Hacia una cultura de la prevención

La ciberseguridad es la práctica de proteger los sistemas informáticos y la información sensible de ataques digitales. De acuerdo con IBM, los ciberdelincuentes buscan recabar información de identificación personal y otros datos como los de tarjetas de crédito para vender esta información en mercados clandestinos.

Algunas de las amenazas a las que nos enfrentamos con mayor frecuencia se detallan en la siguiente infografía.

Como puede apreciarse en la infografía, los seis tipos de ciberataque más comunes son:

• Malware. Es software malicioso como gusanos, virus, troyanos y software espía, que brindan acceso no autorizado a un sistema informático o causan daño a una computadora.

• Phishing. Es una forma de ingeniería social que consiste en el robo de identidad. El cibercriminal se hace pasar por una empresa o institución para obtener datos sensibles de la víctima.

• Amenazas internas. Empleados enfadados o que trabajen para ellos mismos pueden representar una amenaza si cuentan con acceso a los sistemas de la empresa. Estas amenazas son invisibles para las soluciones de seguridad tradicionales como firewalls.

• Ransomware. Es un tipo de malware que bloquea archivos o sistemas y amenaza con borrar todos los datos, a menos que se pague un rescate a los ciberdelincuentes.

• Ataques distribuidos de denegación de servicio (DDoS). Este ataque bloquea un servidor, sitio web o red sobrecargándolos con tráfico, generalmente de múltiples sistemas coordinados.

• Ataques de intermediario. Es un ataque de espionaje en el que el ciberdelincuente intercepta las comunicaciones entre dos partes para robar datos.

Métodos de autenticación y seguridad de las contraseñas

Una de las recomendaciones principales para proteger nuestra información es contar con métodos de autenticación seguros; es decir, que los sistemas nos reconozcan y protejan contra ataques de adivinación o fuerza bruta.

Tradicionalmente, el método de autenticación se ha basado en los passwords o contraseñas, pero para lograr una contraseña segura se deben cumplir protocolos que hacen el proceso una terrible experiencia:

• Que sea fácil de recordar para ti, pero difícil de adivinar para terceras personas.

• Que no contenga palabras comunes ni información personal.

• Que cuente con 12 caracteres o más, y con combinaciones de letras, números y símbolos ASCII.

• Que no se repita en ningún otro sistema, red o sitio web.

El esquema de passwords por sí solos es una medida de autenticación cada vez más caduca, puesto que son fácilmente adivinados u obtenidos mediante distintos métodos de ciberataque, muchos de los cuales vimos en la sección anterior. Por ello, para autenticarse de manera segura, un usuario normalmente proporciona, además de su nombre de usuario, alguna combinación de los siguientes elementos complementarios:

• Contraseña alfanumérica

• Contraseña OTP o One Time Password

• Certificados PKI sobre tarjeta inteligente o USB

• Tarjetas inteligentes

• Factores biométricos, como la huella dactilar o el iris

Todos estos factores combinados potencian la seguridad, sin embargo, gestionarlos puede representar un problema, dado que el ciclo de vida de cada factor de autenticación tiene que administrarse con contraseñas, códigos PIN y en muchas ocasiones, objetos físicos como las memorias USB, tarjetas, un celular en concreto que sirva como llave, entre otros.

Además, se añaden costos periféricos como los lectores y sensores biométricos, sin mencionar que ¿quién puede recordar el password de cada una de las cuentas que administra en el trabajo (además de sus cuentas personales) en especial si tienen la complejidad requerida para que sean contraseñas seguras?

El Magic Link de Mints.cloud: revolucionando el CX de los passwords

Ante este panorama, en Mints Cloud hemos ideado una solución. Creemos firmemente que la seguridad puede y debe ir de la mano con una buena experiencia de usuario, por lo que queremos migrar a un esquema sin contraseñas.

En la década de los sesenta, cuando las computadoras comenzaron a popularizarse, el único método de autenticación eran los passwords, pero a comienzos del siglo XXI estas formas están cayendo en desuso puesto que son datos fácilmente robados o adivinados. ¿Y si son el factor más inseguro para autenticarse, para qué seguir usándolos?

Tampoco necesitamos que inventes un nombre de usuario único, sabemos que tu correo electrónico o tu teléfono celular ya es único y que tú eres el único con acceso. Partiendo de ahí, pensamos que el lugar más seguro para recibir un enlace de acceso a cualquier otra plataforma o sistema, es justo ahí, en tu correo electrónico o tu teléfono celular.

Al enviar un Magic Link a través de estos medios de contacto, solamente tú puedes acceder, solo hay que dar clic, y nuestros usuarios pueden entrar a eventos virtuales, promociones, sitios o aplicaciones web, entre otras plataformas. Una vez autenticados, se les puede redirigir a todo tipo de contenido, ya sea un artículo, una videoconferencia, etc. ¿Y qué garantiza la seguridad y los beneficios de este esquema?

Beneficios de Magic Link

1. Los usuarios no necesitan crear, recordar o recuperar contraseñas, por lo que tienen una mejor experiencia de usuario, accediendo fácilmente a las plataformas.
2. Las aplicaciones que implementan los Magic Links pueden elegir si el link de autenticación llegará a los usuarios finales a través del correo electrónico, un mensaje SMS o WhatsApp.
3. Distribuir accesos a varios usuarios es tan simple como enviarles un correo electrónico y tan fácil para quien recibe la invitación como hacer un solo clic.
4. Los negocios optimizan el soporte técnico al eliminar las consultas relacionadas con la ayuda para restablecer contraseñas y problemas para iniciar sesión.
5. El magic link puede limitarse a un número determinado de sesiones simultáneas. Es decir, que los negocios pueden decidir en cuántos dispositivos pueden tener sesión al mismo tiempo los usuarios.
6. Los magic links además pueden programarse para caducar después de un periodo de tiempo, aumentando la seguridad y permitiendo restringir acceso a quienes ya no deban tener acceso.
7. El Phishing o robo de identidad, así como los posibles ataques con ransomwares (secuestro de datos a las organizaciones) disminuyen. En cuanto al Phising, porque es muy poco probable que se hackee el correo electrónico de un usuario o que se intercepten sus comunicaciones telefónicas vía SMS o Whatsapp. En cuanto al ransomware, porque la empresa no almacena datos personales sensibles en los que los ciberdelincuentes puedan estar interesados.
8. Permite trabajar en un esquema Zero Trust. Como hemos visto anteriormente, muchos de los ataques cibernéticos en las organizaciones ocurren debido a amenazas internas. Las estrategias de seguridad Zero Trust están basadas en la validación de cada usuario, dispositivo y conexión en el negocio, y en el hecho de crear una única identidad de usuario sólida a través de un ID, en este caso, el correo electrónico o número celular.

En conclusión…

Las contraseñas tuvieron su razón de ser, pero ya son cosa del pasado… lo de hoy son los métodos de autenticación que sean amistosos con el usuario, como los magic links.

Además de conseguir que los usuarios se sientan cómodos y satisfechos a la hora de ingresar a las aplicaciones, con Magic Link las empresas se benefician al eliminar los procesos de generación y recuperación de passwords, así como todas sus incidencias en soporte técnico.

El futuro del marketing es la personalización, y cada vez es más claro que los celulares y dispositivos móviles en general, que detectan nuestras huellas digitales o nos dan acceso al reconocer nuestra cara, son parte de nuestra identidad y son una llave mucho más segura que el anticuado sistema de las contraseñas alfanuméricas.