Scroll to top

Protege los datos de tus clientes: conoce 5 casos de uso de autenticación en dos pasos y MFA


06 diciembre 2023

Lectura: 8 minutos

En el siglo pasado, una persona que era experta en falsificación de firmas físicas era el adulterador por excelencia. Pero en un mundo cada vez más digital, los impostores más temidos son los piratas informáticos, también conocidos como hackers

Afortunadamente, para proteger los datos de clientes y empresas, existen herramientas de seguridad como la autenticación en dos pasos y multifactor (MFA). 

¿Quieres saber de qué se trata y de paso conocer 5 ejemplos de casos de uso? ¡Aquí te lo contamos!

¿Qué es la autenticación en dos pasos y MFA?

Los factores de autenticación permiten verificar la identidad de los usuarios antes de ingresar a su cuenta para realizar una acción, como concretar una transacción digital o acceder a la intranet de la empresa.

Respecto a los tipos de autenticación para la seguridad digital, existen la autenticación en dos pasos o factores (2FA) y la autenticación multifactor (MFA). En la primera se utilizan dos controles para verificar la identidad, mientras que en la segunda se pueden usar dos o más para robustecer las capas de seguridad.

Ahora bien, ¿cuáles son los factores más comunes para realizar transacciones seguras?

  • Factor de conocimiento: algo que el usuario sabe, como un código PIN.
  • Factor de posesión: algo que el usuario tiene, por ejemplo, un token de seguridad.
  • Factor de inherencia: solicita características biométricas como reconocimiento facial.
  • Factor de geolocalización: confirma la ubicación física del usuario.
  • Factor temporal: se utiliza un método de generación de contraseñas de un solo uso llamado OTP (One-Time Password).

5 casos de uso sobre seguridad

Para que te hagas una idea más completa de dónde y cómo utilizar los factores de autenticación en tu empresa, así como qué tipo de MFA funciona mejor dependiendo de la industria, aquí te compartimos 5 ejemplos de casos de uso para empresas.

  • Inicio de sesión en cuenta bancaria

A través de un celular, es común que las personas que tienen cuentas bancarias accedan a su aplicación ingresando nombre de usuario y contraseña. Pero, ¿qué ocurre si uno de tus clientes recibe un correo electrónico malicioso? El email parece ser del banco y solicita que haga clic en un link para verificar detalles en su cuenta. Acto seguido, pincha el enlace y rellena los campos de inicio de sesión. ¡Sorpresa! Es un ataque de phishing.

Desde otro lugar, un hacker se soba las manos y dice “tarea cumplida”. Porque esa persona envió el correo con el objetivo de robar la contraseña de tu cliente. Ahora tiene acceso a su cuenta y puede generar un descalabro económico. Por eso es tan importante que, como empresa, eduques financieramente a tus clientes para que no caigan en estas trampas y sepan que tu banco siempre solicita autenticación en dos pasos o MFA.

Los factores de autenticación garantizan que tu cliente sea realmente tu cliente cuando inicia sesión en el banco. Porque además de una contraseña, solicitas su celular o una huella digital. En estos casos, la autenticación ayuda en lo siguiente:

  • Proporciona una combinación balanceada entre seguridad y comodidad.
  • Fácil de configurar y usar, además de adecuada para la mayoría de los dispositivos.
  • Protege contra phishing y ataques de apropiación de cuentas.

*Transformación digital: cuando tu operación escala con productos SaaS.

  • Ingreso de credenciales de empleado

Pongámonos en el siguiente escenario: eres gerente de TI en una compañía de seguros. El activo más importante de tu compañía es la base de datos de los clientes, ya que contiene toda la información de los asegurados, incluidos datos personales y financieros.

Pero, cómo no, un día hace su aparición un espía cibernético con malas intenciones. A través de un sofisticado ataque de phishing, este hacker accede a las credenciales de inicio de sesión de un trabajador. Pésima noticia, porque ahora puede manipular y robar datos confidenciales de los clientes, exponiendo a tu compañía a violaciones de datos, transacciones fraudulentas, pérdidas financieras y sanciones regulatorias.

