Autenticación de multiple factor en control de acceso
Derechos de autor: TECNOSeguro

Autenticación de multiple factor en control de acceso

El uso de varios niveles de autenticación o credenciales para el control de acceso suele estar relacionado con el nivel de seguridad requerido y la prevención del fraude o suplantación, en esta nota veremos como el uso de las tecnologías de autenticación ayudan a mitigar el riesgo. 

La suplantación de credenciales de usuarios no autorizados en control de acceso es bastante común, y los sistemas de autenticación de múltiple factor han mostrado ser eficaces para mitigar este riesgo. 

Revisaremos el concepto de autenticación por múltiple factor en control de acceso teniendo en cuenta:

 

¿Qué es la autenticación de múltiple factor?

La autenticación de múltiple factor significa que se debe presentar más de una forma de validar la identidad de una persona para obtener acceso dentro de un sistema de control de acceso. 

Las credenciales o mecanismos de validación  están diseñados para operar en capas o niveles de manera que se complementan entre sí y reducen la probabilidad de que personas no autorizadas obtengan acceso.

Beneficios de la autenticación por múltiple factor

En aplicaciones de control de acceso contar con sistemas que ofrezcan múltiples factores para la autenticación favorecen la verificación de personas, además que induce un efecto disuasivo sobre quienes consideran vulnerar el sistema. 

Si bien los métodos de validación comunes cuando se implementan de manera independiente pueden ser burlados o copiados de manera fácil, cuando se implementan en conjunto son alternativas más seguras. Por ejemplo, cuándo se usan códigos PIN  más tarjeta de acceso por proximidad estándar,  es una solución más segura que cuando se usa solo la tarjeta ya que esta puede ser anulada o copiada fácilmente o solo PIN que también puede ser fácilmente observado y copiado.  

Así, cuando no solo se requiere pasar las tarjetas, sino que también se deben ingresar los números PIN. Esto fortalece los factores individualmente más débiles al combinarlos en múltiples capas de autenticación.

Inconvenientes de la autenticación por múltiple factor

A pesar de ofrecer un mayor control y capacidad de verificación de los usuarios, la autenticación de múltiple factor tiene algunos inconvenientes, siendo el aspecto más relevante e importante el tiempo adicional que es necesario para la verificación y uso de factores adicionales. 

En aplicaciones en donde se presentan grandes flujos de entrada y salida, si a cada usuario se le exige que valide su acceso con más de un factor podría agregar por usuario algunos segundos adicionales que si solo presentara un factor lo que podría sumar muchos minutos adicionales para todo el flujo de personal, por ejemplo, en un cambio de turno en una fábrica, esto sería inmanejable sumado a ello los errores que se pueden encontrar. 

Otro factor importante es el elevado precio de los lectores de múltiples factores en comparación con los tipos simples de un solo factor, como los lectores de tarjeta sin contacto. El uso de lectores de múltiple factor puede aumentar los costos hasta 4 veces comparado con el costo de un lector de solo un factor.

Desde el punto de vista de la administración tener equipos de múltiple factor para acceso de alto tráfico implica una configuración exhaustiva por cada usuario, en especial si los factores involucrados son de tipo biométrico. De este modo la carga para el administrador o quien configura los equipos puede ser muy alta y más aún si el personal que labora o visita el sitio es de alta rotación. 

Cuáles son las formas más comunes en autenticación por múltiple factor 

Antes de revisar cuales son las formas o tipos de credenciales que se consideran de múltiple factor en control de acceso es importante tener claro que las credenciales o mecanismos de validación de acceso son atributos estrechamente relacionados con quien las usa y no pueden ser del mismo tipo, son tres las características que definen los tipos de credenciales: 

Permisos de usuario con elementos físicos

Son elementos que se le otorgan al usuario por lo general es una tarjeta de control de acceso o elementos similares como tags, stickers, etc., que se controlan administrativamente por quien gestiona el sistema, este tipo de credenciales pueden ser válidas por tiempo indefinido, por un rango de tiempo específico o incluso de un solo uso, como el caso de control para visitantes. 

Código o contraseña

Son de conocimiento solo del usuario y que debe mantener en privado. Por lo general es un número PIN o número de identificación personal, pero también puede incluir confirmaciones de seguridad como ‘preguntas de seguridad' cuya respuesta solo es conocida por el usuario. Si bien estos códigos o credenciales son solo del manejo del usuario, los administradores del sistema pueden darlas de baja o establecer un tiempo de validez según sea el caso, sin necesidad de conocerlas. 

