La autenticación de dos factores (2FA), también conocida como autenticación multi-factor (MFA), es bastante sencilla de implementar para las empresas. Sin embargo, esta pequeña medida puede aumentar enormemente la seguridad de su organización y desalentar los ciberataques en general.
La industria de la salud en particular, un sector que maneja grandes bases de datos de información médica sensible, debería adoptar la identificación de dos y múltiples factores para proteger a clientes, pacientes, proveedores y empleados por igual.
Un estudio reciente de Microsoft ha revelado que la autenticación de dos factores tiene una tasa de éxito del 99,9% en el bloqueo de ciberataques automatizados, el tipo de ataque más frecuente. Lamentablemente, sólo el 11% de las organizaciones utilizan realmente la MFA.
Después de todo, como dice el refrán, más vale prevenir que curar.
En este artículo, discutiremos por qué la autenticación de dos factores tiene una tasa de éxito tan alta en la protección de las organizaciones contra los ciberdelincuentes. También hablaremos de cómo puede implementar de forma segura un sistema de autenticación de dos factores en su propia organización sanitaria.
El sector sanitario y los datos
Los incidentes de ciberdelincuencia en el sector de la salud van en aumento. Según Health IT Security, el sector de la salud representa el 79% de todas las violaciones de datos reportadas como resultado de la piratería informática, y los ataques contra los proveedores y las organizaciones de atención de la salud han aumentado un 45% en general.
Parte de este aumento se debe a la pandemia del coronavirus. Los ciberdelincuentes y los oportunistas reconocen una buena oportunidad cuando la ven, y se apresuran a sacar provecho del miedo de la gente enviando correos electrónicos de phishing - o correos falsos con enlaces plagados de virus - a tantas cuentas de correo electrónico como sea posible.
"Un ataque de falsificación de petición en sitios cruzados se produce cuando una víctima hace una petición que aprovecha sus claves de autorización o autenticación dispuestas", según el experto en ciberseguridad Mark Preston, de Cloud Defense. "El atacante en cuestión puede entonces hacerse pasar por el usuario y acceder a información sensible".
Puede parecer difícil de creer que los individuos comprometan tan a menudo su autorización o autenticación a sus cuentas de salud. Sin embargo, el miedo puede hacer que los pacientes sean más propensos a ceder a las solicitudes de su información de acceso, especialmente cuando aparentemente proviene de una fuente de confianza como un proveedor de atención médica.
Para aumentar la gravedad de la amenaza, los recientes movimientos del Departamento de Salud y Servicios Humanos están convirtiendo en un objetivo la consolidación de los datos para mejorar las organizaciones sanitarias y su capacidad para trabajar entre sí, compartir datos y realizar el rastreo de contactos. Construir una base de datos más grande y fácil de usar es ideal para cualquier sociedad moderna, pero también aumenta la superficie con la que pueden jugar los hackers.
La autenticación de dos factores hace que los ataques contra las organizaciones de la salud sean mucho más difíciles de realizar, ya que un hacker debe tener acceso a la contraseña y a un código o símbolo especial que se envía al teléfono del usuario para poder acceder a la cuenta. Este tipo de ciberseguridad mejorada puede ser crucial para las industrias que manejan datos confidenciales, especialmente teniendo en cuenta el entorno actual que ha llevado a un aumento dramático de los incidentes de piratería informática en el sector de la salud.
Las ventajas de la autenticación de dos factores
La principal ventaja de la verificación de dos factores se encuentra en el propio término: el acceso a una cuenta depende de dos variables, lo que se asemeja a necesitar dos llaves para entrar en una casa. Así, la seguridad es doblemente fuerte.
La autenticación de dos factores está diseñada intencionalmente para reducir el riesgo de que las credenciales se vean comprometidas. En realidad, el proceso es bastante sencillo en teoría. La mayoría de la gente ya utiliza este tipo de medida de seguridad de una forma u otra.
Por ejemplo, cuando se pasa una tarjeta de débito en el cajero automático, el usuario introduce un PIN para un segundo paso de verificación de la identidad. Otra práctica común es cuando un usuario se conecta a un sitio web con su contraseña, pero debe verificar un código numérico enviado a su dispositivo móvil para acceder a su cuenta.
Normalmente, las credenciales involucradas en la autenticación de dos factores son:
- Algo que conoce (como una contraseña, respuestas a preguntas de seguridad o un PIN)
- Algo que tiene (como una tarjeta inteligente o un token)
- Algo que es (como tus datos biométricos, como huellas dactilares o escáneres faciales)
- La implementación de la autenticación de dos factores es sencilla
Implementar la autenticación de dos factores simplificada
La autenticación de dos factores mejora la seguridad y el flujo de trabajo, pero tiene la percepción de ser engorrosa o de consumir mucho tiempo, lo que no siempre es el caso. Este método de protección de los usuarios nunca debe ser frustrante, impedir el flujo de trabajo o crear barreras para una excelente atención al paciente.
Un flujo de trabajo de autenticación integrado es ideal para un entorno de la salud, lo que significa que una vez que se obtiene el acceso a un sistema, no es necesario volver a utilizar las contraseñas y los códigos para diferentes tareas. Por supuesto, después de un determinado período de tiempo, los usuarios deberían cerrar la sesión automáticamente y tener que volver a iniciar sesión.
Todas las medidas de ciberseguridad deben cumplir con los más altos estándares de regulación de la atención, como los requisitos de la DEA para las recetas electrónicas de medicamentos controlados. Dicho esto, un sistema de autenticación de dos factores debe construirse específicamente para el sector salud y sus requisitos únicos de flujo de trabajo.
Los profesionales de TI deben ser capaces de comunicar con claridad los peligros siempre acechantes de la ciberdelincuencia, acompañados de estadísticas relevantes. La educación y la concienciación sobre la ciberseguridad entre los empleados, después de todo, es una de las medidas preventivas más fuertes que una organización puede tomar contra la piratería informática. Cuando los empleados y los pacientes comprenden el riesgo, es más probable que asuman la responsabilidad personal de mitigarlo.
Los pacientes, los médicos y los empleados deben comprender la prevalencia actual de los ciberdelitos y las violaciones de datos. Deben comprender el papel que desempeñan en la probabilidad de que aumenten los ciberdelitos en el futuro para apreciar las medidas de ciberseguridad mejoradas.
Después de todo, para una persona que no esté familiarizada con la tecnología, una medida de autenticación de dos factores podría parecer un obstáculo innecesario que impide a los pacientes recibir la mejor y más eficiente atención médica posible.
Es importante que cualquier medida de seguridad que adopte su organización vaya acompañada de los conocimientos necesarios sobre autoconciencia y ciberseguridad para capacitar a sus empleados y pacientes y mantener sus datos a salvo.
Conclusión
La creación de una cultura de ciberseguridad es la mayor medida preventiva que se puede tomar para evitar las violaciones de datos y los ciberataques. Al tratar de transmitir la importancia de estas medidas de ciberseguridad, ayuda ilustrar las numerosas violaciones recientes que han afectado al sector sanitario y el impacto negativo que estos incidentes tienen en los empleados y en los propios pacientes.
Sin embargo, lo que es realmente vital es que el despliegue de las medidas de ciberseguridad se perciba como una colaboración entre los informáticos y el personal para trabajar juntos en la construcción de un entorno sanitario más seguro y protegido. Cuidar de los pacientes y clientes tiene muchas formas, y es importante recordar que la seguridad de sus datos y dispositivos es una de ellas.
Nota: Este artículo del blog ha sido escrito por un colaborador invitado con el fin de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de GlobalSign.