Los espacios de trabajo compartidos se están consolidando en las empresas. Si las contraseñas también se comparten, pueden ser una puerta de entrada para los piratas informáticos. Esto lo demuestra el Informe de investigaciones de violación de datos de Verizon de 2023. Pero también es mucho más fácil y seguro con la autenticación sin contraseña.
El ahorro de costes y el aumento de la productividad son los argumentos decisivos a favor de los espacios de trabajo compartidos para los empleados. De hecho, los espacios de trabajo compartidos se han generalizado en muchas industrias. Sin embargo, las empresas tienen que hacer frente a los riesgos de seguridad. Esto comienza con garantizar que solo los usuarios adecuados tengan acceso a los dispositivos compartidos.
Las contraseñas compartidas son un peligro
Los datos de inicio de sesión compartidos o las notas adhesivas con contraseñas válidas son una práctica común si varias personas necesitan tener acceso a una estación de trabajo compartida. Por ejemplo, porque los cambios frecuentes de turno, el trabajo estacional o las grandes fluctuaciones de personal están a la orden del día y, por lo tanto, se considera la opción más práctica permitir a cada empleado acceder a los recursos necesarios en cualquier momento a través de una "llave maestra". Este cuestionable enfoque tampoco es desconocido para los ciberdelincuentes. Para ellos, las credenciales y contraseñas robadas son extremadamente atractivas: según el Informe de investigaciones de violaciones de datos de Verizon de 2023, el 81 por ciento de las violaciones de datos son causadas por contraseñas robadas o débiles.
Por qué la autenticación multifactor clásica no es una solución
El primer impulso para cerrar brechas de seguridad tan evidentes es la autenticación multifactor (MFA). Sin embargo, la MFA móvil, que funciona con SMS, códigos OTP y notificaciones automáticas, es muy vulnerable a amenazas cibernéticas como phishing, ataques de fuerza bruta, ataques de intermediario (MiTM), malware y ataques a SIM. No se puede proporcionar prueba de propiedad de la clave, ni prueba de que la clave privada realmente haya llegado de forma segura al dispositivo móvil. Interceptar códigos OTP o claves privadas tampoco supone un gran desafío para los ciberdelincuentes. ¿Y si la batería del dispositivo móvil se agota o en casos concretos no está permitido el uso de este tipo de dispositivos?
¿Qué constituye una buena solución?
Por lo tanto, al elegir una solución adecuada, es fundamental tener en cuenta los factores de eficiencia, confiabilidad, costos y otras variables externas que pueden tener un impacto negativo en el rendimiento de la solución. Además, también se trata de responder preguntas que giran en torno a los temas de verificación de usuario y conveniencia del usuario: ¿Cómo puede un usuario demostrar su legitimidad al registrarse? ¿Cómo se asegura de que puedan autenticarse sin problemas en múltiples dispositivos? ¿La autenticación también funciona en condiciones difíciles? ¿Y se puede reducir a largo plazo el número de tickets de soporte relacionados con la autenticación?
Reemplace las contraseñas con autenticación sin contraseña
Pasar de la MFA tradicional a la MFA resistente al phishing es un paso importante para proteger los entornos de trabajo compartidos. El siguiente paso en la MFA moderna es la introducción de la autenticación sin contraseña. Una OTP por SMS es una opción para la autenticación sin contraseña, pero difícilmente puede cumplir con todos los requisitos enumerados. Las tarjetas inteligentes clásicas son otra forma de autenticación sin contraseña que, si bien brindan mayor seguridad que SMS OTP, generalmente requieren altos costos de inversión para lectores de tarjetas inteligentes, tarjetas y plataformas de administración de backend y no brindan la mejor experiencia de usuario en teléfonos inteligentes o tabletas.
Más en Yubico.com
Sobre Yubico
Yubico establece nuevos estándares globales para el acceso fácil y seguro a computadoras, dispositivos móviles, servidores y cuentas de Internet. El producto insignia de la empresa, YubiKey, proporciona una protección eficaz basada en hardware para cualquier cantidad de sistemas de TI y servicios en línea con solo tocar un botón. El YubiHSM, el módulo de seguridad de hardware altamente portátil de Yubico, protege los datos confidenciales en los servidores.