El fraude de “adquisición de cuenta” (o ATO) se encuentra entre las amenazas de ciberseguridad más importantes tanto para las empresas como para los consumidores y está en constante aumento.

Ya en este artículo hablamos sobre el estándar de autenticación FIDO2 y cómo adopta soluciones innovadoras para hacer que la autenticación de usuarios multifactor en línea (nube/web) sea más sólida en comparación con los métodos de ataque modernos. En particular, la autenticación FIDO2 reemplaza los factores de seguridad habituales basados ​​en el conocimiento por factores de «posesión» y/o «presencia» y se basa en métodos de criptografía de clave pública que excluyen el almacenamiento en servidores de información crítica para la autenticación. Otro punto fuerte es el de proporcionar a los usuarios finales una experiencia de autenticación más rápida, sencilla y práctica para los servicios en línea, reduciendo así también las vulnerabilidades introducidas por el comportamiento humano. De esta forma, se podrán sustituir los métodos de autenticación habituales por una experiencia de inicio de sesión más segura para la empresa y más rápida y apreciada por los usuarios.

También los Thin Clients de Praim admiten el uso de dispositivos compatibles para la autenticación con flujos de trabajo FIDO2 en entornos VDI. Recientemente, tanto en nuestros endpoints con el sistema operativo Windows 10 IoT personalizado de Praim como en nuestro sistema operativo ThinOX basado en Linux, hemos integrado y verificado el funcionamiento del canal virtual FIDO2 para poder iniciar sesión en la nube de Citrix, utilizando dispositivos FIDO2, para aumentar la seguridad y la usabilidad durante la autenticación.

Un posible caso de uso avanzado que integra las mejores tecnologías de última generación y probadas por nosotros, por ejemplo, sustituye la autenticación clásica basada exclusivamente en nombre de usuario y contraseña de dominio por la autenticación FIDO2 de Entra ID de Microsoft (el nuevo nombre elegido por Microsoft para la evolución de lo que antes era Azure Active Directory) para iniciar sesión y reconocer a los usuarios en el portal en la nube de Citrix.

Elección de autenticación en el portal Citrix

En este caso, se puede proporcionar a los usuarios un dispositivo FIDO2 personal cuya gestión e inscripción se realiza en el portal de Microsoft que, además de utilizarse para gestionar identidades y acceso a la VDI de Citrix, también puede actuar como un servicio único para la autenticación de los usuarios también en otras herramientas de productividad y colaboración utilizadas en la empresa, como Office 365, Microsoft Teams, etc.

Para ello, en el portal Azure el usuario está preparado para iniciar sesión con una memoria USB FIDO2, luego, posteriormente, se registrará con la memoria específica que se le haya asignado.

Creación del usuario “FIDO2” registrado con la memoria USB “Thetis”

En nuestro caso de uso de ejemplo, al usuario se le asignó una memoria USB Thetis, con la cual se creó un flujo de trabajo de autenticación de seguridad de tres factores: al ingresar un PIN (factor de conocimiento del usuario), el dispositivo FIDO2 añade dos factores más: (i) posesión del dispositivo seguro (memoria USB reconocida FIDO) y (ii) la necesidad de interacción física en persona, que se produce presionando un botón en la memoria.

El tipo de protección elegido en este ejemplo es «fuerte» en comparación con un ataque desde el exterior o de forma remota. De hecho, no permite simular la presencia del usuario para realizar una autenticación ficticia, sino que es necesario estar físicamente en la estación de trabajo para pulsar el botón. Sin embargo, puede no ser suficiente para defenderse contra ataques de personas internas que, después de haber espiado al usuario o de haber conocido su PIN personal, pueden tener acceso al escritorio del usuario mientras el usuario está temporalmente ausente, tal vez dejando la unidad desatendida. Esto también requiere que el hacker realice sus acciones de forma presencial y sin posibilidad de automatizar el acceso. Utilizar, por ejemplo, una clave FIDO2 que también requiera una huella digital garantizaría a la empresa un flujo de trabajo aún más robusto incluso frente a ataques internos, haciendo más complejo superar el «factor de posesión» de otro usuario. Obviamente, depende de cada organización comprender cuál es el equilibrio adecuado entre costes, seguridad, requisitos de procedimiento y experiencia del usuario en función de su propio contexto, como de la información/criticidad/sensibilidad de los sistemas a las que tienen acceso los empleados.

Volviendo a los aspectos de infraestructura y configuración, es posible personalizar aún más la experiencia de autenticación con protección incremental y máxima flexibilidad de uso. En portales que soportan FIDO2, como en el caso de Microsoft de nuestro ejemplo, es posible decidir y seleccionar el modelo de dispositivo personal requerido para la autenticación, configurando «Key Restriction Policies» que especifican qué claves de seguridad usar a través de la verificación del Authenticator Attestation GUID (AAGUID). De hecho, cada dispositivo FIDO2 posee y proporciona su propio AAGUID durante la fase de certificación que describe su tipo y propiedades. El uso de « Restriction Policies » es útil, en particular, para establecer ciertos niveles mínimos de seguridad, por ejemplo imponiendo que sólo se puedan utilizar dispositivos con características específicas, en particular si deben ser capaces de reconocimiento biométrico, qué modo de conexión deben usar (por ejemplo, USB o NFC) u otros.

Además, en nuestro caso de uso de VDI, también es posible tener transferencia de credenciales entre el portal de Citrix Cloud y las sesiones de usuario iniciadas configurando Citrix FAS (Federated Authentication Service). Una vez en una sesión de Citrix, es posible seguir utilizando la clave FIDO2 también para autenticarse en otros programas de la empresa o en portales web a los que accede el usuario a través de su espacio virtual. En este caso, todos los intercambios con la clave FIDO2 (como la solicitud de PIN y la pulsación de un botón) son gestionados directamente por el cliente de Citrix Workspace App, que transmite toda la información de autenticación de forma segura a través del canal virtual apropiado.