El pasado 18 de noviembre tuvo lugar NASEC 2021, el Foro & Developers Challenge de Navarra organizado por ATANA, con el patrocinio de Laboral Kutxa, el apoyo institucional de INCIBE y la colaboración de Veridas.
El evento tuvo lugar en la sede de la Confederación Empresarial Navarra (CEN) como iniciativa para sensibilizar a las empresas navarras sobre la importancia de contar con herramientas de ciberseguridad, y reconocer y visibilizar el importante trabajo de los técnicos que atienden la seguridad de instituciones y empresas.
Veridas tuvo una participación importante en el evento, pues nos encargamos de la organización del Challenge de Ciberseguridad del que hablamos en este artículo del blog, y el Foro de ponencias donde Gorka Sanchez, nuestro CISO & Director de Operaciones, habló sobre los nuevos factores de autenticación y la necesidad de adoptarlas, dejando una contundente conclusión: La seguridad con la que contamos, tanto individuos como empresas, es aparente.
Encontrándonos en la era de la Transformación Digital, necesitamos con urgencia nuevos factores de autenticación que nos permitan interactuar con empresas e individuos de forma segura, encontrando en la tecnología biométrica el aliado perfecto para lograrlo.
Desde Veridas, creemos que la combinación de la biometría y la Inteligencia Artificial son la única fórmula que mejora la seguridad y la experiencia de los usuarios, a la vez que permite a las empresas optimizar costes. Lo que nosotros llamamos el triángulo mágico de Seguridad, Experiencia de usuario y Optimización de costes.
La ciberseguridad nos afecta a todos; como individuos y como empresas
El número de interacciones que realizamos de forma digital aumenta de forma exponencial. Cada vez buscamos en mayor medida reducir los trámites que requieren nuestra presencialidad y preferimos hacer todo lo posible de forma remota, gracias a los grandes avances tecnológicos y de conectividad; algo que, a pesar de mejorar la experiencia del usuario, se ha convertido en un foco de delincuencia: en el año 2020 el número de estafas denunciadas por ciberseguridad en Navarra fue un 40% mayor que en el año anterior, llegando a las 4.000 estafas denunciadas.
Pero todas estas cifras no afectan sólo a individuos, sino también a entidades y empresas, pudiendo incluso, en un momento dado, desestabilizar y poner en grave riesgo el futuro de la misma; teniendo en cuenta que el rescate medio que se paga por un ataque de ciberseguridad es alrededor de 260 mil euros.
Pese a lo anterior, hoy en día, el 43% de las PYMES no implementa una base de seguridad razonable, lo que resultó en que en 2020 una de cada cuatro empresas sufrió algún ataque relacionado con la ciberseguridad.
Por estos y otros motivos, el mercado, empresas y usuarios demandan soluciones de seguridad que acaben de manera definitiva con este tipo de situaciones. Pero, ¿qué método es el más indicado para aumentar la seguridad en la autenticación de usuarios?
Tu email, un secreto a voces
El método tradicional de autenticación, un método que sigue siendo empleado en una inmensa mayoría de circunstancias, consiste en otorgar un usuario y una contraseña para navegar y realizar trámites de forma autenticada por la web, unas credenciales que deben ser sólo conocidas por su legítimo dueño.
Sin embargo, dado que la mayoría de los sistemas en Internet requieren un registro basado en el correo electrónico, este método de autenticación comienza a ser insuficiente, debido a que el usuario y contraseña otorgados pasan a ser el “usuario” de acceso de muchos de los espacios donde navegamos a diario. Esto hace que la seguridad de nuestros datos en la mayoría de los sistemas en Internet pase a ser la misma que la seguridad de nuestro servicio de correo electrónico.
“El email que antes era algo que solo debía conocer quien se lo habías dado para poder intercambiar correos, resulta ahora un secreto a voces”, declaró Gorka Sánchez.
Inconvenientes de los passwords
La única barrera que impide que alguien pueda acceder a un sistema son los passwords. Sin embargo, tampoco se puede considerar un procedimiento perfecto de autenticación ya que es un método:
- no seguro: acabamos re-usando la misma credencial o muy parecida, sencilla o repetida para poder recordarla. Esto reduce ampliamente la seguridad.
