¿Quieres que tus clientes se sientan seguros cuando realizan transacciones con tu empresa? Estamos acostumbrados a que cuando entramos en una página web nos soliciten el nombre de usuario y la contraseña, sin embargo, esta forma de identificación no está exenta de riesgos y no son pocas las empresas que han sufrido ciberataques que han puesto en riesgo la seguridad de miles de clientes. Para una mayor seguridad se puede utilizar la autenticación de doble factor. En este post te contamos en qué consiste, cómo se utiliza y en qué casos se puede aplicar.
Todos tenemos información en diversas páginas webs y no tiene la misma relevancia la información de las cuentas bancarias, que la de una red social, por ejemplo. En este sentido, según Forbes las empresas de servicios financieros son víctimas de ciberataques con una frecuencia 300 veces mayor que las empresas de otros sectores. Ante esta situación, la autenticación de doble factor es un elemento más que puede proteger aquella información más sensible.
Índice de contenidos
Riesgos de ciberseguridad en las empresas
Actualmente existen multitud de amenazas relacionadas con la ciberseguridad y pueden suponer graves perjuicios para las empresas y sus clientes. Según un informe de Allianz sobre el Barómetro de riesgos de 2020, el cibernético es, por primera vez, el principal riesgo mundial para las empresas, relegando a puestos inferiores riesgos como la pérdida de beneficios.
Algunos de los incidentes más habituales en la ciberseguridad de las empresas suelen ser: suplantaciones de identidad, fugas o robos de información, publicaciones de informaciones negativas o usos de derechos de propiedad intelectual no consentidos. Todos estos peligros pueden generar no solo una mala imagen de la empresa, sino también un incumplimiento de cara a la Ley Orgánica de Protección de Datos.
Además, existen una serie de comportamientos que provocan riesgos de ciberseguridad en las empresas, entre los que destacan:
- Utilizar dispositivos externos (USB) en el ordenador corporativo. Para evitar problemas lo mejor es el que el USB sea analizado o formateado, de manera que evite que el equipo corporativo se infecte. Como alternativa al USB se puede utilizar el almacenamiento en la nube.
- Uso de redes sociales en ordenadores de la empresa. El intercambio de mensajes en redes sociales o la descarga de archivos puede poner en peligro los equipos de la empresa.
- Uso de una red wifi pública para acceder al correo corporativo, por ejemplo, puede poner en peligro los datos sensibles de clientes y de la empresa.
- No bloquear el equipo o dejar la sesión abierta. Para evitar el peligro que supone que el equipo pueda ser consultado o usado por cualquiera, es aconsejable configurar un bloqueo automático.
- Descargar archivos sin analizarlos antes. La bandeja de entrada del correo electrónico sigue siendo uno de los mayores peligros para las empresas. Es habitual que se descarguen archivos que pueden ser virus y que infecten el equipo a la vez que expongan datos sensibles. Para evitar este problema es aconsejable analizar con un antivirus cualquier archivo que se reciba antes de descargarlo.
- Gestión ineficiente de contraseñas y permisos. En este sentido, la responsabilidad es del empleado y de la empresa, por un lado, la empresa debería establecer determinados niveles de seguridad, de forma que se evite que cualquiera pueda acceder a todo tipo de información, por otro lado, es aconsejable que los empleados sean formados para evitar acciones como no cerrar la sesión de sus correos, deja abierta una página en la que se ha entrado o marca la opción “recordar contraseña” en el navegador, entre otras. Esto supone un riesgo ya que otras personas podrían aprovechar el descuido para obtener datos y utilizarlos.
Por lo tanto, evitar los riesgos de ciberseguridad depende de las empresas y de los empleados y es necesario saber a qué nos enfrentamos con pequeños descuidos o errores que ponen en peligro datos importantes de la empresa.
¿Qué es la autenticación de doble factor?
Con la crisis derivada de la COVID-19 las empresas han tenido que acelerar su transformación digital y han surgido una serie de riesgos que podían afectar a su negocio, por eso se han comenzado a utilizar elementos que aportan una mayor seguridad y generan más confianza en empleados y clientes. En este sentido, se ha comenzado a generalizar el uso de la autenticación de doble factor, pero ¿en qué consiste?, ¿Cuándo se usa?, ¿Cómo se aplica?
La autenticación de doble factor consiste en comprobar mediante dos mecanismos diferentes que la persona que intenta entrar en una web o realizar una acción es quien dice ser. Es decir, añade un factor de seguridad adicional que complica un ciberataque. En el caso de Lleida.net se trata de un código de un solo uso que se genera de forma aleatoria y bajo petición, se envía al usuario por SMS y se usa junto con la identificación y la contraseña.
