Una década de identidad federada: ¿se adopta FIDO?
La conversación sobre eliminar contraseñas y garantizar procesos de autenticación más fluidos y seguros se ha prolongado durante años. A medida que la Alianza FIDO recluta más socios y continúa haciendo anuncios históricos, ¿cómo es realmente su adopción? Dan Raywood analiza la primera década de la identidad federada.
Este año se cumplen diez años desde que se plantaron las primeras semillas de la Alianza FIDO (Fast IDentity Online). En esa primera reunión, el día de San Valentín de 2013, la reunión de líderes de la Alianza FIDO expuso lo que Alianza FIDO se pretendía hacer y cuáles eran sus próximos pasos.
Un consorcio industrial abierto que “ofrece estándares para una autenticación más simple y sólida”, el concepto era un estándar industrial abierto para la autenticación segura en línea y móvil. La ideología de la Alianza FIDO, compuesta por nombres influyentes de tecnología, servicios financieros y sitios web importantes, era "permitir una autenticación más simple y sólida para escalar en el mercado".
El primer producto llegó 18 meses después, cuando Google puesto en marcha el Security Key, la primera implementación de autenticación FIDO Universal Second Factor (FIDO U2F). Se trataba de un dispositivo USB físico de segundo factor que ofrecía una alternativa a los códigos de acceso de un solo uso de seis dígitos. El año siguiente se lanzaron alrededor de cien productos certificados por FIDO, que aumentaron a 150 cuando la Alianza FIDO cumplía su segundo aniversario.
Sin embargo, unos años después de su vida, se introdujo el estándar FIDO2, que permite a los usuarios "aprovechar dispositivos comunes para autenticarse fácilmente en servicios en línea tanto en entornos móviles como de escritorio".
FIDO2 se basa en dos estándares: WebAuthn y Client to Authenticator Protocol (CTAP), y se basa en la seguridad y la conveniencia: seguridad ya que los detalles de inicio de sesión son únicos en cada sitio web, nunca abandonan el dispositivo del usuario y nunca se almacenan en un servidor; y conveniencia, ya que los usuarios desbloquean credenciales de inicio de sesión criptográficas con métodos integrados como lectores de huellas digitales o cámaras en sus dispositivos, o aprovechando las claves de seguridad FIDO.
Quizás el respaldo más fuerte fue el de Apple el año pasado, cuando anunció el lanzamiento de la clave de acceso habilitada para FIDO2, que se basa en WebAuthn, y donde se utiliza una combinación de clave pública y privada y es compatible con Touch ID y Face ID.
¿FIDO 2 está bien adoptado por la industria?
Después de todos estos años, ¿qué tan bien aceptado y adoptado ha llegado a ser el estándar FIDO2? Andrew Shikiar, director ejecutivo de FIDO Alliance, dice que el concepto inicial de FIDO Alliance era "resolver el problema de la filtración de datos, ya que las contraseñas causaban la gran mayoría, y si las eliminamos, entonces el problema desaparece".
En términos de adopción industrial, la Alianza FIDO Barómetro de autenticación de octubre de 2022 descubrió que el uso de contraseñas había disminuido en las verticales que estaba monitoreando, mientras que la adopción de autenticación multifactor a través de códigos de acceso únicos por SMS estaba aumentando.
Shikiar cree que la adopción de FIDO2 continúa aumentando, especialmente con la aceptación de los navegadores web, donde Microsoft y Google "construyeron una adopción que permite a FIDO estar en condiciones de aceptar contraseñas".
Shikiar dice que para la persona promedio, WebAuthn sigue siendo generalmente desconocido. Aún así, la mayor adopción de FIDO2 significará un mayor MFA y un menor uso de contraseñas, lo que puede generar más beneficios comerciales. "Las empresas verán más tiempo de actividad de los empleados y la tasa de éxito será mayor, y los costos de TI se reducirán", lo que genera ahorros de costos y empleados más felices.
Una empresa que vio el beneficio es Más allá de la identidad, que anunció que había recibido la certificación FIDO2 a principios de 2023. Su director de marketing, Patrick McBride, proveedor de productos MFA y sin contraseña, dice que FIDO2 beneficia a Beyond Identity de múltiples maneras. "En el frente tecnológico, nos brinda una forma estándar de aprovechar las claves de acceso y múltiples formas de integrarnos con otras tecnologías compatibles con FIDO2".
¿Valió la pena cumplir con FIDO2 como empresa y unirse a esta iniciativa? McBride dice que sí, ya que Beyond Identity es un “miembro de la alianza FIDO con tarjeta desde hace varios años” con múltiples planes de productos adicionales en la hoja de ruta que aprovecharán varias partes del estándar FIDO2.
"Así que creemos que definitivamente vale la pena exprimir el jugo FIDO, tanto en el frente técnico como en el de educación de mercado".
FIDO estableciendo el estándar
Dado que FIDO ha sido bien adoptado por destacados nombres en línea, ¿merece ahora ser considerado como uno de los estándares de ciberseguridad más importantes? Shikiar está de acuerdo y afirma que la autenticación sólida es una "máxima prioridad para las empresas", ya que permite empleados más productivos y una mejor tasa de inicio de sesión. En un caso, una empresa obtuvo una mayor línea de ganancias debido a esto. "Estamos invirtiendo en la experiencia del usuario, ya que la gente se desanimará si es demasiado complicada", afirma.
El siguiente paso para la adopción de FIDO2 será cuando los reguladores y potencialmente incluso los proveedores de seguros cibernéticos lo exijan para garantizar un tipo de autenticación más seguro y probado para reducir mejor las posibilidades de una filtración de datos y eliminar contraseñas.
Jonathan Armstrong es socio de pana y dijo que si bien no tiene conocimiento de ninguna regulación que requiera una autenticación fuerte, no descartaría que esto suceda en el futuro. "A menudo, las leyes y regulaciones de seguridad de datos siguen a los acontecimientos", dice. Si hay una infracción importante y la opinión pública exige un cambio, entonces es cuando podría entrar en vigor una norma para una autenticación más sólida. “Algunos países podrían agregar cosas como ésta a su implementación local de NIS II; No he oído hablar de ello todavía, pero es una posibilidad segura”.
Además de los factores regulatorios, también existen consideraciones sobre seguros cibernéticos, y Shikiar dice que la adopción de FIDO2 es algo que podría ayudar a una mejor política, ya que demuestra que la empresa está mejor protegida. "Un simple paso para adoptar FIDO para MFA puede abordar una amenaza número uno y ayudará a impulsar una mayor adopción".
Durante la última década, hemos visto muchos incidentes de filtración de datos y pérdida de contraseñas, y las empresas continúan luchando contra este problema y el de mantener a los empleados en línea y capaces de acceder a dispositivos, escritorios y aplicaciones. La adopción de FIDO2 está causando sensación para permitir que las empresas estén más seguras frente a un problema común, y se debería dar la bienvenida a que más empresas logren el cumplimiento.
Fortalezca la seguridad de su información hoy
Si está buscando comenzar su viaje hacia una mejor seguridad de la información, podemos ayudarlo.
Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la seguridad de la información y la gestión de datos con ISO 27001 y más de cincuenta marcos más. Descubra su ventaja competitiva hoy.
