Una historia contada en Twitter a principios de septiembre hizo saltar las alarmas y fue un oportuno recordatorio de lo mucho que está en juego cuando se vulnera la seguridad digital.
La historia de Charlotte Morgan empieza así: «Después de una semana angustiosa y frustrante, necesito contar abiertamente algo que me ha ocurrido (y que también podría ocurrirte a ti). Me ha destrozado (tanto económica como mentalmente), pero intentaré explicarlo con calma y racionalidad. Abróchate el cinturón».
Continúa explicando que, al llegar al gimnasio, descubrió que las puertas de entrada, que suelen abrirse cuando los socios escanean sus pases, no funcionaban. Charlotte guardó sus pertenencias en su taquilla y acudió a su entrenamiento habitual. Cuando volvió, se encontró con que habían forzado su taquilla y le habían robado la mochila con el teléfono, la tarjeta bancaria y las llaves. Entonces se dio cuenta, mientras pedía prestado un teléfono y empezaba a llamar a las entidades pertinentes, de que la persona que había entrado en su taquilla ya había conseguido restablecer sus claves de seguridad del correo electrónico, el banco online, el móvil y Apple Pay. Y no solo eso, sino que se había ido de compras, se había comprado tres nuevos iPhones y había vaciado sus cuentas de ahorro.
Vale la pena leer el hilo completo en Twitter para hacerse una idea de lo que ocurrió después, y los niveles de frustración y angustia que siguieron a los intentos de las víctimas (no fue un hecho aislado: ha habido múltiples denuncias de robos siguiendo el mismo patrón en gimnasios de todo Londres) de reparar los daños, recuperar el control de sus cuentas y averiguar cómo los ladrones habían podido burlarlas medidas de seguridad.
Es importante subrayar, por supuesto, que en este momento solo podemos especular sobre el modus operandi del criminal o criminales. Sin embargo, una cosa que parece clara en el hilo de Twitter es que la víctima en este caso había seguido todas las medidas posibles para protegerse. La administración de sus claves de acceso seguía los consejos generales; ninguna de sus contraseñas era igual u obvia, no había anotado sus PINs o contraseñas en ningún sitio, y tenía configurada la autenticación de dos factores. Ninguna de esas medidas fue suficiente.
Los métodos de autenticación existentes no logran detener los ataques fraudulentos
Durante el primer semestre de este año, los criminales robaron un total de 753,9 millones de libras esterlinas mediante fraude solo en el Reino Unido. Esta cifra representa un aumento de más de un cuarto (30%) en comparación con el primer semestre de 2020. Y es una tendencia que se ve confirmada por muchos otros estudios: Los últimos datos de Cifas muestran que los niveles de fraude aumentaron más del 11% en el primer semestre de 2022. El valor total de los presuntos fraudes que llegaron a los tribunales de la Corona del Reino Unido en el primer semestre de 2022 aumentó en un 288% con respecto al mismo período del primer semestre. Y más de 200.000 casos de conducta fraudulenta fueron presentados a la Base de Datos Nacional de Fraude (National Fraud Database) en los primeros seis meses de 2022, lo que supone un aumento del 11% en comparación con el año anterior.
«El nivel de fraude en el Reino Unido es tal que ahora es una amenaza para la seguridad nacional. El sector bancario no puede resolverlo por sí solo: debe adoptarse un enfoque coordinado en todos los sectores si se quiere abordar esta cuestión con eficacia.»
UK Finance, Actualización semestral del fraude en 2021
Contraseñas y A2F: ¿Parte del problema?
nadie le gustan las contraseñas. La obligación de crear constantemente múltiples y complejas contraseñas, y el reto todavía mayor de tener que recordarlas, es sin duda la razón por la que, según el Grupo Gartner, entre el 20 y el 50 % de todas las solicitudes de asistencia técnica de TI son para restablecer contraseñas.
Además, las contraseñas se pueden compartir, adivinar o robar, lo que significa que no son seguras. El Informe de Verizon sobre investigaciones de violaciones de datos de 2022 descubrió que más del 80% de los hackeos implican el uso de contraseñas o credenciales robadas.
Al hacerse con el control de los dispositivos vinculados a las cuentas, los estafadores también han encontrado la forma de eludir la autenticación de dos factores (A2F). A principios de este año, un informe de Auth0 descubrió que los ataques de los grupos de ciberdelincuentes dirigidos a las técnicas de autenticación multifactor (MFA) habían aumentado a los niveles más altos jamás registrados, con su red registrando aproximadamente 113 millones de ataques MFA. Este aumento refleja el hecho de que la MFA se ha convertido en el método de seguridad secundario preferido por muchos de los principales proveedores de aplicaciones y servicios. Sin embargo, lejos de ser un obstáculo para los delincuentes, puede ser un regalo. Cuando los códigos A2F llegan a un dispositivo a través de un SMS o un correo electrónico, pueden ser interceptados inmediatamente. Una vez que un delincuente tiene ese código, tiene las llaves del reino.
Entonces, ¿cuál es la solución? Te presentamos MiPass...
Historias como la de Charlotte Morgan recuerdan el daño que puede causar un solo eslabón débil de la cadena.
MiPass es la solución de Mitek a los grandes riesgos de seguridad asociados al uso de contraseñas para proteger las cuentas en una economía que da prioridad a lo digital. MiPass, una solución de autenticación sin contraseña, aprovecha la autenticación biométrica multimodal (facial y de voz) para permitir a los clientes acceder a las cuentas digitales de forma segura y sin esfuerzo, al tiempo que ayuda a las organizaciones a mantener unos sólidos estándares de CSC (conoce a tu cliente).
Con el inicio de sesión sin contraseña, MiPass bloquea los puntos de entrada que las contraseñas y los OTPs dejan abiertos para los intentos de robo de cuentas, como los intercambios de tarjetas SIM, la ingeniería social o los dispositivos robados.
La autenticación sin contraseña tiene muchas ventajas. Los elementos de seguridad biométricos no solo son una forma intrínsecamente más fuerte y segura de verificar a los usuarios, sino que también proporcionan una mejor experiencia de usuario. El uso de la biometría permite autenticar rápidamente a los usuarios sin necesidad de recurrir a complicadas contraseñas o a códigos de acceso de un solo uso que dejan a los clientes vulnerables al robo de identidad. Para acceder a una cuenta digital utilizando MiPass, una persona simplemente utiliza un smartphone para tomarse una selfi rápida y grabar una frase.
La creación de una autenticación multifactorial sin contraseña mediante la combinación de la voz y el rostro es una mejora significativa de la seguridad, más allá de los sistemas de reconocimiento facial que muchos utilizan hoy en día. Además, ayuda a crear una experiencia de usuario sin problemas.
«MiPass ofrece el más alto nivel de seguridad digital disponible hoy en día», dijo el CTO de Mitek, Steve Ritter. «MiPass combina el reconocimiento de facial y de voz con una sofisticada tecnología de detección de vida para defenderse de los ataques digitales y de falsificaciones (deepfakes) en tiempo real.»
Más información sobre cómo prevenir el fraude de identidad con MiPass
También puedes consultar el nuevo informe de Gartner: Guía de mercado para la verificación de la identidad para obtener más información sobre la identidad digital y la prevención del fraude.