El estudio se concentró en la utilización de la autenticación de dos factores (A2F) en lugar de la autenticación de un factor mediante contraseñas estáticas.

Se realizó una encuesta a directores de seguridad y directores de sistemas de 166 medianas y grandes empresas de todo tipo de industria y de la administración pública, descubriéndose que 138 de ellas dependían aún de contraseñas estáticas para proteger el acceso remoto a sus sistemas.  Solamente la mitad de las entidades financieras y gubernamentales encuestadas empleaban sistemas de A2F,  séis organizaciones estaban evaluando este tipo de solución, dos más estaban inmersas en el proceso de implantación de este sistema y siete entidades querían saber más sobre él.

Lo preocupante es que el 75% de las entidades encuestadas no tenían ninguna intención de evaluar la posibilidad de adoptar un sistema de autenticación de dos factores para proteger de la intrusión  a sus sistemas.

A2F es el tipo de autenticación empleada para sacar dinero de un cajero automático. Se requiere que el usuario utilice algo que tiene, la tarjeta, y algo que sabe, el PIN. Sin ambos sería imposible retirar dinero. Esta metodología es aplicable para el acceso remoto a las redes internas corporativas. El usuario necesita disponer de una tarjeta inteligente,  un Token o un simple teléfono móvil con contraseñas dinámicas de un solo uso además de un PIN o contraseña. A2F mejora la protección de las redes y los datos que estas contienen.

Las 164 entidades encuestadas que facilitan el acceso remoto a sus redes internas utilizan pasarelas de VPN/SSL para cifrar las comunicaciones vía Internet, lo que proporciona un nivel básico de protección y no garantiza la identidad del usuario remoto si no se combina con A2F. Si un intruso accediese al sistema interno consiguiendo las contraseñas de otras cuentas, p. ej. a través de la ingeniería social, método bastante utilizado,  sería difícil de detectar precisamente porque el tráfico está cifrado. El ataque a una cuenta de usuario puede no descubrirse hasta pasado un largo periodo de tiempo lo que supone poner en peligro información valiosa, pudiendo llegar a convertirse en una sustanciosa fuente de apropiación indebida de datos confidenciales.

Esta baja tasa de adopción de A2F puede explicarse por la complejidad y el coste de los sistemas tradicionales que necesitan un despliegue de Hardware y, en muchos casos, requieren la instalación de Software adicional en los PCs usuarios. Se le añade, además, el inconveniente de tener que responsabilizarse de un dispositivo extra para la autenticación remota. Todo esto complica la labor de los responsables de informática de encontrar el equilibrio entre la funcionalidad y aceptabilidad por parte de los usuarios, y  un coste asequible sin restar seguridad del lado de la empresa.
 
Las entidades cuyo acceso remoto a la red  interna depende tan sólo de la protección limitada por contraseñas estáticas están más expuestas y corren un mayor riesgo de sufrir ataques.  La autenticación de dos factores asegura la identidad del usuario remoto.  El factor adicional puede ser una tarjeta inteligente con certificado, un dato biométrico o bien un dispositivo que genere contraseñas de un solo uso o, aún mejor, los sistemas más vanguardistas aprovechan la red de telefonía móvil para entregar contraseñas de un solo uso a través de SMS eliminando la necesidad de desplegar ningún Hardware ni Software adicional.

© 2009 Dot Force S.L.