Olvida tus contraseñas, puedes vivir sin ellas
El mes pasado se celebró el Día Mundial de la Contraseña. Me parece increíble que todavía hablemos de este elemento de seguridad como si fuera el único posible. Por eso le propuse a mi equipo en VU lanzar el “Día SIN Contraseñas” para hablar sobre cómo prevenir un ataque tanto personal como empresarial, capacitar al ecosistema y colaborar con un mundo más seguro.
Primero quiero entrar en el detalle de la relevancia que tienen las contraseñas hoy: creo que prácticamente no tienen importancia si un sistema de gestión de identidad está bien configurado.
Un sistema de autenticación y autorización de transacciones tiene la responsabilidad de validar unívocamente la identidad del individuo o robot que está realizando la operación. Si ese requerimiento no se satisface correctamente, el servicio podría ser víctima de un reclamo legal, ver afectada su reputación o estar dejando abierta una puerta a un ataque masivo.
Como mi intención es que esta nota les sirva a todos los lectores, voy a separar mi opinión en dos categorías: protección a nivel personal y protección empresarial.
Protección a nivel personal
La protección a nivel personal es la manera en la que se previene que un tercero no autorizado utilice tu email, tu computadora, tu dispositivo móvil. Hoy cualquier sitio con reputación permite habilitar un segundo factor o segundo paso, ya sea una app, un SMS, un WhatsApp, para que nadie pueda acceder al servicio incluso teniendo tu contraseña.
Ahora bien, ¿cuál es la forma en la que los atacantes pueden conseguir ese dato? Con ingeniería social: engañándote para que les des la información. Acá es donde subrayo que la contraseña es menos relevante. Lo mismo pasa con muchos sitios que identifican tu dispositivo y tienen la habilidad de validar tu ubicación geográfica. Esos datos ya son mucho más complejos de replicar por un criminal.
A pesar de que para desbloquearlos y acceder muchos de estos dispositivos hoy tienen modelos biométricos (reconocimiento facial, huella o voz), cada vez que necesitas hacer un cambio te pide… la contraseña. O sea que cualquier persona que la sepa puede acceder a cualquiera de tus dispositivos.
Protección empresarial
¿Por qué dentro de una organización es necesaria una estrategia de (C)IAM - Customer Identity and Access Management? Simple, porque permite prevenir un ataque de forma masiva y además mejora drásticamente la experiencia de los usuarios. Algunos de los puntos más relevantes son:
Recomendado por LinkedIn
- Integración de identidad: todas las compañías, incluso las más maduras en esta categoría, tienen diferentes silos de identidad. Esto genera que las políticas de cambio de contraseñas y de aseguramiento de las cuentas no sea unificado, provocando comportamientos tales como la reutilización de claves.
- Sistemas de una única firma o SSO: permite que un único directorio de usuarios sea consumido por aplicaciones de terceros, asegurando que solo los que cuentan con los roles y atributos necesarios puedan acceder al mismo.
- Gestión de consentimiento: facilita a los usuarios el acceso a sus datos y, a las empresas, ejercer los derechos sobre ellos, como la portabilidad o el derecho al olvido.
Teniendo en cuenta estos puntos clave, la gestión de contraseñas sigue existiendo de la misma manera que en nuestros dispositivos móviles.
La responsabilidad de un sistema de (C)IAM bien implementado
Hace unos días se habló mucho sobre algunos sistemas passwordless implementados de forma masiva, que vienen a solucionar un tema de usabilidad, pero desde mi punto de vista no resuelven el riesgo de un ciberataque como deberían.
Ahora tanto passkeys como FIDO2 y otras iniciativas que buscan mejorar la experiencia, están dejando completamente de lado que esos métodos solo verifican que quien está usando el dispositivo móvil en ese momento tiene acceso al mismo.
El punto a destacar de esta mención es que estos sistemas no reemplazan la contraseña, sino que básicamente tratan de ocultarla la mayor parte del tiempo. Es como barrer la suciedad abajo de la alfombra. En algún momento vamos a tener que hacer ese trabajo y eliminarla definitivamente.
En VU invertimos los últimos años en desarrollar sistemas que colaboren con este objetivo y que además cumplan con las regulaciones bancarias, de seguros, salud y protección de datos en el mundo.
Si te interesa conocer más sobre este tema y descubrir cómo podemos ayudarte a crear una estrategia de ciberseguridad enfocada en la identidad digital, te invito a que me contactes: https://bit.ly/3IecnnY
Cybersecurity/ Technology /Demand Generation / Marketing/ Sustainability
1 añoMuy bueno