Los cibercriminales han perfeccionado sus métodos para burlar controles de acceso, obligando a las empresas a reforzar la autenticación en sus portales y aplicaciones. Sin embargo, estas medidas no deben afectar la experiencia del usuario legítimo. En Entelgy Security América apostamos por soluciones innovadoras como la autenticación sin contraseña y el análisis de comportamiento, que reducen la fricción para los clientes mientras elevan la seguridad contra los adversarios.
Por Rimel Fraile, Cybersecurity Director América
Recientemente, hemos observado cómo los adversarios maliciosos desafían los portales y aplicaciones con diversas técnicas de ataque para superar los controles de acceso, buscando robar credenciales y cometer fraude. Este reto lleva a las áreas de seguridad y a los desarrolladores a implementar mecanismos de autenticación fuerte, que terminan generando fricción en el usuario legítimo que desea consumir los servicios.
Hoy en día, el acceso a los servicios que prestan las aplicaciones debe generar la mínima fricción posible para que la experiencia del usuario no se vea afectada. En mi opinión La seguridad no debería ser perceptible para el usuario legítimo. Aquí es donde los responsables de ciberseguridad deben incorporar tecnologías disruptivas que permitan una fácil implementación, menor desgaste operativo y que finalmente friccionen sólo a los adversarios. En otras palabras, «poner difícil la entrada al delincuente, y mejorar la experiencia de acceso del usuario legítimo, para que el negocio no se vea afectado».
Los portales y aplicaciones móviles que van dirigidos a consumidores finales (que pueden ser infinitos) requieren controles de acceso que permitan evaluar comportamientos maliciosos, abusos y técnicas que los delincuentes instrumentalizan para cometer fraude. Un simple inicio de sesión con usuario y contraseña ya no es suficiente control, para la complejidad de ataques y capacidades que tienen hoy en día los adversarios. Sabemos que técnicas tradicionales como la ingeniería social, fuerza bruta y password spray permiten a los delincuentes superar las contraseñas. ¿Es entonces el fin de las contraseñas como las conocemos? En mi opinión, sí.
Recuerdo que hace 20 años podía tener claras mis contraseñas y había desarrollado una técnica de complejidad y mnemotecnia para recordarlas. Hoy en día, con la ciberdependencia que tenemos, sumado al sinnúmero de aplicaciones que manejamos y “mi edad”, (el buffer de mi memoria no me da para tanto); resulta muy difícil memorizar la cadena de caracteres de contraseñas de cada uno de los portales y aplicaciones. En la cotidianidad, nos vimos orientados a almacenar las contraseñas en bóvedas «especializadas para esto»; empecé a aceptar las sugerencias de contraseñas que ofrecen Google, Apple o Microsoft, y luego a asociarlas a un «authenticator» como doble factor de autenticación. Sin embargo, siento que esto nos fricciona en muchos casos y afecta la inmediatez del acceso, agregando un sinnúmero de condiciones que debo cumplir para poder acceder al servicio, me refiero a la necesidad de tener siempre mi celular a la mano (ciberdependencia). Pero en mi caso particular, funciona y me da tranquilidad.
Sin embargo, desde el punto de vista de los portales y aplicaciones móviles, implementar esta complejidad de autenticación sugiere un esfuerzo importante en el desarrollo. Aquí el reto está en la experiencia y conocimiento del equipo de desarrollo y su capacidades de implementar mecanismos alineados a algún tipo de estándar como FIDO, que permita no solo la autenticación y acceso, sino que también pueda dar suficiente visibilidad del uso y abuso de la aplicación. Hemos visto que suelen colocar umbrales (como el típico intento de acceso y bloqueo de cuenta) o reglas estáticas que los adversarios pueden identificar fácilmente con las capacidades de automatización (bots maliciosos) o TTP (Técnicas tácticas y procedimientos).
Es aquí donde soluciones tipo Passwordless integradas a motores de riesgo y flujos de decisiones basadas en comportamiento, pueden facilitar que la experiencia de fricción se aplique sólo a los usuarios que no son legítimos, combinando toda la telemetría que se pueda extraer del punto de acceso (entry point), que pueda dar cuenta de que quien está tratando de ingresar tiene un comportamiento malicioso, o es un usuario legítimo, mejorando la experiencia y el acceso al usuario legítimo.
¿Cómo funciona?
Sin entrar en términos técnicos y específicos, básicamente se trata de incorporar unas líneas de código en la aplicación, «delegando la autenticación» a un servicio SaaS que permitirá evaluar telemetría sobre el dispositivo, comportamiento humano y un sinnúmero de «datos» que pueden ser comparados con los comportamientos «anómalos usados por delincuentes». La elasticidad de la nube y la incorporación de la IA para analizar la información permite eficiencia y rapidez, que es importante en la experiencia del usuario.
Por otro lado, dar acceso a la aplicación no es suficiente, se requiere reconocer el comportamiento del usuario en la forma como usa la aplicación, entender si está ingresando desde un equipo «reconocido», desplazamientos del mouse, tiempos de tecleo, etc. Son datos que se evalúan para identificar si en realidad es un humano el que está manipulando la aplicación y no un bot que haya sido instrumentalizado para captar información o «cometer fraude» (aunque pienso que el que comete el fraude no es el bot, sino el delincuente que lo haya instrumentalizado, eso da para otra charla filosófica). Si tomamos como ejemplo un comercio o una entidad financiera, se requiere que la operación o transacción sea legítima y validada. En algunos casos usan OTP o mensajes de texto, que sabemos pueden ser interceptados o emulados por delincuentes, y en muchos casos se trata de un número, que no lleva contexto de la transacción y el cliente legítimo termina dando a «ciegas» una autorización sin conocer el detalle, facilitando al delincuente el fraude.
Las áreas de desarrollo quizá entienden estos asuntos y su importancia, pero la realidad es que es un reto donde prevalece «lo práctico» frente al coste y el tiempo de go-to-market. En otras palabras, van por la ruta fácil, dejando una «vulnerabilidad» con un control (login y password) que hace 20 años era efectivo y que hoy no es suficiente.
Desde Entelgy Security América impulsamos plataformas unificadas Customer Identity and Access Management (CIAM) , que permiten implementar capacidades de verificación de identidades, prevención de fraude de una manera muy rápida; evitando que las áreas de desarrollo deban invertir esfuerzos y permitiendo una mejor experiencia al usuario (cliente) final del portal o de la aplicación móvil.
Si actualmente tienes problemas de fraude en tus portales, requieres reforzar la autenticación de tus aplicaciones móviles o simplemente estás interesado en conocer más al respecto, déjanos tu comentario.