Autenticación sin contraseñas

La piedra angular del modelo zero trust

4772

Ángel Ortiz

La contraseña es, a la vez, pieza fundamental y talón de Aquiles de la seguridad. Los trabajadores utilizan decenas de ellas, por lo que son difíciles de gestionar, provocan una mala experiencia de usuario y se ven puestas en riesgo con facilidad. Según Verizon, el 81% de las brechas de seguridad implican el robo de credenciales.

Además, suponen un coste oculto para las organizaciones, que dedican muchas horas de asistencia técnica al restablecimiento de contraseñas olvidadas, caducadas o comprometidas. Gartner estima que entre el 20% y el 50% de todas las solicitudes de ayuda de TI al año están relacionadas con las contraseñas.

En la última década, los gestores de contraseñas han ayudado a resolver esta complejidad. El siguiente paso ha sido la autenticación multifactor (MFA, por sus siglas en inglés), con distintas y válidas opciones que abarcan desde la tecnología push hasta la autenticación biométrica. Pero ¿qué hay del futuro?

Claves digitales y tecnologías biométricas

Hace un par de años, el consorcio World Wide Web publicó el estándar WebAuthn. Este estándar está integrado en los principales navegadores con la especificación FIDO2 y se encuentra combinado con tecnologías biométricas como TouchID/FaceID o Windows Hello. Esto supone la primera apuesta real de la industria por la autenticación sin contraseñas.

WebAuthn es una API de navegador que permite a las aplicaciones web crear credenciales sólidas basadas en claves públicas con el fin de autenticar al usuario. Gracias a ella es posible iniciar sesión con un único autentificador biométrico (o clave digital) para acceder a cualquier aplicación web. Combinada con sistemas single sign-on como el de Duo (parte de Cisco), ayuda a consolidar cientos de contraseñas y autenticaciones en un inicio de sesión sencillo y seguro.

Por su parte, las tecnologías biométricas en dispositivos móviles son ampliamente utilizadas. Según los datos de Duo, el 80% de aquellos que se utilizan para el trabajo tienen la funcionalidad biométrica configurada. Esto supone un aumento del 12% en los últimos cinco años.

Confianza cero

Avanzar hacia un modelo passwordless significa establecer una sólida garantía de la identidad sin depender de las contraseñas, lo que se logra facilitando la autentificación mediante datos biométricos, claves digitales o un dispositivo móvil. Sin embargo, algunas soluciones no están preparadas para satisfacer todas las necesidades actuales de las empresas.

Muchas de las herramientas que han llegado al mercado presumiendo de ser “sin contraseña” son en realidad de tipo password-lite o password-hidden, y la mayoría no integran o no refuerzan las políticas de seguridad de confianza cero (zero trust).

En el caso de Duo, la solución passwordless recientemente anunciada por Cisco, es completa e independiente de la infraestructura. Además, forma parte de la arquitectura zero trust de Cisco, que establece controles de supervisión de dispositivos y de comportamientos para reforzar aún más la seguridad del inicio de sesión.

Migración gradual

La autenticación sin contraseñas ofrece diversos beneficios, entre los que cabe destacar una mejor experiencia de usuario, reducción del tiempo y los costes de TI, y seguridad reforzada. Pero la adopción del modelo 100% passwordless requiere una adecuada planificación y debe ser gradual, comenzando por una cuidadosa selección de personas, dispositivos y aplicaciones.

Además, los entornos de TI son cada vez más complejos e híbridos, algo acentuado por la movilidad, el teletrabajo y el creciente uso de soluciones cloud. De hecho, la autenticación para las tecnologías de acceso remoto aumentó un 60% durante el confinamiento, mientras las autenticaciones diarias para aplicaciones albergadas en la nube crecieron un 40%.

La autenticación sin contraseñas es la piedra angular de una arquitectura de confianza cero, ya que comienza por la identidad el usuario. Tras proteger a la fuerza de trabajo, la estrategia zero trust debe abarcar otros dos pilares: las cargas de trabajo (automatizando la aplicación de políticas específicas para las aplicaciones) y el lugar de trabajo (asegurando todas las conexiones mediante autenticación y segmentación).

En resumen, la apuesta de Cisco por un futuro sin contraseñas se basa en cinco etapas:

  • identificar los casos de uso;
  • facilitar una sólida autenticación;
  • consolidar los flujos de trabajo;
  • mejorar la confianza de los usuarios; y
  • proporcionar una completa experiencia passwordless con inicio de sesión sencillo y seguro.

Todo ello integrado siempre en una verdadera estrategia de seguridad zero trust.