El método de autenticación preferido sigue siendo la combinación de nombre de usuario y contraseña, advierte Alexander Koch de Yubico.
Está claro que los avances en la tecnología de inteligencia artificial harán que en el futuro sea aún más fácil para los piratas informáticos descifrar contraseñas. Gracias al phishing asistido por IA, incluso las contraseñas complejas ahora son vulnerables a los ciberataques. Por lo tanto, con el aumento de las violaciones de seguridad, es hora de pasar de los métodos de autenticación clásicos, como nombres de usuario y contraseñas, a soluciones de autenticación multifactor (MFA) resistentes al phishing, como las claves de seguridad.
Los generadores de contraseñas fallan con la IA
Sorprendentemente, una herramienta de inteligencia artificial ya pudo descifrar cada segundo de las contraseñas comunes en una prueba descifrando una base de datos que ya no existe con alrededor de 15.680.000 contraseñas reales. Si bien la IA ignoró las contraseñas con menos de cuatro caracteres y aquellas con más de 18 caracteres, pudo descifrar la mayoría del resto en menos de 60 segundos. Algunas contraseñas más largas y complejas, como las creadas por generadores de contraseñas que utilizan letras mayúsculas y minúsculas, números y caracteres especiales, tardaron más en descifrar la IA. Sin embargo, el 81 por ciento de las contraseñas fueron descifradas en un mes.
La verdadera amenaza es que estas nuevas herramientas de IA podrían reducir el costo y la complejidad de ciertos ataques informáticos y al mismo tiempo aumentar su utilidad. Este es un gran problema para la mayoría de los usuarios que todavía dependen de las contraseñas porque están convencidos de que están seguras con combinaciones largas y complejas.
MFA resistente al phishing
A medida que avanza la adopción de herramientas de IA, es importante centrarse en alternativas que minimicen los riesgos asociados. Aquí es donde entran en juego fuertes métodos de seguridad basados en identidad y MFA resistentes al phishing.
A medida que la eficacia de las medidas de identidad, como la verificación de voz y vídeo, sigue disminuyendo, una identidad electrónica fuertemente vinculada es fundamental para proteger eficazmente contra ataques sofisticados como el phishing. Las credenciales vinculadas al hardware y basadas en principios criptográficos son ideales para estos escenarios, como las claves de seguridad de hardware FIDO2.
¿Por qué la clave de seguridad FIDO2?
Con la alianza FIDO (Fast Identity Online), proveedores de tecnología como Yubico, Google, Apple y Microsoft se han fijado el objetivo de eliminar por completo las contraseñas. El uso de métodos de autenticación alternativos y modernos, como claves de acceso y claves de seguridad basadas en el protocolo FIDO, es resistente al phishing y la IA no puede derrotarlo.
Las claves de seguridad FIDO2 son resistentes al phishing porque las credenciales están vinculadas a una parte confiable específica, lo que evita que los atacantes aprovechen la incapacidad humana para distinguir un 0 (cero) de una O (O mayúscula) en la URL de un sitio web malicioso. Las credenciales se almacenan de forma segura en la clave, evitando que se transfieran a otro sistema sin el conocimiento del usuario o accidentalmente. El uso de autenticadores FIDO2 también reduce la efectividad de la ingeniería social a través del phishing: no se puede engañar a los usuarios para que compartan una contraseña de un solo uso con terceros, ni los atacantes pueden robar códigos de autenticación SMS directamente a través de un ataque de intercambio de SIM. NetMedia-Alemania-Alejandro Koch, Traducido al español