tiene que hacer el departamento de TI es establecer el requisito de que los usuarios finales tengan que recibir un correo electrónico de verificación, y con eso, la estrategia está implementada.

A pesar de estas ventajas, la estrategia de autenticación sin contraseña de correo electrónico tiene su costo. Los usuarios finales suelen resistirse a ella porque tienen que abrir una aplicación adicional y esperar recibir el correo electrónico. Además, si los ciberdelincuentes consiguieran comprometer la cuenta de correo electrónico mediante un ataque de phishing, la implementación de la estrategia de autenticación sin contraseña dejaría de ser segura.

Token móvil

Los tokens móviles son posiblemente la opción más popular. Al igual que el uso de la aplicación Microsoft Authenticator, los tokens móviles proporcionan una seguridad sólida y siguen siendo rentables. Las organizaciones no incurren en costos tecnológicos o de mantenimiento adicionales.

Sin embargo, para los usuarios finales, esto requiere añadir otra aplicación a su teléfono móvil. Además, algunos usuarios consideran que tomar su dispositivo cuando necesitan iniciar sesión en un recurso afecta sus actividades empresariales diarias.

Token de hardware

Los tokens de hardware, como el uso de claves WHfB o FIDO2, son la opción más segura de todas. Los usuarios finales, o bien ya necesitan utilizar un dispositivo, como con WHfB, o bien consideran que llevar el token es una barrera de baja seguridad.

Por otro lado, son las estrategias de autenticación sin contraseña más caras de implementar. Las organizaciones no solo tienen que comprar el hardware, sino que el departamento de TI también tiene que gestionar su administración y mantenimiento continuo. Además, si el usuario final pierde el dispositivo o se lo roban, se crea un riesgo de seguridad.

Lo que se debe evitar al implementar una estrategia de autenticación sin contraseñas

Aunque la autenticación sin contraseñas se está convirtiendo rápidamente en la regla de oro, las organizaciones deben tener en cuenta varias preocupaciones como parte de su proceso de planificación. Por ejemplo, toda estrategia de autenticación sin contraseñas conlleva un costo directo de implementación, pero también es importante considerar los costos ocultos. Estos son algunos de ellos:

  • Administración
  • Inventario de activos
  • mantenimiento

Además, es importante recordar que las soluciones de seguridad solo funcionan si los usuarios finales las adoptan. Una organización que fracasa durante el proceso de adopción puede encontrarse rápidamente de nuevo en el punto de partida. Preste atención a lo que sus empleados necesitan y quieren de la autenticación sin contraseña. Cualquier estrategia sólida de autenticación sin contraseñas debe incluir lo siguiente:

  • Facilidad de uso
  • Capacidad de integración en los flujos de trabajo
  • Responsabilidades del usuario final

Conclusión: La "autenticación sin contraseñas" es más segura de lo que parece

La seguridad, y lo que es más importante, asegurar los accesos, es cada vez más importante para la estabilidad financiera y de reputación de una empresa. A medida que los empleados remotos utilizan diferentes dispositivos, incluidos los personales, y con el aumento de los datos que se trasladan a la nube, proteger el acceso e implementar la una estrategia de autenticación sin contraseñas es un objetivo de seguridad primordial.

La oferta de Seguridad gestionada de 365 de SoftwareONE les permite a las organizaciones diseñar, implementar y mantener las mejores prácticas para la seguridad sin contraseñas. Con el servicio integral de SoftwareONE, las organizaciones pueden proteger y supervisar los datos de forma proactiva para mantener su entorno de Microsoft 365 seguro.

Descubra la seguridad de la autenticación sin contraseñas a través de Microsoft 365

Sin una contraseña que piratear, los empleados pueden disfrutar de un entorno mucho más seguro. Aprenda cómo su organización puede beneficiarse de las últimas características y capacidades de la autenticación sin contraseña de M365, y cómo SoftwareONE puede ayudarlo.

Get Started
  • Managed Security, Cybersecurity User Awareness, cloud-security
  • Microsoft 365, Gestión de identidad, Access Management, Microsoft

Comenta este artículo

¡Deja un comentario para hacernos saber lo que piensas sobre este tema!

Deja un comentario

Artículos relacionados

Nonprofit and security

¿Su organización sin fines de lucro está en riesgo de sufrir una vulneración de datos?

Muchas organizaciones sin fines de lucro carecen de tiempo y recursos para proteger adecuadamente sus datos contra amenazas de vulneración de datos. Descubra cómo puede saber si está en riesgo de sufrir una vulneración de datos.

Cybersecurity threads
  • 29 noviembre 2021
  • Cybersecurity, Cybersecurity User Awareness, Managed Security
  • Cyber Security, Seguridad

Prevención de amenazas en la empresa

La mejor manera de empezar a proteger su red empresarial de amenazas de ciberseguridad es comprender las amenazas del panorama actual y, luego, crear un plan para enfrentarlas. Examínelo con mayor profundidad.

Cloud Security Trends
  • 02 noviembre 2021
  • Cybersecurity, Cybersecurity User Awareness, cloud-security
  • Cloud, Seguridad, Cloud Workload

Cómo utilizar las nuevas tendencias de seguridad en la nube a su favor

¿Está al tanto de las últimas novedades en el mundo de la seguridad en la nube? Analice detenidamente algunas de las tendencias más importantes en materia de seguridad en la nube y cómo podrían influir en su estrategia general en la nube.