La seguridad de la identidad digital

Uno de los mayores desafíos en materia de seguridad a los que se enfrentan las organizaciones reside en la verificación de las credenciales de  los usuarios que pueden acceder a la red corporativa  desde diversos puntos de entrada. Huelga decir que cualquier uso fraudulento de la identidad digital se traduce en graves daños económicos y de imagen para las organizaciones afectadas.

En el caso de los servicios de informática en la nube, los desafíos que plantea la gestión de credenciales son mayores y más complejos. En este entorno en la nube, la gestión de la autenticación de usuarios implica que cualquier persona es, por definición, un usuario remoto. Para mayor complicación, muchas organizaciones combinan servicios físicos y en la nube, lo cual dificulta aún más la tarea de autenticación. Si añadimos a esta ecuación los problemas que implica la gestión de acceso de usuarios desde diferentes dispositivos móviles, resulta obvio entender por qué las organizaciones encuentran tantas dificultades para gestionar la autenticación de usuarios de forma eficaz en las emergentes infraestructuras móviles y en la nube.

Para asegurar la identidad digital en estos entornos de usuarios y sistemas heterogéneos, se necesita adoptar soluciones de autenticación multifactoriales como parte de una estrategia de seguridad integral que ofrezca diversas capas de protección. Como capas de protección se deberían incluir el cifrado, los controles de acceso, la gestión de claves de cifrado, la seguridad de la red, y un entorno de  autenticación fuerte.

El primer paso para garantizar la protección de datos reside en una solución eficaz de autenticación que asegure tanto la identidad de los usuarios como de las aplicaciones que acceden a zonas privadas de la red de una organización. La falta de mecanismos de autenticación adecuados se puede traducir en vulnerabilidades graves en lo que respecta a la capacidad de una organización para proteger información sensible a lo largo de su ciclo de vida. Uno de los sectores en los que las vulnerabilidades de los sistemas de autenticación pueden tener consecuencias más graves es en el de la banca electrónica. Dado que las entidades financieras se enfrentan a ataques cada vez más sofisticados resulta clave que la identidad digital de sus clientes esté protegida en todo momento.

Desafortunadamente, las soluciones de autenticación de un solo factor  no protegen contra  amenazas muy conocidas, como los ataques del tipo Man-in-the-Browser (MitB) y Man-in-the-Middle (MitM), con los que los hackers secuestran la identidad del usuario durante una transacción y redirigen la transferencia de fondos. Este tipo de ataques se podrían evitar mejor con dispositivos de autenticación de última generación que utilizan sensores ópticos para leer los datos de transacciones financieras en la pantalla y generar una firma electrónica única que valida cada transacción. Seguidamente, el usuario teclea la firma en el navegador para confirmar el pago. Este enfoque combina la seguridad de las transacciones electrónicas mediante firma con autenticación y claves  de un solo uso, elimina el riesgo de manipulación de transacciones —así como de pérdida, robo o pirateo de contraseñas— y reduce el riesgo de robo de identidad.

Asimismo, existe la posibilidad de añadir capas de seguridad adicionales mediante el uso de la autenticación mediante certificado digital (CBA, por sus siglas en inglés) o el uso de la autenticación por contexto. La autenticación mediante certificado utiliza cifrado y claves  asimétricas asociadas con el dispositivo de autenticación y la persona que lo posee. Por otra parte, la autenticación por contexto utiliza información contextual para verificar la identidad de los usuarios o limitar el acceso a sistemas específicos o a contenido, basándose en perfiles de riesgo y criterios de análisis de perfil de usuarios.

A la hora de decidir acerca de la estrategia de autenticación de dispositivos y usuarios, es importante definir el tipo de mecanismo de autenticación que se empleará en la organización, teniendo en cuenta los costes, así como el perfil y número de usuarios, esquema de datos y los puntos de acceso que hay que proteger. Por ejemplo, aunque una empresa quiera tokens de seguridad híbridos para una máxima protección, tal vez no puedan hacer frente a la inversión inicial. Esto podría llevar a considerar la adopción de soluciones de software que ofrezcan un nivel de protección similar con un coste de propiedad inferior. Este tipo de soluciones pueden ser instaladas en ordenadores de sobremesa o en dispositivos móviles y ofrecen servicios de autenticación mediante contraseñas de un solo uso y autenticación por certificado.

La combinación de la autenticación multifactorial con políticas eficaces de gestión de seguridad y contraseñas, se puede reducir considerablemente el riesgo de accesos no autorizados a activos o datos corporativos.

No obstante, también se debe tener en cuenta la forma en que se gestiona la autenticación en un entorno de usuarios y sistemas heterogéneos. En este sentido, se pueden adoptar diferentes enfoques, desde una autenticación personalizada para casos puntuales hasta la gestión centralizada de la autenticación para múltiples puntos de acceso. Gracias a la gestión centralizada de credenciales distribuidas,  controles de acceso mediante perfiles  y la autenticación in situ y en la nube, las organizaciones podrán mejorar el control y la visibilidad de los datos, reduciendo costes. Todo ello, combinado con una sólida gestión del cifrado  de datos y de las claves, proporcionará una protección multicapa para garantizarla  seguridad y el cumplimiento de normas de protección de datos.

Para conseguir esto, responsables de tecnología deben establecer mecanismos eficaces para gestionar, supervisar y abordar los riesgos de seguridad. El uso de soluciones de autenticación fuerte como parte de un enfoque multicapa de la seguridad permitirá a las organizaciones resolver los desafíos que plantean la informática en la nube y el aumento exponencial en el tráfico de datos al tiempo que garantiza la confianza.