Al hablar de medidas de seguridad que se pueden implementar en una empresa, siempre nos vienen a la cabeza tres: el antivirus en los endpoints y servidores para detectar y eliminar el mayor número de amenazas posible, la copia de seguridad para poder recuperar datos perdidos en un incidente, como una infección por ransomware, y el cifrado de los dispositivos para evitar que los datos confidenciales puedan ser obtenidos por un atacante.
Pero ese no es todo el abanico de posibilidades.
El problema de las contraseñas
a pesar de su facilidad de uso, aún cuenta con una pobre implementación en empresas
Hay otra medida de seguridad a la que aún no se le presta la debida atención y que, no obstante, cada vez es más necesaria. Estamos hablando del doble factor de autenticación (2FA), una solución ideal para ayudarnos a proteger un buen número de servicios online en caso de que veamos nuestras credenciales de acceso comprometidas.
No nos engañemos. Por mucho que recordemos una y otra vez la importancia de generar contraseñas robustas, la mayor parte de los usuarios va a intentar recordar el menor número de ellas, y cuanto más simples, mejor. Por ese motivo se hace necesario incorporar una nueva capa de seguridad y ahí es donde entra en juego el 2FA, algo que los usuarios particulares están utilizando cada vez con más frecuencia pero que no termina de instalarse en el sector corporativo.
En Latinoamérica, según pudimos comprobar gracias al último ESET Security Report, solo el 11% de las empresas implementa doble autenticación.
A nadie le gusta que se acceda sin su permiso a sus cuentas en redes sociales, su correo personal o librería de juegos en alguna de las plataformas de distribución existentes. Es por eso que desde hace tiempo venimos viendo un gradual incremento en el uso de esta medida de seguridad a nivel de usuarios finales, con los dispositivos móviles como principales protagonistas a la hora de utilizarlos como dispositivo complementario de identificación.
En el mundo empresarial, no obstante, aún vemos cómo la mayoría de usuarios que se conectan a una red corporativa vía VPN o que acceden remotamente a su cuenta de correo electrónico laboral lo hacen simplemente autenticándose con un usuario y contraseña. Esta medida de seguridad lleva años demostrando que es infectiva por sí sola, principalmente por las deficiencias de los usuarios a la hora de gestionar sus claves.
Y es que, cuando el acceso no autorizado a la información confidencial de la empresa es tan sencillo como esperar a que un usuario con acceso remoto a la red o correo corporativo acceda a través de una conexión no segura, significa que algo se está haciendo mal y, peor aún, no se están aplicando las medidas pertinentes para evitarlo.
El 2FA entra en acción
Muchos de los ataques de los últimos meses no hubieran ocurrido con un sistema de doble factor implementado
Utilizar un solo dato para autenticarse en un sistema es práctico, pero no lo más seguro. Para evitar el robo o la fuga de datos se desarrollaron aplicaciones que actuaban como doble factor de autenticación, como por ejemplo ESET Secure Authentication. Son sencillas de utilizar y añaden una capa adicional de seguridad, para evitar que el robo o la filtración de credenciales provoque el robo de información confidencial o el acceso no autorizado a la red interna de la empresa.
Pero a pesar de su facilidad de uso, aún cuentan con una pobre implementación en las empresas. Muy probablemente, uno de los problemas principales sea el desconocimiento de su existencia, algo que debería solucionarse con la campaña de concienciación para cumplir con el nuevo reglamento sobre protección de datos de la Unión Europea (GDPR). Afortunadamente, no solo afecta a empresas de esa zona sino también a todas aquellas que almacenen datos de usuarios de la Unión Europea.
A la hora de implementarlo, los sistemas varían, pero normalmente se utiliza un mensaje SMS automático o una aplicación que genera códigos de acceso. Una vez que la contraseña se ha introducido, el sistema solicitará este código y, en algunos sistemas, se utiliza una aplicación (separada del navegador web) para poner el código.
Los sistemas de doble factor de autenticación en conjunción con el sistema tradicional de contraseñas son mucho más seguros que el simple uso de credenciales. Muchos de los ataques que se han hecho públicos en los últimos meses (revisar Have I been Pwned?) no hubieran ocurrido si hubiera habido un sistema de doble factor implementado. Incluso si un atacante logra infectar un equipo y roba una contraseña, no podrían acceder a la cuenta vinculada con la misma, ya que no disponen del código de acceso.
Pero, aún así, la implementación de esta medida sigue siendo baja.
¿Cuánto cuesta a una empresa implementar el 2FA?
Tal y como sucede a la hora de hablar de soluciones de seguridad antivirus, la oferta es amplia y para todos los bolsillos. Sin embargo, más allá del coste que suponga implementar una solución 2FA, lo que debemos pensar realmente es lo que puede ayudarnos a evitar.
Vale mucho la pena implementar estos sistemas si se quiere mantener segura la información corporativa almacenada en alguna de esas cuentas. El doble factor de autenticación hace más difícil (aunque no imposible) el acceso no autorizado por parte de terceros a servicios de todo tipo, como Outlook Web Access.
Tampoco es necesario implementar el 2FA en todas las cuentas, pero sí en aquellas en las que se maneja información confidencial, para evitar el robo y también posibles multas administrativas. Hemos de recordar que este sistema, si bien no es infalible, supone una capa adicional de seguridad que muchos delincuentes no se esfuerzan en superar, por lo que una empresa que no lo implemente siempre será mas propensa a ser atacada que otra que sí lo haga.
Conclusión
Independientemente del tamaño de nuestra empresa, el doble factor de autenticación es una capa de seguridad a tener en cuenta, especialmente para los empleados que acceden remotamente a la red corporativa o a los recursos compartidos de la misma.
Asimismo, una buena implementación puede impulsar el teletrabajo y la figura del empleado en itinerancia de forma segura, aumentando la productividad y minimizando los riesgos.