- incómodo para el usuario: entre otros, las políticas de seguridad obligan a una rotación frecuente y a usar passwords complejos, no repetidos, que dificultan que puedan ser recordados.
- ineficaz: los passwords son fáciles de vulnerar y en ocasiones también fáciles de robar; robos por ataques MITM, data breaches de sitios con passwords almacenados en claro, ataques a passwords, etc.
“Los passwords son un factor que hemos utilizado mucho como método de autenticación, pero adolece de muchos problemas”, explicó Gorka Sánchez.
¿Cómo mejorar tu seguridad? Autenticación reforzada: dos de tres
La autenticación reforzada, ahondó Sánchez en su intervención, es una autenticación donde se exige utilizar al menos dos factores de autenticación (2FA) elegidos entre estos tres grupos:
- Conocimiento: algo que el usuario conoce, como una contraseña o PIN.
Desventaja: la seguridad de las contraseñas es muy reducida, como se ha expuesto anteriormente. - Posesión: algo que el usuario posee, como una tarjeta de débito o un mensaje a un móvil.
Desventaja del OTP-SMS: hoy en día no es complicado encontrarse casos de suplantación de identidad, clonación de SIM ‘s de usuario o mensajes interceptados por troyanos, entre otros. - Inherencia: algo inherente al cliente, como su cara, voz o huella dactilar.
Dependiendo de la operación que se vaya a efectuar, los factores deben ser combinados, incluyendo más factores cuanto mayor sea el riesgo.
El uso de la autenticación reforzada reforzada para pagos está alentado por el Real Decreto-ley 19/2018 que aprobó la transposición de la directiva (EU) 2015/2366 que obligaba a usar la autenticación reforzada no más tarde del 1 de enero de 2021.
Además, la verificación en 2 factores (2FA) cumple con los requerimientos de la Normativa europea PSD2 , que requiere un mecanismo diseñado para reforzar los requisitos técnicos de verificación de la identidad de usuarios para servicios de pago.
Inherencia: el factor que aumenta la seguridad
La tendencia clara y demanda del mercado es la reducción progresiva de contraseñas, siendo los factores biométricos (voz o cara) los que se postulan como el complemento perfecto, siendo factores inherentes e incapaces de ser suplantados, lo que los hace muy seguros y convenientes.
Las ventajas de la biometría incluyen:
- Privacidad: te pertenece a ti y a nadie más. No puede ser suplantada, clonada, ni interceptada.
- Seguridad: permite pasar de la presunción a la certeza. Tenemos la seguridad de que el usuario es quien dice ser, teniendo en cuenta la ventaja anterior.
- Voluntaria: es el usuario quien tiene la decisión de hacer uso de ella.
Además, no hace falta tecnología compleja para hacer uso de factores biométricos. “El smartphone que todos tenemos en el bolsillo ya lleva el hardware suficiente para poder utilizarlos”, explicó Gorka Sanchez.
Veridas: propietarios de tecnología a la vanguardia
Veridas es una empresa SaaS que ofrece soluciones para verificar la identidad real de las personas en el espacio digital. Desarrollamos soluciones para que las empresas y organismos puedan resolver los problemas relacionados con la ciberseguridad y puedan interactuar de manera digital con empresas e individuos de forma segura.
“Nuestra misión – explicó Sánchez -es aportar soluciones tecnológicas a las empresas que les permitan saber con certeza con quién están interactuando a través de un canal digital. Por ello, desde hace más de cuatro años, fabricamos nuestro propio software que permite verificar la identidad de las personas, para posteriormente, poder autenticarse en cualquier tipo de operación que quieran realizar. Y lo hacemos desarrollando tecnologías propias de biometría facial, biometría de voz y para la verificación de documentos de identidad”,
Creemos que la combinación de la biometría y la Inteligencia Artificial son la única fórmula que mejora la seguridad y la experiencia de los usuarios, a la vez que permite a las empresas optimizar costes: “No solo es la seguridad lo que le interesa a nuestros clientes. También la autenticación biométrica tiene que ser cómoda de usar y con unos costes asumibles. Es lo que en Veridas llamamos el triángulo mágico de Seguridad, Experiencia de usuario y Optimización de costes” concluyó Gorka Sanchez.