En muchas aplicaciones por políticas de seguridad este tipo de credenciales obligan su renovación cada cierto tiempo, por ejemplo, cada mes o dos meses.

Características biométricas

Son atributos que solo el usuario puede poseer. Por lo general, se utilizan huellas dactilares o de la palma de la mano, pero son posibles otras lecturas, incluido el reconocimiento facial, geometría de mano, los escaneos de retina/iris e incluso la voz.

Tipos de lectores de múltiple factor

Los factores de autenticación que los lectores pueden soportar varían dependiendo de marca y modelo y también varían según las exigencias de los procesos de seguridad de los usuarios finales o de regulaciones normativas.

Casos como pérdida de tarjetas, suplantación de claves o simplemente el uso indebido de las credenciales son motivaciones para requerir al menos autenticación de dos factores, mientras que las instalaciones de alta seguridad como el caso de instalaciones militares, laboratorios de procesos biológicos y en el sector bancario pueden requerir tres o más. 

Sistemas de dos factores 

La mayoría de las veces es una combinación de ' algo que el usuario tiene ' y ' algo que sabe ', visto como una tarjeta de acceso de control de acceso y el número PIN que la acompaña. Incluso si el usuario pierde la tarjeta, una persona no autorizada que la encuentre o la sustraiga no puede usarla para obtener acceso a menos que también conozca un código, que solo el usuario conoce.

Por ejemplo, en la siguiente imagen se muestra un lector de múltiple factor, permite autenticación de PIN y/o huella biométrica:

Fuente: indiamart.com

Debido a que la duplicación de rasgos biométricos es muy difícil, también es común encontrar las opciones de lectores de huellas dactilares u otros factores fisiológicos utilizados como elementos más seguros por ser características individuales de las personas en la autenticación de dos factores.

En este otro ejemplo se incluye biometría facial:

Fuente: kimaldi.com

Si un lector de entrada de puerta admite tarjetas de proximidad, escáner o lector de huellas dactilares y códigos de teclado para soporte de 'múltiples factores', se requerirán dos o más credenciales para ingresar, no solo la opción de credencial que el usuario desee presentar en ese momento, aunque este tipo de exigencias en los equipos puede ser configurable, por ejemplo para el personal alto perfil puede ser solo necesario un factor mientras que para el personal contratista pueden ser más sin necesidad de cambiar o tener equipos adicionales.

Sistemas de tres factores

Cuando la identidad requiere un nivel de validación aún mayor, se pueden implementar equipos con funcionalidad de tres factores. En la mayoría de los casos, se trata de una combinación de datos biométricos, códigos PIN y tarjetas de control de acceso, y se vuelve significativamente más costoso de implementar y administrar que la simple autenticación de "factor único".

La siguiente imagen muestra un ejemplo de un dispositivo lector típico de 'tres factores:

Fuente: supremainc.com

Como resultado de un costo más elevado como del tiempo que toman las lecturas en el proceso de autenticación estos equipos, se usan en instalaciones críticas de infraestructura, militares y de investigación, pero no típicamente para usuarios finales en aplicaciones comerciales o corporativas.

Verificación con personal de seguridad en sitio

El nivel más alto de autenticación se ve a menudo en lugares o instalaciones de gobierno, militares y otros lugares sensibles, donde los puntos de control tripulados, es decir con personal de seguridad entrenado se utilizan junto con otros factores. 

Debido a que este proceso lleva más tiempo y requiere más procesos, por lo general no se emplea a menos que el riesgo de seguridad sea muy alto y el personal que realiza la verificación esté disponible.

Fuente: dvidshub.net

Biometría en equipos móviles y la relación con múltiple factor

Por lo general, para usar o instalar una credencial móvil en el teléfono, primero se debe verificar que pertenece a un determinado usuario a través de biometría facial o de huellas dactilares. De esta forma, los proveedores de credenciales móviles a menudo cuentan el lector biométrico del dispositivo como un factor de autenticación.

Fuente: getkisi.com

Sin embargo, es posible que no siempre sea necesario usar estos lectores biométricos o desbloquear primero el dispositivo para usarlos como credenciales de acceso. De hecho, muchas credenciales basadas en protocolo BLE (Bluetooth low energy)  se pueden usar al inicio con un solo desbloqueo de la aplicación, pero luego permanecen activas incluso con el dispositivo guardado y/o mientras está bloqueado.

