¿Están las llaves de acceso preparadas para el uso empresarial?

Todos los grandes gigantes tecnológicos promocionan las llaves de acceso como un sustituto eficaz y cómodo de las contraseñas, que podría terminar con el phishing y las filtraciones de credenciales. La idea principal es simple: inicias sesión con una llave criptográfica que se almacena de forma segura en un módulo de hardware especial en tu dispositivo y desbloqueas esa llave con datos biométricos o con un PIN. Ya hemos tratado en detalle el estado actual de las llaves de acceso para los usuarios domésticos en dos artículos (sobre terminología y casos de uso básicos y sobre escenarios más complejos). Sin embargo, las empresas tienen requisitos y enfoques completamente diferentes en materia de ciberseguridad. Entonces, ¿cómo de buenas son las llaves de acceso y FIDO2 WebAuthn en un entorno empresarial?

Razones para que las empresas adopten las llaves de acceso

Como ocurre con cualquier migración a gran escala, pasarse a llaves de acceso requiere un caso empresarial sólido. Sobre el papel, las llaves de acceso resuelven varios problemas urgentes a la vez:

• Reducen el riesgo de brechas provocadas por credenciales legítimas robadas: la resistencia al phishing es el principal beneficio publicitado de las llaves de acceso.
• Fortalecen las defensas contra otros ataques de identidad, como el de fuerza bruta y el relleno de credenciales.
• Ayudan con el cumplimiento. En muchos sectores, los reguladores exigen el uso de métodos de autenticación robustos para los empleados, y las llaves de acceso generalmente cumplen con esos requisitos.
• Reducen los costes. Si una empresa opta por utilizar llaves de acceso almacenadas en portátiles o teléfonos, puede alcanzar un alto nivel de seguridad sin el gasto extra que suponen los dispositivos USB, las tarjetas inteligentes y la gestión y logística asociadas.
• Incrementan la productividad de los empleados. Un proceso de autenticación ágil y eficiente ahorra tiempo a cada empleado diariamente y reduce los intentos fallidos de inicio de sesión. El cambio a llaves de acceso suele ir acompañado de la eliminación de los cambios regulares de contraseña, algo que todo el mundo detesta.
• Aligeran la carga de trabajo del servicio de asistencia técnica al reducir la cantidad de tickets relacionados con contraseñas olvidadas y cuentas bloqueadas. (Por supuesto, también surgen otros tipos de problemas, como la pérdida de dispositivos que contienen las llaves de acceso).

¿Cómo de extendida está la adopción de llaves de acceso?

Un informe de FIDO Alliance sugiere que el 87 % de las organizaciones encuestadas en EE. UU. y Reino Unido ya han hecho la transición al uso de llaves de acceso o están actualmente en proceso de hacerlo. Sin embargo, un análisis más detallado del informe revela que esta cifra tan impresionante también incluye las opciones empresariales habituales, como las tarjetas inteligentes y los tokens USB para el acceso a cuentas. Aunque algunas de estas se basan en WebAuthn y llaves de acceso, no están exentos de problemas. Son bastante caras y crean una carga constante para los equipos de TI y ciberseguridad relacionada con la gestión de tokens y tarjetas físicas: emisión, entrega, reemplazo, revocación, etc. En cuanto a las soluciones ampliamente promocionadas que se basan en teléfonos e incluso en la sincronización en la nube, el 63 % de los encuestados afirmó utilizar dichas tecnologías, aunque el alcance total de su adopción sigue siendo incierto.

Son pocas las empresas que hacen la transición de toda su fuerza laboral a la nueva tecnología. El proceso puede volverse tanto un reto organizativo como simplemente costoso. La mayoría de las veces, la implementación se realiza por fases. Aunque las estrategias piloto pueden variar, las empresas generalmente comienzan con aquellos empleados que tienen acceso a propiedad intelectual (39 %), administradores de sistemas de TI (39 %) y directivos de alto nivel (34 %).

Posibles obstáculos para la adopción de llaves de acceso

Cuando una organización decide realizar la transición a las llaves de acceso, inevitablemente se enfrentará a una serie de desafíos técnicos. Estos por sí solos podrían justificar un artículo propio. Pero en este artículo nos centraremos en las cuestiones más obvias:

• Dificultad (y a veces imposibilidad absoluta) de migrar a llaves de acceso cuando se utilizan sistemas de TI heredados y aislados, especialmente Active Directory local.
• La fragmentación de los métodos de almacenamiento de llaves de acceso dentro de los ecosistemas de Apple, Google y Microsoft complica el uso de una única llave de acceso en diferentes dispositivos.
• Dificultades adicionales de gestión si la empresa permite el uso de dispositivos personales (BYOD) o, por el contrario, tiene restricciones estrictas como la prohibición del Bluetooth.
• Costes continuos por la compra o el alquiler de tokens y la gestión de los dispositivos físicos.
• Requisito específico de llaves de hardware no sincronizables para escenarios de alta seguridad con atestación (y aun así, no todas son aptas; la FIDO Alliance ofrece recomendaciones específicas) al respecto).
• Necesidad de formar a los empleados y atender sus inquietudes sobre el uso de la biometría.
• Necesidad de crear políticas nuevas y detalladas para los departamentos de TI, ciberseguridad y asistencia técnica con el fin de abordar los problemas relacionados con la fragmentación, los sistemas heredados y los dispositivos extraviados (incluidos los asuntos relacionados con los procedimientos de incorporación y terminación).

