La fatiga de la autenticación multifactor (MFA) se refiere a la frustración y la molestia que experimentan los usuarios cuando ingresan constantemente credenciales de inicio de sesión adicionales, como contraseñas de un solo uso enviadas mediante mensajes de texto o una aplicación de autenticación. La fatiga de MFA a menudo lleva a los usuarios a desactivar los controles de MFA, lo que genera riesgos de seguridad.

A medida que los ciberataques se vuelven más sofisticados, la MFA se ha vuelto crucial para la seguridad de las cuentas. Sin embargo, ingresar códigos cada vez que un usuario inicia sesión o realiza acciones confidenciales puede resultar tedioso y perturbador. Este proceso repetitivo provoca fatiga de MFA y lleva a los usuarios a percibir MFA como un obstáculo en lugar de una salvaguardia.

Algunos de los factores que contribuyen a la fatiga de MFA incluyen:

• Frecuencia de inicios de sesión y avisos de MFA: más inicios de sesión y avisos generan mayor molestia.
• Dificultad del proceso MFA: las contraseñas complejas, los múltiples pasos y los errores del sistema intensifican la frustración.
• Falta de comprensión: los usuarios que no comprenden los beneficios de seguridad de MFA pueden verlo como una molestia.
• Inconveniente: La MFA que interrumpe el flujo de trabajo o requiere cambiar entre dispositivos genera una mayor fatiga.

Para aliviar la fatiga de MFA, las organizaciones deben implementar autenticación adaptativa, ofrezca una variedad de métodos de MFA fáciles de usar, limite las indicaciones cuando sea posible y eduque a los usuarios sobre la importancia de MFA para la seguridad de la cuenta. Con el enfoque correcto, MFA puede proporcionar una protección sólida sin afectar significativamente la experiencia del usuario o la productividad.

¿Qué es la autenticación multifactor (MFA)?

Autenticación de múltiples factores (MFA) es un sistema de seguridad que requiere más de un método de autenticación de categorías independientes de credenciales para verificar la identidad de un usuario para un inicio de sesión u otra transacción. MFA proporciona una capa adicional de seguridad para cuentas de usuario y datos, reduciendo el riesgo de acceso no autorizado.

La MFA normalmente implica una combinación de:

• Algo que sabes, como una contraseña o PIN
• Algo que tengas, como una clave de seguridad o una aplicación generadora de códigos.
• Algo que eres, como una huella digital o una identificación facial.

Al requerir múltiples factores, MFA ayuda a garantizar que las contraseñas robadas o adivinadas no sean suficientes para acceder a una cuenta. Si un factor se ve comprometido, el atacante aún necesita que los demás se autentiquen. Este enfoque multifactor reduce drásticamente el riesgo de apropiación de cuentas y fraude.

Los métodos MFA más comunes son:

• Códigos de mensajes de texto SMS: Un código temporal enviado al teléfono del usuario que debe ingresarse junto con la contraseña.
• Aplicaciones de autenticación: una aplicación como Google Authenticator o Duo genera contraseñas de un solo uso basadas en el tiempo (TOTP).
• Claves de seguridad: se debe tocar o insertar una llave USB física o un dispositivo Bluetooth para autenticar.
• Biometría: tecnologías como el reconocimiento de huellas dactilares, rostro o voz proporcionan autenticación de "algo que eres".

Para combatir la fatiga de MFA, las organizaciones deben elegir métodos de MFA sólidos pero fáciles de usar, brindar educación sobre la importancia de MFA e implementar MFA gradualmente para permitir que los usuarios se adapten a los cambios. Con una adopción generalizada, MFA puede fortalecer significativamente la seguridad de las cuentas.