El requisito de usar primero el lector biométrico del dispositivo para desbloquearlo varía según el tipo de credencial móvil y la configuración de seguridad del dispositivo y a menudo no se implementa o no se usa con la rigidez suficiente para ser un factor de autenticación confiable.

Aspectos de bioseguridad con la biometría de contacto

A raíz de la pandemia, los contagios de tipo viral han sido un problema importante por algunos factores, específicamente los lectores de huellas dactilares de contacto, dado que la mayoría de los proveedores de lectores biométricos de contacto recomiendan limpiar el dispositivo después de cada uso, esto no es práctico para muchos usuarios y puede hacer que algunos se abstengan de usar algunos factores de autenticación como huellas dactilares de contacto o PIN.

Tendencias en los sistemas de autenticación de múltiple factor

La mayoría de los sistemas de control de acceso electrónico utilizan autenticación de 'factor único', y esto es suficiente para la seguridad operativa de la mayoría de los usuarios finales. La tarjeta o código de credencial única está vinculada a la identidad del portador y toda la actividad del sistema se registra para esa persona.

La clave tradicional y el uso de tarjetas de proximidad siguen siendo el tipo de autenticación de "factor único" más común.

No se requiere ninguna otra verificación del portador una vez emitida la clave. Hay otros métodos de control como el uso de la función antipassback para mitigar los comportamientos no adecuados como el préstamo de tarjetas y colarse por el punto de acceso sin registrar una marcación o presentar credenciales. 

Debido a que los lectores que admiten verificaciones adicionales son más costosos y la contratación de personal de verificación tripulado es un gasto general que en muchos casos no se justifica fácilmente, el método de validación de factor único sigue siendo el método que se utiliza con más frecuencia. Sin embargo, con el aumento de los riesgos, existe una motivación cada vez mayor para fortalecer la seguridad.

Conclusión

Los sistemas de autenticación de múltiple factor definitivamente no son la solución para el control de acceso masivo de alto tráfico, se implementan en aplicaciónes de mayor nivel de seguridad y en coordinación con el usuario final ya que su administración lo involucra de manera directa. Soluciones de tipo disuasivo para evitar los intentos de vulnerar el sistema o de no marcaciones se pueden mitigar con alternativas de programación o configuración del software de control de acceso más otros elementos de seguridad como videovigilancia en sistemas que se pueden integrar fácilmente. 

Jairo Rojas Campo

Ing. Electrónico de la Universidad Javeriana, especialista en Gerencia de Proyectos, con experiencia como líder de gestión de proyectos en varias empresas reconocidas del gremio de la seguridad desde el 2001. Cuenta con múltiples certificaciones en seguridad electrónica en las líneas de CCTV, sistemas de alarmas de intrusión, detección de incendio, controles de acceso, plataformas de integración, entre otras. Actualmente realiza actividades orientadas a la transferencia de su conocimiento y experiencia a equipos de trabajo del sector, realiza diseño y especificación de proyectos. Jairo es Editor Ingeniero Senior en TECNOSeguro.

Artículos relacionados

Solo usuarios registrados pueden realizar comentarios. Inicia sesión o Regístrate.

Lo más Valorado

  1. Comentarios
  2. Empresas
  3. Libros
  • Hola Ricardo, un cordial saludo...Nos... Hace 4 días.
  • Saludos he leido el articulo y me ayudo... Hace 5 días.
  • Si, ya lo tenemos disponible también en... Hace 3 semanas.
  • Genial!! Jueves, 20 Octubre 2022
  • Hola Jorge, desconozco la marca x-view... Miércoles, 21 Septiembre 2022
  • Hola Lucia, por lo general el DVR tiene... Miércoles, 21 Septiembre 2022
  • Sergio, el privilegio es nuestro. Nos... Miércoles, 14 Septiembre 2022
  • Muchas Gracias Alejandra por la... Miércoles, 14 Septiembre 2022
  • Sr. Francisco, vamos a consultar el... Jueves, 21 Julio 2022
  • Favor referirnos con un mayorista de MOBOTIX Miércoles, 13 Julio 2022
next
prev

Sobre TECNOSeguro

TECNOSeguro es la publicación on-line líder en audiencia para la industria de seguridad electrónica de habla hispana. Una completa guía con información clave para profesionales de seguridad y TI, integradores, instaladores, consultores y distribuidores.

 

Redes Sociales:

Suscríbase a Nuestro Boletín

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad en su bandeja de email.