Con la explosión de la ciberdelincuencia, la expansión del teletrabajo y el incremento de los accesos de terceros a las redes de las organizaciones, la importancia de la ciberseguridad no deja de ganar peso. En este contexto, la autenticación segura en los sistemas software es tan esencial como la gestión de las contraseñas empresariales, que siguen siendo el método de autenticación más extendido. Un uso o gestión no adecuado de estas implica correr grandes riesgos y ofrecer oportunidades que pueden ser aprovechadas por los hackers.

Esa es la situación que quería evitar Mirai. Esta empresa está especializada en ayudar a hoteles y cadenas hoteleras a optimizar su distribución llevando a su máximo potencial la venta directa. Para ello, presta servicios de consultoría en estrategia de distribución, motor de reservas, diseño web, marketing digital y conectividad con metabuscadores. Con un equipo que supera los 120 profesionales, Mirai colabora actualmente con más de 2100 establecimientos hoteleros. En lo que va de año ya ha gestionado más de 700 000 reservas. Además, sus previsiones de crecimiento son prometedoras, especialmente en el mercado internacional.

De acuerdo con estas previsiones, era necesario proteger adecuadamente la gestión de los accesos con contraseña, y hacerlo además de una forma sencilla, eficiente y efectiva en coste. “No teníamos un verdadero control de quién accedía a qué; y existían malas prácticas, como la reutilización o el uso de una misma contraseña para el acceso a distintas aplicaciones. Una clave que además se apuntaba en un papel o en un archivo Word, con todos los riesgos que esto implica”, explica el CTO de Mirai, Joaquín Fernández.

Los profesionales de Mirai acceden a diario a diversas aplicaciones, que incluyen, entre otras, herramientas en la nube, como Google Workspace (G-Suite) o Zoom, y otras en on-premise, como la plataforma FileMaker. Aunque el 90 % de los usuarios solo utiliza tres o cuatro aplicaciones, también existen algunas que son específicas y otras para las que hay un acceso compartido. “Nuestro objetivo —añade Fernández— era unificar la autenticación para que los usuarios accedieran a las distintas aplicaciones autenticándose una sola vez; y teníamos claro que el camino era una solución en la nube, en modo SaaS, que no nos exigiera mantener servidores ni pagar licencias y mantenimiento”.

IDaaS, innovación en modo servicio

En esa situación, Mirai analizó y comparó distintas soluciones IDaaS (Identity as a Service), y tras poner a prueba la tecnología de Okta, se decantó por ella. En esta elección influyó la potencia de sus herramientas para la identificación, autenticación y autorización mediante single sign-on (SSO), directorio universal (UD) y autenticación adaptativa multifactor (Adaptativa MFA), disponibles en modo servicio y en las que confían más de 13.050 organizaciones en todo el mundo.

En la actualidad, 120 usuarios de Mirai se autentican en Okta y ya se han integrado en la solución más de veinte aplicaciones

Además, para la implantación, Mirai entró en contacto con Grupo CMC, partner de Okta desde hace dos años y actor reconocido en el mundo de la gestión de identidades y la autenticación. “Queríamos que una empresa con experiencia nos ayudase en la implantación, pero, al tratarse de una función nuclear y tan crítica, también queríamos aprender y poder ser nosotros mismos los que nos encargásemos del mantenimiento”, detalla Fernández.

Por tanto, el proyecto se ha desarrollado de forma conjunta entre Mirai y Grupo CMC, que ha transmitido a la empresa usuaria su conocimiento de la tecnología de Okta, y específicamente de los distintos tipos de integración disponibles en la plataforma. Con ese objetivo, Mirai eligió varias aplicaciones que le han servido de ejemplo para aprender el funcionamiento de los distintos tipos de integración en Okta: SAML (Security Assertion Markup Language); OpenID Connect (una capa de identidad sobre el protocolo OAuth 2.0 para verificar la identidad de un usuario a partir de la autenticación realizada por un servidor de autorización, así como para obtener información del perfil del usuario utilizando un esquema REST); y SWA (Secure Web Authentication), tecnología desarrollada por Okta para proporcionar funcionalidad single sign-on a aplicaciones externas que no admiten protocolos federados.

Okta se ha convertido en el directorio universal (UD) de Mirai, que no descarta eliminar el directorio activo (AD) de Microsoft

En la actualidad, 120 usuarios de Mirai se autentican en Okta y ya se han integrado en la solución más de veinte aplicaciones. De esta forma, Okta se ha convertido en el directorio universal (UD) de Mirai, que no descarta eliminar el directorio activo (AD) de Microsoft. “Ahora —describe Fernández— los usuarios se crean en Okta y a partir de ahí utilizan sus credenciales dentro de la plataforma”.

Okta también se puede configurar para que las aplicaciones más críticas estén sometidas a un doble factor de autenticación, de manera que, además del login, se exija el uso de un código que la plataforma envía automáticamente a una app o por correo electrónico.
Mirai ya está estudiando las posibilidades de esta función, y también contempla dar un salto y utilizar Okta para autenticar no solo a sus empleados sino también a sus clientes. Igualmente se valora la posibilidad de dar un paso más e integrarlo con un sistema wifi en las oficinas y con la autenticación a través de un servidor RADIUS en la nube.

Despliegue en tiempo récord

Cabe destacar la velocidad, tan solo dos semanas, con la que se ha centralizado la autenticación. “Ahora —describe Fernández— tenemos centralizada en Okta la gestión, y resulta muy sencilla y eficiente: el usuario se da de alta en Okta y es muy fácil aprovisionar aplicaciones, no es necesario ir aplicación por aplicación dando o quitando acceso”.

También se puede configurar para que las aplicaciones más críticas estén sometidas a un doble factor de autenticación

El nuevo sistema también resulta ventajoso en términos de costes: se pasa de un CAPEX (coste fijo) a un OPEX (coste por servicio), y además no implica cargos adicionales, como los asociados a su monitorización o backup. “Okta, que tiene un coste por usuario, no es una solución barata si se compara con otras soluciones IDaaS —reconoce Fernández—, pero no cabe duda de que es menor que el coste, económico y reputacional, de un potencial incidente de seguridad”.

En suma, los resultados del proyecto son satisfactorios y, además —y este aspecto es crucial— la empresa ha acogido el nuevo sistema de forma positiva. El CTO de Mirai pone el acento en “la profesionalidad, la accesibilidad absoluta y la seriedad en el cumplimiento de los plazos de Grupo CMC —y subraya que— las expectativas se han cumplido con creces y la aceptación por parte de las personas, que suelen ser reacias al cambio, ha sido muy buena. Ha sido un gran avance, no solo desde el punto de vista de la seguridad, sino también desde el de la comodidad”.