Autenticacion por Doble Factor

delincuentes - roboUn sistema informático que recibe conexiones de clientes o usuarios para realizar operaciones, presenta tres problemas de seguridad:

  • El servidor debe asegurarse que el usuario es quien dice ser y no se está suplantando su identidad.
  • El usuario debe asegurarse que el servidor es el auténtico y no está siendo engañado por un atacante
  • Que la comunicación, en caso de ser intervenida, no sea legible para el atacante.

Según lo indicado en el sito csospain.es, los sistemas basados en Doble Factor se presentan para asegurar el primer punto, es decir, evitar la suplantación de identidad del usuario. Se utilizan normalmente, bien al ingresar en el sistema o bien para confirmar operaciones especiales o de alto riesgo.

Conceptualmente hay dos formas de suplantar la identidad de alguien:

  • El atacante conoce su mecanismo de autenticación, generalmente usuario y contraseña.
  • El atacante se mete en medio de la comunicación, echa al usuario y se hace pasar por él.De todos es sabido que existen troyanos especializados en capturar pulsaciones de teclado y enviarlas al atacante para suplantar la identidad de la víctima. Los sistemas antivirus son una buena medida, pero por desgracia no son infalibles.

Además, los “malos” comparten constantemente información actualizada de cómo evitar que los troyanos sean detectados e incluso de cómo detener el antivirus sin que el usuario pueda darse cuenta.

Este tipo de troyanos atacan los sistemas de autenticación basados en “lo que el usuario sabe”, es decir, usuario y contraseña, y opcionalmente, clave de operaciones. En algunos casos se solicitan algunas posiciones de la clave de operaciones y en otros se pide la clave entera. Simplemente es cuestión de tiempo el hacerse con el valor de todas las posiciones y por tanto de toda la clave.

Los sistemas de Doble Factor van más allá de “lo que el usuarios sabe” e incluyen el concepto de “lo que el usuario tiene” (y el atacante no puede tener). Por lo general, ese dispositivo que el usuario tiene, genera una contraseña de un solo uso (OTP, One Time Password) que para nuestra desgracias puede ser capturada por el atacante una vez generada. Realmente, el objetivo es utilizar un sistema de autenticación ajeno al canal que estamos usando, de esta forma no dependeremos de las debilidades asociadas al medio.

No olvidemos algo básico y es que en el el proceso de autenticación hay un cliente con un ordenador usando un navegador en el que es relativamente sencillo inyectar código. Este es el quid de la cuestión. La inyección de código y el secuestro de sesión son nuestros puntos débiles.

No debemos caer en el error de pensar en la fortaleza de los actuales sistemas de teclados virtuales, donde las teclas se colocan de forma aleatoria y el usuario hace clics de ratón para marcar los número. Evidentemente, es más que nada, pero existen troyanos especializados en capturar pulsaciones de este tipo de teclados.

En realidad los sistemas de Doble Factor ponen las cosas más difíciles, que no es poco, pero no son la panacea universal. Si un atacante captura un usuario-contraseña, podrá suplantar la identidad de la víctima siempre que quiera hasta que sea descubierto. Mediante un Doble Factor solo podrá suplantar la identidad de la víctima en el momento que esta usa el mecanismo de Doble Factor y además se ha interceptado la sesión, ya que el atacante no puede generar una OTP válida para esa sesión.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top