¿Qué dicen los organismos reguladores sobre las llaves de acceso?

A pesar de todos estos desafíos, la transición a las llaves de acceso puede ser una conclusión inevitable para algunas organizaciones si así lo exige un organismo regulador. Los principales organismos reguladores nacionales y sectoriales suelen apoyar las llaves de acceso, ya sea directa o indirectamente:

Las Guías de Identidad Digital NIST SP 800-63 permiten el uso de “autenticadores sincronizables” (una definición que claramente implica llaves de acceso) para el Nivel de Garantía de Autenticador 2, y autenticadores vinculados al dispositivo para el Nivel de Garantía del Autenticador 3. Por lo tanto, el uso de llaves de acceso cumple con creces los requisitos durante las auditorías de ISO 27001, HIPAA y SOC 2.

En su comentario sobre DSS 4.0.1, el Consejo sobre Normas de Seguridad PCI nombra explícitamente a FIDO2 como una tecnología que cumple con sus criterios de “autenticación resistente al phishing”.

La Directiva de Servicios de Pago 2 (PSD2) de la UE está redactada de manera independiente de la tecnología. Sin embargo, requiere una autenticación del cliente segura (SCA, por sus siglas en inglés) y el uso de dispositivos basados en infraestructura de llave pública para transacciones financieras importantes, así como la vinculación dinámica de los datos de pago con la firma de la transacción. Las llaves de acceso cumplen estos requisitos.

Las directivas europeas DORA y NIS2 también son independientes de la tecnología y, por lo general, solo requieren la implementación de autenticación multifactor, un requisito que las llaves de acceso ciertamente satisfacen.

En resumen, elegir específicamente las llaves de acceso no es obligatorio para cumplir con la regulación, pero muchas organizaciones consideran que es el camino más rentable. Entre los factores que inclinan la balanza a favor de las llaves de acceso se encuentran el uso extensivo de servicios en la nube y SaaS, una implementación continua de llaves de acceso para sitios web y aplicaciones orientados al cliente, y una flota bien gestionada de ordenadores y teléfonos corporativos.

Hoja de ruta empresarial para la transición a las llaves de acceso

1. Forma un equipo multifuncional. Esto incluye los departamentos de TI, ciberseguridad, responsables de negocio de los sistemas informáticos, asistencia técnica, RR. HH. y comunicaciones internas.
2. Haz un inventario de tus sistemas y métodos de autenticación. Identifica dónde ya se admite WebAuthn/FIDO2, qué sistemas se pueden actualizar, dónde se puede implementar la integración del inicio de sesión único (SSO), dónde es necesario crear un servicio dedicado para traducir los nuevos métodos de autenticación a los que admiten tus sistemas y dónde tendrás que seguir usando contraseñas, bajo una supervisión reforzada del SOC.
3. Define tu estrategia de llaves de acceso. Decide si utilizarás llaves de seguridad de hardware o llaves de acceso almacenadas en teléfonos y portátiles. Planifica y configura tus métodos principales de inicio de sesión, así como las opciones de acceso de emergencia, como los códigos de acceso temporal (TAP, por sus siglas en inglés).
4. Actualiza tus políticas corporativas de seguridad de la información para reflejar la adopción de las llaves de acceso. Establece reglas detalladas de registro y recuperación. Establece protocolos para los casos en los que la transición a las llaves de acceso no es viable (por ejemplo, porque el usuario debe depender de un dispositivo heredado que no admite llaves de acceso). Desarrolla medidas auxiliares para garantizar el almacenamiento seguro de las llaves de acceso, como el cifrado obligatorio de los dispositivos, el uso de datos biométricos y las comprobaciones de estado de los dispositivos mediante la gestión unificada de los terminales o la gestión empresarial de la movilidad.
5. Planifica el orden de implementación para los distintos sistemas y grupos de usuarios. Establece una línea de tiempo amplia para identificar y solucionar los problemas paso a paso.
6. Habilita las llaves de acceso en sistemas de gestión de acceso como Entra ID y Google Workspace, y configura los dispositivos permitidos.
7. Lanza un piloto, comenzando con un grupo reducido de usuarios. Recopila comentarios y perfecciona tus instrucciones y enfoque.
8. Conecta gradualmente los sistemas que no admiten de forma nativa las llaves de acceso mediante SSO y otros métodos.
9. Forma a tus empleados. Lanza una campaña de adopción de las llaves de acceso, proporcionando a los usuarios instrucciones claras y colaborando con “campeones” en cada equipo para acelerar la transición.
10. Realiza el seguimiento del progreso y mejora los procesos. Analiza las métricas de uso, los errores de inicio de sesión y los tickets de asistencia. Ajusta las políticas de acceso y recuperación según corresponda.
11. Elimina gradualmente los métodos de autenticación heredados una vez que su uso se reduzca a tasas de un solo dígito. En primer lugar, elimina los códigos de un solo uso enviados a través de canales de comunicación no seguros, como los mensajes de texto y el correo electrónico.