Como decíamos anteriormente, lo habitual es que para entrar en una web se utilicen:
- Un usuario, que identifica a la persona, es decir, le dice al sistema quién es esa persona.
- La contraseña que autentica al usuario, es decir, permite comprobar que esa persona es quien dice ser.
Pero, cuando se utiliza la autenticación de doble factor se añade otra forma adicional de autenticación que puede consistir en un código que recibe el usuario mediante un SMS o correo electrónico o una tarjeta de coordenadas, por ejemplo. Muchas entidades financieras utilizan la autenticación de doble factor desde hace tiempo, pero, debido a la generalización del uso de internet para multitud de gestiones, cada vez más empresas de diversos sectores utilizan este método .
¿Cómo funciona la autenticación de doble factor?
El uso de la autenticación de doble factor es muy sencillo:
- El usuario accede a la pantalla de inicio de sesión del servicio al que quiera entrar.
- Introduce su usuario y contraseña en la web (son datos que ya conoce).
- A continuación, se le pide que confirme la autenticación y el sistema le enviará un SMS a su teléfono móvil con un código que tendrá que introducir en la página de acceso. Adicionalmente, se podría introducir un tercer factor de seguridad, por ejemplo, un dispositivo que identifique a la persona por la huella dactilar, por el iris o mediante reconocimiento facial.
- Finalmente, el usuario accederá a la web de forma segura.
¿Es un método totalmente seguro?
Evidentemente la autenticación de doble factor es más segura que las contraseñas por sí solas y un método más sencillo de utilizar que la identificación biométrica, sin embargo, los ciberdelincuentes podrían realizar un ataque, pero, sin duda, lo tendrían mucho más difícil porque este tipo de autenticación ofrece una protección adicional tanto a los usuarios como a las empresas. Por lo tanto, la autenticación de doble factor disuade a los ciberdelincuentes y reduce los riesgos.
¿Qué ventajas aporta el sistema de autenticación de doble factor?
Con lo que hemos visto anteriormente quedan claras algunas ventajas de la autenticación de doble factor entre las que podemos destacar las siguientes:
- El doble factor de autenticación permite a los empleados de las organizaciones trabajar de forma remota con seguridad, puesto que se podrá acceder a las aplicaciones corporativas desde cualquier lugar y en cualquier momento.
- Reduce el fraude y aumenta la confianza. Cuando se produce un caso de fraude relacionado con una empresa, los clientes pierden la confianza y podría terminar la relación entre ellos y la empresa.
- Es un sistema seguro porque el remitente del SMS no conoce el código enviado ni el proveedor donde se ha generado. Además, si un ciberdelincuente tuviera acceso a usuario y contraseña, no podría acceder a los datos del cliente puesto que no recibiría el código.
- Se trata de un sistema extremadamente sencillo puesto que no es necesario instalar una aplicación en el móvil ni un software en el ordenador, simplemente se recibe un SMS y todos los móviles pueden recibirlos.
- El servicio se puede integrar en las aplicaciones de la empresa mediante API sin coste adicional de alta o licencia.
- En el caso del sistema de autenticación de doble factor de Lleida.net se pueden configurar parámetros como:
- El periodo de expiración.
- El número máximo de intentos.
- El formato del código.
- El emisor del SMS.
- El envío mediante SMS certificado.
- El nombre y NIF de la empresa.
- El idioma de la evidencia documental en el caso de un SMS certificado.
¿En qué casos se emplea la autenticación de doble factor?
Como decíamos anteriormente, no siempre es necesario utiliza la autenticación de doble factor, sino que es importante utilizarla cuando se trate de:
- Casos en los que figuren los datos de pago de los usuarios, por ejemplo, entidades bancarias, tiendas online, etc.
- Cuando se utilizan las contraseñas de una página para acceder a otra, es el caso del uso de Facebook o Google para acceder a otras webs.
- Un servicio en la nube donde se guarda información sensible de la empresa. Por ejemplo, puede darse el caso de una empresa en la que los empleados trabajan en remoto y necesitan acceder al servidor de la empresa a distancia. Si utilizan la autenticación de doble factor el acceso será más seguro y la información estará más protegida.
- Una red social (Facebook, Twitter, Instagram o Linkedin, entre otras) o un servicio de mensajería que se utiliza con frecuencia.
Como consecuencia de todo lo anterior, los empresarios deben ser conscientes de que los riesgos de ciberseguridad existen y pueden suponer graves perjuicios para el negocio, por ello, utilizar capas adicionales de seguridad como la que proporciona la autenticación de doble factor, es fundamental para generar confianza en los clientes y potenciales clientes y para proteger la reputación y la imagen de la empresa.