Causas de la fatiga de MFA en las organizaciones

La fatiga de la autenticación multifactor (MFA) se produce cuando los usuarios se sienten frustrados o cansados ​​de los pasos adicionales necesarios para MFA y buscan formas de evitarlos. Existen algunas causas principales de la fatiga de MFA en las organizaciones:

Algunos usuarios pueden percibir la MFA como un inconveniente, especialmente cuando se les solicita autenticación con frecuencia.. Los pasos de inicio de sesión adicionales, como ingresar un código enviado por mensaje de texto o usar una aplicación de autenticación, pueden volverse tediosos con el tiempo y con el uso frecuente. Esto puede llevar a los usuarios a ver la MFA como una molestia en lugar de una medida de seguridad útil.

Una mala experiencia de usuario de MFA contribuye a la fatiga. Si el proceso MFA es confuso, requiere mucho tiempo o es propenso a errores, los usuarios se sentirán cada vez más frustrados. Los métodos y herramientas de MFA seleccionados por una organización desempeñan un papel importante en la experiencia general del usuario. Opciones de MFA más fluidas y fáciles de usar pueden ayudar a reducir la fatiga.

La falta de comprensión del Ministerio de Asuntos Exteriores conduce a un retroceso. Cuando los usuarios no comprenden completamente por qué es necesaria la MFA y cómo beneficia la seguridad, es más probable que la vean como una molestia. Educar a los usuarios sobre el valor de MFA en la protección de cuentas y datos puede ayudar a ganar aceptación y adopción, disminuyendo la fatiga a largo plazo.

Para limitar la fatiga de MFA, las organizaciones deben implementar herramientas de MFA fáciles de usar, brindar educación sobre los beneficios de MFA, monitorear problemas en el proceso de MFA y considerar los comentarios de los usuarios sobre sus experiencias. Equilibrar una seguridad sólida con una experiencia de usuario óptima es clave para el éxito de cualquier programa MFA. Con la estrategia y el soporte adecuados, las organizaciones pueden implementar MFA a escala sin una fatiga sustancial.

Las consecuencias de la fatiga no abordada del MFA

La fatiga absoluta de la MFA puede tener graves consecuencias para las organizaciones. Cuando los empleados experimentan altos niveles de frustración con Soluciones MFA, pueden recurrir a soluciones alternativas inseguras que comprometan la seguridad. Por ejemplo, algunos usuarios pueden desactivar los controles MFA o compartir credenciales de autenticación con compañeros de trabajo para evitar inconvenientes percibidos, creando vulnerabilidades que los ciberdelincuentes pueden explotar mediante otros ataques de ingeniería social.

La fatiga prolongada del MFA también puede dañar la productividad y la moral de los empleados. Las constantes interrupciones de las solicitudes de autenticación reducen la concentración y la eficiencia del flujo de trabajo. Los usuarios que consideran que los sistemas MFA son demasiado tediosos o problemáticos pueden llegar a verlos como un obstáculo que disminuye su eficacia. Esto puede fomentar el resentimiento hacia el departamento de TI que implementó la solución.

Además, la fatiga de MFA plantea riesgos para la experiencia del usuario y la satisfacción del cliente. En los lugares de trabajo donde los clientes interactúan directamente con los sistemas MFA, una mala experiencia de usuario puede reflejarse negativamente en la organización y dañar las relaciones. Los clientes esperan interacciones fluidas y sin complicaciones, y las solicitudes de autenticación persistentes no cumplen con estas expectativas.

Para mitigar estas consecuencias, las organizaciones deben tomar medidas proactivas para aliviar y prevenir la fatiga de MFA. Educar a los usuarios sobre MFA y las mejores prácticas de seguridad puede ayudar a abordar la frustración al aclarar la lógica detrás de los controles. Los equipos de TI también deben evaluar la usabilidad de las soluciones MFA y buscar formas de optimizar la experiencia del usuario, por ejemplo, reduciendo los falsos positivos.

¿Qué es un ataque de fatiga MFA?

