¿Qué es la autenticación basada en riesgos?

La autenticación basada en riesgos ayuda a prevenir el fraude, las amenazas internas y otros ataques al comparar las acciones de los usuarios con una línea base de lo que constituye una actividad normal.

¿Qué es la autenticación basada en riesgos?

La autenticación basada en riesgos es un enfoque para validar las acciones de los usuarios más allá de la confirmación de sus credenciales. La autenticación basada en riesgos evalúa diversos factores, además de los factores de autenticación que proporcionan los usuarios, para determinar la probabilidad de que sus actividades sean legítimas o de que sean de un atacante o un estafador. Esta medida de seguridad es especialmente importante para las plataformas que suelen ser objeto de fraudes financieros, como los minoristas de comercio electrónico o las plataformas financieras.

En lugar de simplemente confirmar que un usuario ha especificado la contraseña correcta al inicio de la sesión, la autenticación basada en riesgos podría tener en cuenta factores como:

  • geolocalización
  • Hora
  • El comportamiento anterior del usuario
  • Dirección IP
  • La información del dispositivo
  • Qué navegador utiliza

Mientras que la autenticación básica es permitir o denegar (el usuario inicia sesión o no), la autenticación basada en riesgos sopesa todos estos factores para generar una puntuación de riesgo. Una vez que la puntuación de riesgo supera un umbral específico, una acción del usuario podría desencadenar un desafío adicional a fin de validar adicionalmente su identidad. Y, en caso de que supere una determinada puntuación, la acción del usuario podría ser denegada por completo.

¿Por qué deberías utilizar la autenticación basada en riesgos?

Los atacantes suelen utilizar la usurpación de cuentas para secuestrar cuentas de usuarios legítimos y luego llevar a cabo fraudes. La autenticación basada en riesgos es una forma de verificar, sin molestias para los usuarios, que estos se comportan con normalidad y, por lo tanto, que es menos probable que lleven a cabo un fraude. La autenticación basada en riesgos se ejecuta en segundo plano y solo solicita al usuario una autenticación adicional si es necesario.

Autenticación basada en riesgos: una analogía del mundo real

Imagina estos tres escenarios:

  1. Bob visita a su padre en persona y le pide un préstamo.
  2. Bob llama a su padre y le pide un préstamo.
  3. "Bob", enviando un mensaje de texto desde un nuevo número de teléfono, le pide un préstamo a su padre para que se lo deposite en una cuenta bancaria en el extranjero.

El primer escenario es el que implica menos riesgo. El padre de Bob puede estar seguro de que realmente está hablando con su hijo Bob.

El segundo escenario presenta cierto riesgo. Un estafador podría estar haciéndose pasar por Bob por teléfono. El padre de Bob podría estar razonablemente seguro de que está hablando con Bob, pero aun así podría decir: "Hablemos de ello la próxima vez que nos visites".

El tercer escenario es el más arriesgado. La persona que se hace llamar Bob actúa de forma diferente a Bob y utiliza un número de teléfono distinto. Es posible que el padre de Bob ni siquiera responda a tal petición.

La autenticación basada en riesgos es una forma automatizada de que las plataformas digitales incorporen un criterio como el del padre de Bob. Distingue automáticamente entre las acciones auténticas y las probables estafas.

¿Cómo funciona la autenticación basada en riesgos?

La autenticación basada en riesgos supervisa continuamente las acciones de los usuarios. Se aplica tanto a los inicios de sesión de los usuarios como a sus acciones posteriores. Utiliza señales de riesgo para calcular una puntuación de riesgo, que luego se utiliza para determinar si el usuario debe proporcionar una autenticación adicional o si se le debe bloquear por completo para que no pueda llevar a cabo la acción que pretende.

Señales de riesgo

La autenticación basada en riesgos realiza el seguimiento de puntos de datos como por ejemplo:

  • El número de inicios de sesión fallidos
  • Hora
  • Ubicación
  • El comportamiento anterior de los usuarios (se puede basar en los análisis de UEBA)
  • La dirección IP y la reputación
  • La reputación del dispositivo
  • Navegador

Todos estos elementos pueden ser señales de riesgo. Algunos, como la reputación del dispositivo, son más sencillos: si se sabe que un dispositivo ha participado anteriormente en ataques o fraudes, las acciones que se originen en ese dispositivo pueden considerarse muy peligrosas.

