LEET Security | The ultimate Cybersecurity rating.

Cinco razones para confiar en el doble factor de autentificación

Doble Factor de Autenticación (2FA) : ¿Es seguro?

Para no andarse con rodeos, sólo hay una respuesta: Sí. Entonces, ¿por qué últimamente aparecen en la prensa especializada noticias sobre vulnerabilidades encontradas en este sistema? Pues veamos.

¿Qué es 2FA?

Los mecanismos de control de acceso actuales, para reforzar la seguridad de los usuarios, han evolucionado hacia la autenticación multifactor (MFA), siendo la autenticación de doble factor (2FA) la más extendida.

Todo parte de una premisa, por desgracia, bastante cierta: las contraseñas por sí mismas son de una inseguridad relativa (sobre todo si no se aplican técnicas para reforzarlas). De ahí que el refuerzo consista, según este mecanismo, en que el usuario haya de probar su identidad de dos formas diferentes, tal como se indica a continuación:

- Con algo que conozcas: una contraseña.

- Con algo que tienes: un dispositivo que contiene una clave o token de un solo uso (habitualmente un móvil, una usb ), como un teléfono móvil que puede recibirlo.

- Con algo que eres: identificación biométrica: retina y huellas dactilares, más generalmente

Este método permite que el usuario disponga de dos fuentes para autenticarse, independientes, que evitan, por sí mismas, que, sin disponer del token adecuado, el usuario pueda acceder a los sistemas.

¿Qué vulnerabilidades le afectan?

El método de autenticación, como tal es fiable. Sin embargo, existen ciertos tipos de ataques que hacen vulnerable este sistema. Exponemos algunos de ellos:

SIM Hacking: Si el atacante se hace con el control del móvil objetivo, podría éste recibir los tokens. Si se dispone previamente de las claves de acceso a los servicios, el desastre está asegurado.

Phishing: A través de un correo malicioso, el objetivo puede ser redirigido a un sitio web donde capturarán su contraseña y token de un solo uso y utilizarán éste para acceder al servicio a hackear antes de que expire el token.

Man-in-the-middle: En conjunción con lo anterior, un atacante puede monitorizar las comunicaciones e interceptar peticiones de cambio de password y, con ello, acceder a los token 2FA.

Ataques de fuerza bruta: Si existe una mala implementación, por parte del proveedor del servicio para el uso de 2FA, en la que la repetición continuada de envío de códigos de verificación no es gestionada adecuadamente, puede suponer un problema grave.

Cómo hacer efectiva la autenticación de dos factores

A pesar de todo lo indicado, considero que 2FA es un método seguro, aunque se ha de implementar de forma adecuada.

Su implementación debe ser parte de una estrategia de seguridad que implique todos los elementos por los que pueden abrirse brechas que puedan afectarle y que la autenticidad sea un principio base para todo ello.

Una de esas implementaciones es aislando del equipo, mediante una llave hardware, la generación de los token de uso. Por supuesto habrá de asegurarse de que el software que lo gestiona está actualizado y no hay vulnerabilidades que puedan afectarle.

El punto de vista de LEET

Por eso, en LEET ayudamos a nuestros clientes a revisar que la cadena que forman todos los elementos que interactúan para proveer la seguridad necesaria es compacta y que ninguno de sus eslabones puede afectar al conjunto de ella.

Por ello, y en beneficio de la seguridad de un método como el 2FA, siguiendo nuestras metodología, comprobamos que:

... se provee la adecuada formación a los administradores y usuarios sobre las amenazas y ataques que, entre otros, pueden afectar a la efectividad de 2FA. Tanto los eminentemente técnicos como los relacionados con la ingeniería social.
... se establece una relación estrecha con los proveedores de elementos de seguridad, para que los resultados sean los de un bloque compacto que evite fisuras que, como se ha visto anteriormente, afecten, entre otros, al uso de 2FA.
... la protección anti-malware se ejecute siempre y que siempre esté actualizada, evitando que este tipo de amenazas roben o rompan los mecanismos de seguridad de 2FA.
... la concienciación sea un pilar fundamental a la hora de formar a los administradores y usuarios, para que entiendan que forman parte esencial de la seguridad de la información en el conjunto de la arquitectura empresarial y que sus acciones pueden repercutir en la imagen y la integridad de la propia empresa.
..., en esa relación con tus proveedores, teniendo como uno de ellos a quien te valida la autenticación vía 2FA, éste siga los principios del ciclo de vida de desarrollo seguro (SDL) al implementar esta funcionalidad. Pero que también sus infraestructuras incluyan firewals, detección/protección contra intrusiones, listas de software prohibido/aceptado, que protejan tanto a los empleados como a sus credenciales.