Un ataque de fatiga MFA se refiere a un tipo de ciberataque que aprovecha las debilidades humanas en los sistemas de autenticación multifactor (MFA). MFA, diseñada para mejorar la seguridad al requerir dos o más factores de verificación, puede convertirse en una vulnerabilidad si los usuarios se sienten abrumados o fatigados por las repetidas solicitudes de autenticación. A continuación se muestra un desglose de cómo funcionan normalmente los ataques de fatiga MFA:

• Solicitudes de autenticación repetidas: El atacante activa repetidamente el mensaje MFA en el dispositivo de un usuario, a menudo mediante intentos de inicio de sesión fraudulentos. Esto puede suceder a cualquier hora, incluso durante la noche o durante el horario laboral, lo que genera notificaciones repetidas en el teléfono o dispositivo del usuario.
• Explotar la fatiga y la frustración del usuario: La avalancha continua de mensajes de MFA (como notificaciones automáticas) puede provocar frustración o fatiga en el usuario objetivo. El usuario podría volverse insensible a las alertas y verlas como una molestia en lugar de una medida de seguridad.
• El usuario cumple para detener las alertas: Eventualmente, con la esperanza de detener las notificaciones incesantes, el usuario puede aprobar una solicitud de autenticación. Esto suele hacerse en un momento de frustración o en un intento de diagnosticar el problema, sin darse cuenta de que se trata de un ataque malicioso.
• Obtener acceso no autorizado: Una vez que el usuario aprueba la solicitud de MFA, el atacante obtiene acceso a la cuenta o al sistema protegido por MFA. Esto puede provocar filtraciones de datos, apropiación de cuentas u otras actividades maliciosas dentro de la red.
• Desafío en detección y respuesta: Los ataques de fatiga MFA pueden ser difíciles de detectar porque explotan características legítimas de los sistemas MFA. El ataque se basa en errores humanos más que en vulnerabilidades técnicas, lo que hace que las medidas de seguridad tradicionales sean menos efectivas.

Los ataques de fatiga MFA resaltan la importancia no solo de contar con medidas de seguridad técnicas sólidas, sino también de educar a los usuarios sobre las mejores prácticas de seguridad.

Las organizaciones deben ser conscientes de este tipo de ataque y considerar implementar estrategias para mitigar su efectividad, como limitar la cantidad de mensajes de MFA, brindar orientación clara a los usuarios sobre cómo responder a solicitudes de MFA inesperadas y utilizar soluciones de MFA adaptables que ajusten la autenticación. requisitos basados ​​en el riesgo percibido.

Mejores prácticas para mitigar la fatiga de MFA

Para mitigar la fatiga de MFA, las organizaciones deben implementar mejores prácticas que equilibren la seguridad y la usabilidad.

Las soluciones MFA deben ofrecer opciones flexibles que se adapten a las diferentes necesidades de los usuarios y perfiles de riesgo. Por ejemplo, los códigos SMS pueden ser suficientes para cuentas de bajo riesgo, mientras que las cuentas de alto valor requieren una autenticación más sólida, como claves de seguridad. La implementación de un enfoque escalonado con múltiples métodos en diferentes niveles de garantía ofrece a los usuarios opciones adecuadas a la sensibilidad de sus cuentas y datos.

La experiencia del usuario es fundamental. Las soluciones deben tener interfaces intuitivas y optimizadas que no interrumpan los flujos de trabajo. Opciones como el inicio de sesión único, la autenticación basada en riesgos y las funciones Recuérdame pueden minimizar los inicios de sesión repetidos en escenarios de bajo riesgo. Proporcionar una comunicación clara sobre los beneficios y opciones de MFA ayuda a lograr la aceptación y adopción de los usuarios.

La formación y la educación son esenciales. Los programas integrales deben cubrir los conceptos de MFA, los métodos disponibles, cómo utilizar las soluciones de forma segura y los riesgos de apropiación de cuentas y violaciones de datos. Las campañas periódicas de phishing simuladas mantienen la seguridad como una prioridad para los usuarios.

