ae brand lab

Defensa digital: la importancia de la autenticación de usuarios de aplicaciones

La seguridad en la autenticación de los usuarios es el cimiento de cualquier aplicación. Su vulneración puede poner en jaque la información privada y las finanzas de individuos y organizaciones. Auth0, empresa especializada en implementar servicios de autenticación y autorización de usuarios en todo tipo de aplicaciones, hace un diagnóstico sobre el impacto de esas amenazas virtuales y da algunas recomendaciones para prevenirlas.
Viernes, 12/02/2021 AE Brand Lab

Los ciberataques son ya una de las amenazas que más preocupa a empresas y personas de todo el planeta. Según el Banco Interamericano de Desarrollo (BID), el costo de estos ataques ya bordea el 1% del PBI global. Asimismo, de acuerdo con un reporte del BID y de la Organización de Estados Americanos publicado en 2020, en los siguientes años se seguirán presentando acontecimientos que exigirán un uso intensivo de tecnologías digitales, por lo que será sumamente importante la protección ante amenazas virtuales.

Una de las tecnologías digitales que más terreno ha ganado a nivel global son las aplicaciones nativas o móviles. Su uso ha crecido de manera relevante en años recientes. Según detalla la firma Sensor Tower, solo en el tercer trimestre del 2020, se descargaron 36.400 millones de aplicaciones (entre Play Store y App Store), una cifra superior en casi 5.000 millones respecto al mismo trimestre del 2019. Sin embargo, el cada vez más dinámico uso de las app también ha venido acompañado de una gran amenaza: las autenticaciones vulneradas.

Según explica Auth0, la autenticación es la capacidad que tiene la aplicación para asegurarse que un usuario es quien dice ser. “Ello ayuda a mantener la privacidad de los datos y la filtración de información personal”, señala la compañía. Para Auth0, una autenticación mal aplicada, conocida como autenticación vulnerada, es una debilidad de las aplicaciones que puede ser potencialmente devastadora.

Impacto de una autenticacion vulnerable

Auth0 indica que la autenticación es vista en el mercado de ciberseguridad como la primera línea de defensa contra los ataques. Sin embargo, esta compañía considera que es la más importante. ¿La razón? Una vez que la amenaza virtual elude la autentificación, la aplicación identifica a esa amenaza como un usuario legítimo. “Esto puede conducir a fraude, robo de identidad, robo de datos o transferencias de dinero fraudulentas”, detalla la empresa. Incluso, el acceso del atacante a una aplicación –añade Auth0– puede comprometer seriamente la seguridad de otras app.

Son varios los ataques vinculados con la vulneración de la autenticación. Uno de los más comunes son los de relleno de credenciales. “Son un tipo de ciberataque en los que se utilizan credenciales de cuentas robadas a partir de una filtración de datos para obtener acceso no autorizado a cuentas de usuarios en otro sitio web”, explica Auth0.

Otro ejemplo de amenaza es el secuestro de sesión. Estos se producen cuando un atacante toma el control de una sesión de usuario después de la autenticación, pero antes de que cierre sesión. En el secuestro de sesión, los atacantes roban la identificación mediante el hurto de una cookie o haciendo que la persona haga clic en un enlace.

A estos ataques se suman otros, como la reestructura del URL (suelen darse cuando el usuario se conecta a una red Wi-Fi no segura), la fijación de sesión (cuando el atacante logra robar la ID del usuario), el password spraying (que afecta a los usuarios con contraseñas débiles), etc. No obstante, así como hay varias amenazas capaces de comprometer la seguridad de la autenticación de las aplicaciones, también existen soluciones para prevenirlas.

Escudos digitales

Auth0 ha identificado varias maneras para evitar una autenticación vulnerada en las aplicaciones web. La firma señala que una de las formas más efectivas es la autenticación multifactorial (MFA).

“Para comprometer una cuenta protegida por la MFA, los atacantes necesitarían acceder a un conjunto de credenciales infringidas y al dispositivo utilizado. La MFA aumenta drásticamente el tiempo y el esfuerzo necesarios para que el atacante comprometa la cuenta, lo que hace que esos ataques sean inviables a gran escala”, dice Auth0. En ese sentido, la empresa recomienda a las empresas ofrecer la MFA a los usuarios de sus aplicaciones.

La compañía también sugiere limitar los inicios de sesión fallidos. “Varios de los ataques son resultado de cientos o miles de inicios de sesión fallidos por cada inicio de sesión exitoso. Las direcciones IP responsables de un gran número de inicios de sesión fallidos deben ser bloqueadas automáticamente”, explica. De otro lado, Auth0 recomienda también utilizar una gestión de sesión segura. “Es importante contar con un administrador de sesión segura que genere una nueva ID después de iniciar sesión. Además, no debemos poner identificaciones de sesión en el URL”, dice la compañía que hoy es el quinto unicornio argentino.

Propuesta innovadora

No cabe duda que las complicaciones que resultan de una autenticación vulnerada pueden afectar seriamente a un usuario. En ese sentido, Auth0, empresa que protege mensualmente más de 4.500 millones de transacciones de inicio de sesión, ofrece una amplia gama de servicios para las empresas que usan aplicaciones web.

Para empezar, brinda el servicio de detección de bots. “Está diseñado para combatir el relleno de credenciales y otras formas de ataques dirigidos por bots para iniciar sesión. Funciona mediante la correlación de una variedad de fuentes de datos internas y externas para identificar y mitigar los ataques”, menciona la compañía. La empresa, además, ofrece el servicio de detección de contraseña vulnerada.

Sin duda, generar mecanismos de seguridad para las aplicaciones será clave para todas las empresas, especialmente porque el uso de estas plataformas va en ascenso y son hoy parte de la vida financiera de las personas. Según Sensor Tower, el gasto de los consumidores a través de las aplicaciones móviles a nivel global llegó a US$ 111.000 millones en 2020, una cifra superior en 30% al año previo. Un dato que revela el creciente protagonismo de las app en la sociedad, pero que, al mismo tiempo, no indica que sus usuarios necesitan estar protegidos.