Creemos que, siempre que sea posible, se utilice el 2FA, pero con las adecuadas garantías y dentro de una arquitectura de seguridad, tanto propia como de los proveedores, que tenga en cuenta todos los factores antes indicados.

Rogelio Saavedra,

Consultor de seguridad en de LEET Security

De verdad, All you need is LEET!

Recibe nuestras notificaciones desde este enlace

Cinco razones para confiar en el doble factor de autentificación

Doble Factor de Autenticación (2FA) : ¿Es seguro?

Para no andarse con rodeos, sólo hay una respuesta: Sí. Entonces, ¿por qué últimamente aparecen en la prensa especializada noticias sobre vulnerabilidades encontradas en este sistema? Pues veamos.

¿Qué es 2FA?

Los mecanismos de control de acceso actuales, para reforzar la seguridad de los usuarios, han evolucionado hacia la autenticación multifactor (MFA), siendo la autenticación de doble factor (2FA) la más extendida.

- Con algo que conozcas: una contraseña.

- Con algo que tienes: un dispositivo que contiene una clave o token de un solo uso (habitualmente un móvil, una usb ), como un teléfono móvil que puede recibirlo.

- Con algo que eres: identificación biométrica: retina y huellas dactilares, más generalmente

Este método permite que el usuario disponga de dos fuentes para autenticarse, independientes, que evitan, por sí mismas, que, sin disponer del token adecuado, el usuario pueda acceder a los sistemas.

¿Qué vulnerabilidades le afectan?

El método de autenticación, como tal es fiable. Sin embargo, existen ciertos tipos de ataques que hacen vulnerable este sistema. Exponemos algunos de ellos:

SIM Hacking: Si el atacante se hace con el control del móvil objetivo, podría éste recibir los tokens. Si se dispone previamente de las claves de acceso a los servicios, el desastre está asegurado.

Phishing: A través de un correo malicioso, el objetivo puede ser redirigido a un sitio web donde capturarán su contraseña y token de un solo uso y utilizarán éste para acceder al servicio a hackear antes de que expire el token.

Man-in-the-middle: En conjunción con lo anterior, un atacante puede monitorizar las comunicaciones e interceptar peticiones de cambio de password y, con ello, acceder a los token 2FA.

Ataques de fuerza bruta: Si existe una mala implementación, por parte del proveedor del servicio para el uso de 2FA, en la que la repetición continuada de envío de códigos de verificación no es gestionada adecuadamente, puede suponer un problema grave.

Cómo hacer efectiva la autenticación de dos factores

A pesar de todo lo indicado, considero que 2FA es un método seguro, aunque se ha de implementar de forma adecuada.

Su implementación debe ser parte de una estrategia de seguridad que implique todos los elementos por los que pueden abrirse brechas que puedan afectarle y que la autenticidad sea un principio base para todo ello.

Una de esas implementaciones es aislando del equipo, mediante una llave hardware, la generación de los token de uso. Por supuesto habrá de asegurarse de que el software que lo gestiona está actualizado y no hay vulnerabilidades que puedan afectarle.

El punto de vista de LEET

Por eso, en LEET ayudamos a nuestros clientes a revisar que la cadena que forman todos los elementos que interactúan para proveer la seguridad necesaria es compacta y que ninguno de sus eslabones puede afectar al conjunto de ella.

Por ello, y en beneficio de la seguridad de un método como el 2FA, siguiendo nuestras metodología, comprobamos que:

... se provee la adecuada formación a los administradores y usuarios sobre las amenazas y ataques que, entre otros, pueden afectar a la efectividad de 2FA. Tanto los eminentemente técnicos como los relacionados con la ingeniería social.

... se establece una relación estrecha con los proveedores de elementos de seguridad, para que los resultados sean los de un bloque compacto que evite fisuras que, como se ha visto anteriormente, afecten, entre otros, al uso de 2FA.

... la protección anti-malware se ejecute siempre y que siempre esté actualizada, evitando que este tipo de amenazas roben o rompan los mecanismos de seguridad de 2FA.

Creemos que, siempre que sea posible, se utilice el 2FA, pero con las adecuadas garantías y dentro de una arquitectura de seguridad, tanto propia como de los proveedores, que tenga en cuenta todos los factores antes indicados.

Rogelio Saavedra,

Consultor de seguridad en de LEET Security

De verdad, All you need is LEET!