El análisis y el seguimiento ayudan a identificar y solucionar problemas. El seguimiento de métricas como las tasas de éxito y fracaso del inicio de sesión, el uso del método MFA y los problemas informados proporciona información sobre qué tan bien está funcionando el programa. La supervisión de anomalías puede detectar a tiempo un posible compromiso de la cuenta.

Las soluciones MFA deben ser seguras en sí mismas. Sólo se deben implementar opciones certificadas y confiables. Las soluciones deben respaldar la integración segura con proveedores de identidad y estar reforzadas contra vulnerabilidades. Las claves y credenciales deben estar protegidas.

Seguir estas mejores prácticas ayuda a lograr el equilibrio óptimo entre seguridad sólida y buena usabilidad en un programa MFA. Con la combinación adecuada de tecnología, políticas y personas, las organizaciones pueden mitigar la fatiga de MFA y obtener una adopción generalizada de este control de seguridad crítico.

Evaluación de métodos de autenticación alternativos

Para reducir la dependencia únicamente de las contraseñas, las organizaciones están implementando métodos de autenticación alternativos. Algunas opciones a considerar incluyen:

• La autenticación biométrica, como el reconocimiento de huellas dactilares, rostro o voz, utiliza atributos físicos únicos para verificar la identidad de un usuario. La biometría es muy difícil de replicar pero requiere hardware adicional como escáneres. La biometría también plantea preocupaciones sobre la privacidad para algunos.
• Las claves de seguridad, como YubiKeys, proporcionan autenticación de dos factores a través de un dispositivo USB físico. Las claves de seguridad son muy seguras pero requieren comprarlas y distribuirlas a todos los usuarios. Las llaves también pueden perderse o ser robadas.
• La biometría del comportamiento rastrea cómo un usuario interactúa normalmente con sistemas y dispositivos para reconocer anomalías que podrían indicar fraude. La biometría del comportamiento es pasiva y sin fricciones, pero sigue siendo una tecnología emergente.
• La autenticación adaptativa equilibra la seguridad y la usabilidad. Puede reducir las interrupciones para los usuarios legítimos y al mismo tiempo detectar anomalías que indiquen cuentas comprometidas. Considera la ubicación, los dispositivos, los patrones de inicio de sesión y otros indicadores de fraude, y cuando se cruzan los umbrales de riesgo, puede requerir una autenticación multifactor.
• El inicio de sesión único (SSO) permite a los usuarios acceder a múltiples aplicaciones con un conjunto de credenciales de inicio de sesión. SSO reduce la cantidad de contraseñas que las personas deben recordar y administrar. Sin embargo, si se ve comprometido, SSO podría proporcionar acceso a muchos sistemas. Es posible que SSO tampoco funcione para todas las aplicaciones internas y de terceros.

La elección de los métodos de autenticación adicionales adecuados depende de las necesidades de seguridad, las aplicaciones, los recursos y los requisitos de experiencia del usuario de una organización. Se recomienda un enfoque de seguridad en capas con MFA y SSO como mínimo para reducir la dependencia de contraseñas estáticas. También se recomienda evaluar continuamente nuevas opciones a medida que evoluciona la tecnología para adelantarse a las amenazas.

Conclusión

A medida que las ciberamenazas continúan evolucionando, la autenticación multifactor sigue siendo una herramienta importante que las organizaciones deben aprovechar. Sin embargo, los implementadores deben permanecer atentos a los riesgos de fatiga de MFA para garantizar la máxima efectividad y adopción por parte de los usuarios. Al elegir métodos MFA que equilibren la seguridad y la conveniencia, educar a los usuarios sobre las amenazas y brindar alternativas de accesibilidad, las organizaciones pueden aprovechar los beneficios de esta salvaguarda crítica y al mismo tiempo evitar la fatiga.

Más Información

10 de noviembre.

Silverfort: Su solución MFA integral para el cumplimiento de seguros cibernéticos

Leer más

9 minutos

24 de Octubre de 2021

Ebook

Vuelva a evaluar su protección MFA – libro electrónico

Leer más

2 minutos

• Ver más