Fb anunció hoy el soporte world para llaves de seguridad en iOS y Android, lo que subraya una tendencia más amplia de empresas de redes sociales que amplían las opciones de inicio de sesión seguro para cuentas de alto riesgo.
Una llave de seguridad física notifica a su usuario cuando alguien intenta acceder a su cuenta desde un navegador o dispositivo desconocido. Se recomienda su uso a personas con mayor riesgo de ser blanco de ciberdelincuentes, como figuras públicas, políticos, activistas de derechos humanos y periodistas.
Fb ha brindado soporte para llaves de seguridad físicas en computadoras de escritorio desde 2017 ahora, lleva ese soporte a los dispositivos móviles. La noticia llega a medida que más personas acceden a Fb a través de dispositivos móviles en standard especialmente las poblaciones de alto riesgo para las que están diseñadas las claves de seguridad.
«Vemos que los actores de amenazas apuntan cada vez más a usuarios de alto valor o altamente específicos, ya sea que hablemos de periodistas, activistas, políticos o campañas … para derribarlos, avergonzarlos, hacerse pasar por ellos, también para robar su información y usarla para facilitar algún tipo de operaciones de influencia «, dice Nathaniel Gleicher, jefe de política de seguridad de Facebook.
Muchas de estas comunidades objetivo viven en dispositivos móviles y es donde más interactúan con Fb, continúa Gleicher.
Entre los grupos objetivo se encuentran los altos funcionarios del gobierno y los altos funcionarios de la empresa, dice, una señal de que las claves de seguridad físicas deben desempeñar un papel en la seguridad empresarial. Los ciberdelincuentes que persiguen a un individuo específico apuntarán no solo a sus cuentas comerciales, sino también a sus cuentas personales. Un atacante con acceso a una cuenta private de redes sociales puede desenterrar información confidencial que podría utilizar para exponer o chantajear al objetivo o conocer más detalles sobre su vida profesional.
«Si usted es un alto funcionario en una empresa, si es un alto funcionario en una junta, si es un alto funcionario del gobierno, recuerde que es tan probable que sus cuentas personales sean atacadas como las oficiales», dice Gleicher.
Ant Allan, vicepresidente de investigación de Gartner, dice que la compañía está viendo un mayor apoyo para las claves de seguridad entre los proveedores de servicios, y más personas las están usando, aunque la adopción normal sigue siendo un nicho. Él dice que el mayor interés entre los clientes está en las llaves de seguridad FIDO2. Fb admite el protocolo Common 2nd Aspect (U2F) FIDO2 es un desarrollo posterior del protocolo U2F.
«Nuestra proyección es que FIDO2 … será cada vez más importante durante los próximos dos o tres años», dice Allan. «La adopción empresarial se verá significativamente alentada por el soporte de Microsoft para FIDO2 en Home windows 10 y Azure Ad High quality».
La adopción de claves de seguridad puede haber aumentado, pero su base de usuarios sigue siendo pequeña. Las claves de seguridad físicas, aunque son una forma sólida de protección, tienen la reputación de ser difíciles de usar o intimidantes para la mayoría de los usuarios. El objetivo del anuncio de Facebook no es lograr que todas las personas adopten una clave de seguridad, sino hacerlas más accesibles para quienes corren mayor riesgo.
«El porcentaje de personas que usan llaves de seguridad siempre será un pequeño porcentaje», dice Gleicher. «Es una carga utilizar una llave de seguridad es una elección que uno hace». Algunos pueden preferir la autenticación de dos factores para un código generado por la aplicación o confiar en un administrador de contraseñas.
«Creo que es importante que las personas adapten el perfil de seguridad que tenga más sentido para el riesgo que enfrentan, y no necesitamos que todos adapten las llaves de seguridad para llamarlo una victoria», agrega.
Cómo usarlo
Las llaves de seguridad se pueden comprar directamente de cualquier compañía que las fabrique (Facebook no lo hace) y se pueden usar con Bluetooth o conectándolas directamente a su teléfono. Pueden inscribirse en la autenticación de dos factores yendo a Configuración> Seguridad e inicio de sesión. Facebook no requiere una marca específica o implementación de clave, y la misma clave se puede usar en múltiples servicios.
¿Qué sigue para las llaves de seguridad físicas?
Noticias de Facebook está unos meses por detrás de Twitter, que anunció en diciembre que les estaba dando a los titulares de cuentas la opción de iniciar sesión con una clave de seguridad física en Android e iOS, además de en el escritorio. Gorjeo informó esta semana ahora brindará la opción de inscribirse e iniciar sesión con varias claves tanto para la World wide web como para dispositivos móviles. Antes, los usuarios estaban limitados a una clave por cuenta.
Pronto, Twitter dice que los usuarios tendrán la opción de agregar y usar claves de seguridad como su único método de autenticación, sin otros métodos activados.
«Esto es realmente importante», dice Allan sobre la opción de usar exclusivamente la clave de seguridad para iniciar sesión. «No tiene mucho sentido invertir en un mecanismo de autenticación robusto como FIDO2 (con o sin claves de seguridad) si lo deja (fuera de band) SMS activados y disponibles para que un atacante los explote «.
Si bien gran parte del entusiasmo se centra en las llaves de seguridad, dado el cambio de los tokens de components en los últimos 20 años, la proyección de Gartner es que los teléfonos habilitados para FIDO2 serán más comunes en el futuro. Un autenticador interno FIDO2 admitirá el acceso desde el teléfono, y el teléfono habilitado para FIDO2 servirá como un autenticador externo para admitir el acceso desde otros dispositivos.
«Si bien una clave de seguridad FIDO2 brinda más confianza que un autenticador interno FIDO2, no está claro que eso esté justificado para las redes sociales o para la mayoría de los casos de uso empresarial», dice Allan. Además, agrega, el costo de las claves de seguridad podría ser una barrera para la adopción, además del inconveniente de tener que llevar una clave todo el tiempo y correr el riesgo de perderla.
Kelly Sheridan es la editora de own de Darkish Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa
Lectura recomendada:
Más información