En esta situación, la autenticación multifactor es esencial para resguardar la privacidad de tus empleados y la base de datos de los clientes. Te recomendamos implementar autenticación con un dispositivo físico que sea difícil de robar o duplicar. Por ejemplo, un factor de posesión como celular o token de seguridad vendría de maravilla.

  • Descarga de archivo infectado

Eres jefe de producto de un banco y el equipo de marketing está realizando campañas específicas para promover una nueva aplicación financiera. Para ello utilizan un CRM como Salesforce que ayuda a monitorear las interacciones con los clientes, además de almacenar información valiosa como datos demográficos e intereses.

Lamentablemente, un trabajador del equipo de marketing descarga por error un archivo infectado con un keylogger. Este software malicioso registra todo lo que el empleado escribe en el teclado, incluyendo contraseñas e información confidencial. Las consecuencias pueden ser desastrosas: el pirata informático tiene acceso a Salesforce y a los datos de tus clientes.

¿Pero sabes qué? Nada de esto hubiera pasado si tuvieras activada la autenticación multifactor, ya que el hacker no podría iniciar sesión únicamente con una contraseña. Necesitaría otro factor de verificación, como de inherencia, geolocalización o contraseña de un solo uso (TOTP) que caduca rápidamente.

*Si quieres entender mejor a tu cliente, debes conocer qué es web scraping.

  • Acceso remoto a Intranet

Tienes un cargo como PMO y eres un apasionado de la gestión de proyectos TI. Actualmente trabajas en una clínica que, durante la pandemia, apostó por el acceso remoto para que médicos y personal administrativo puedan ingresar al registro de pacientes.

Pero la ocasión hace al ladrón, como reza el dicho popular. Un hacker detectó la oportunidad y se hizo pasar por una fuente confiable para enviar un email malicioso a uno de los médicos. Este correo deriva a una página de inicio de sesión falsa que es muy parecida al portal de acceso remoto de tu compañía.

Si no implementaste MFA, el doctor puede ser víctima de phishing y el atacante tendrá vía libre para obtener datos confidenciales de pacientes y sistemas médicos. Con MFA, incluso si el atacante captura las credenciales de inicio de sesión, no podrá ingresar al sistema sin un factor de autenticación adicional. Por ejemplo, un factor de inherencia como la huella digital o el reconocimiento de voz.

  • Login en software propietario

Un software propietario tiene código de fuente privado, derechos de autor y límites de uso. Es muy utilizado en las empresas y ejemplos hay por montones: Discord, WinRAR, Spotify, Google Play, Avast Antivirus y muchos más.

Imaginemos que eres ingeniero de software y trabajas en un proyecto que utiliza GitHub, una plataforma para la colaboración, administración y puesta en marcha de aplicaciones de código. Si para acceder sólo usas un nombre de usuario y contraseña, los hackers podrían poner en peligro estas credenciales a través de phishing o registro de teclas.

Además, con este ciberataque tendría acceso a tu repositorio de códigos, lo que tiene efectos lamentables como robo de datos, manipulación de códigos y alteraciones maliciosas. Lo bueno es que la autenticación multifactor sirve como disuasivo, ya que solicita tu clave de seguridad, dispositivo móvil o el acceso a tu app de autenticación.

*¿En qué debes fijarte al elegir una pasarela de pago para tu negocio?

Con Segpass aseguras tus transacciones

Nos aseguramos de que tus transacciones digitales tengan diferentes capas de seguridad multifactor. Para eso creamos Segpass, una librería de MFA enfocada en la seguridad transaccional bancaria.

Esta solución te permite añadir capas nuevas y más robustas para autenticar a tus clientes. Por ejemplo, a través de factores de conocimiento, inherencia y geolocalización. Pero, ¿cómo funciona Segpass?

  • Autenticación: responde al “¿quién eres?”, es decir, verifica la identidad.
  • Identificación: soluciona el “¿en realidad eres tú?”, estableciendo una identidad única para cada usuario.
  • Autorización: confirma los permisos y derechos de acceso basados en la identidad autenticada.

Nuestro equipo multidisciplinario está comprometido con el desarrollo de la industria financiera transaccional. Por eso nos aseguramos de que las transacciones digitales tengan diferentes capas de seguridad multifactor.

¿Quieres saber más sobre nuestro producto?

Sí, quiero una solución para mi empresa.