Otros se basan en la comparación de los factores actuales respecto a una línea base: por ejemplo, la hora del día no indica mucho en sí misma, pero si un usuario accede a su cuenta a una hora muy inusual para él (a las tres de la mañana, por ejemplo) eso puede ser una señal de riesgo, aunque su nivel de gravedad puede variar. Si el horario laboral de Alice es de 9:00 a 17:00, un inicio de sesión a las 18:00 podría ser una señal de riesgo leve, mientras que un inicio de sesión de Alice a las 23:00 podría ser una señal de riesgo algo más alto. El aprendizaje automático se utiliza para comparar estos puntos de datos entre sí y detectar las desviaciones de la norma.

Para puntos de datos como la reputación de la dirección IP y la reputación del dispositivo, las plataformas de autenticación basadas en riesgos suelen depender de fuentes de información sobre amenazas de terceros. Esto les ayuda, por ejemplo, a identificar las direcciones IP desconocidas asociadas con fraudes en el pasado.

Puntuación de riesgo

Se realiza un seguimiento de las señales de riesgo y se combinan en una puntuación de riesgo. Una acción como el inicio de sesión de Alice en una aplicación desde un nuevo dispositivo, pero desde una ubicación conocida y a una hora habitual, podría recibir una puntuación de riesgo media. El inicio de sesión de Alice en una aplicación desde un nuevo dispositivo y desde el otro lado del mundo podría recibir una puntuación de riesgo alta.

Si la puntuación de riesgo supera un determinado umbral, hay varias acciones posibles:

  • Se activan métodos de autenticación adicionales. Cuando Alice inicia sesión desde el otro lado del mundo, se le puede pedir que escanee su huella dactilar para confirmar que es realmente ella.
  • Se reduce la autorización. Es posible que Alice no pueda acceder a determinadas partes del sistema debido a su puntuación de riesgo alta.
  • Si la puntuación de riesgo es lo suficientemente alta, podría bloquearse la acción por completo. Una plataforma de autenticación basada en riesgos podría considerar que el inicio de sesión inesperado de un empleado como Alice desde una geolocalización completamente nueva es demasiado peligroso y bloquearla para que no pueda iniciar sesión. (En caso de que no fuera realmente Alice la que intentara iniciar sesión, esto podría impedir que un atacante que hubiera robado las credenciales de Alice se apropiara de su cuenta).

Autenticaciones de usuarios

Para una puntuación de riesgo alta, la autenticación basada en riesgos puede solicitar al usuario que proporcione un factor de autenticación adicional para iniciar sesión o para determinadas acciones. Es posible que los usuarios tengan que autenticarse utilizando un factor que no hayan proporcionado al iniciar sesión, como una clave física o la autenticación biométrica. O bien, es posible que tengan que proporcionar otra instancia de un factor de autenticación utilizado anteriormente, pulsando de nuevo una clave física o respondiendo preguntas de seguridad cuando previamente habían especificado una contraseña. (El primer método suele ser más seguro).

¿Qué ventajas ofrece la autenticación basada en riesgos?

  • Una experiencia más satisfactoria del cliente: la mayoría de las veces, la autenticación basada en riesgos se realiza en segundo plano. Debería permitir a los usuarios realizar transacciones de poco riesgo sin ninguna medida de seguridad adicional. La autenticación basada en riesgos ayuda a garantizar la seguridad de las transacciones sin retrasos en la experiencia del usuario.
  • Protección del usuario y de la plataforma contra el fraude: las transacciones de mayor riesgo se verifican o bloquean, lo que reduce el riesgo de fraude tanto para la plataforma como para las posibles víctimas. Para las plataformas de comercio electrónico, esto puede bloquear ataques como el de acumulación de inventario y el de relleno de credenciales.
  • Prevención de fugas de datos: la autenticación basada en riesgos puede verificar o bloquear las amenazas a los datos confidenciales.
  • Respaldo de los equipos de trabajo híbridos: la autenticación basada en riesgos puede ayudar a garantizar la seguridad en las modalidades de trabajo remoto al verificar la identidad del usuario final cuando los datos pueden estar en riesgo.

Cloudflare One permite a las organizaciones incorporar puntuaciones de riesgo de los usuarios directamente en sus políticas de acceso a la red Zero Trust (ZTNA). El acceso de los usuarios se puede ajustar en función del riesgo que representen para la empresa, lo que facilita el bloqueo de las amenazas internas, del fraude y de otros ataques. Descubre cómo funciona la puntuación de riesgo de los usuarios.