Seguridad

Guía introductoria a la autenticación multifactor en IBM i (MFA)

Contenido

En esta guía hablaremos sobre qué es MFA, por qué es importante, conceptos y estrategias de implementación en tus tácticas de seguridad en el IBM i – AS400.

¿Qué significa la autenticación multifactor?

Tradicionalmente, el IBM i – AS400 requiere un único factor de autenticación (SFA – Single Factor Auth), en las que la persona únicamente necesita introducir un nombre de usuario y una contraseña para obtener acceso al sistema. Es con lo que todos hemos estado familiarizados desde la concepción de controles de acceso.

La debilidad más grande del SFA es que es altamente susceptible a ataques por cibercriminales, no sólo por medio de fuerza y ataques en el mundo digital, sino que también utilizando estrategias de ingeniaría social para engañar a las personas y robar sus accesos con una manipulación inteligente.

Por otro lado MFA – Multi-Factor Authenticator es un método de autenticación que agrega una capa adicional de seguridad para asegurarse que el usuario que ingresa al sistema, es realmente la persona correcta. Para ello, se requiere una inteligente combinación entre elementos del mundo digital y el mundo físico.

Las autenticaciones al IBM i deben ser validadas por medio de distintos elementos que aseguren que la persona correcta ingresará con el usuario correcto. Estos elementos se dividen en 3 categorías:

  • Conocimiento: Algo que el usuario conoce, tales como su contraseña, algún PIN, o una serie de preguntas secretas.
  • Posesión: Algo que el usuario posee, tales como un token digital, un teléfono móvil, una cuenta de correo, entre otros.
  • Inherencia: Algo inherente al usuario, algo qué “es” el usuario. Algunos ejemplos pueden ser huella dactilar o lectura de iris.

Para que el método de autenticación sea considerado MFA, es necesario que el usuario forzosamente utilice al menos 2 de los elementos mencionados. Como se mencionó, el esquema tradicional sólo contempla el elemento del conocimiento, por lo que no se considera que MFA incluso aunque contemple 2 métodos como contraseña más algún PIN adicional.

MFA para IBM i

¿Por qué es importante el MFA en el IBM i?

Sin un segundo factor de autenticación en el IBM i, los cibercriminales tienen muchas más vías y oportunidades de violar la seguridad del sistema. Obtener un usuario y una contraseña ya no representa gran reto para los hackers, y una vez que obtienen los accesos, cada movimiento es tan válido e imperceptible como cualquier otro que ocurra en la operación. Vulnerando la operación de la compañía y arriesgando ser víctima de malware.

Implementar MFA en el IBM i significa agregar una capa más de seguridad, que eleva considerablemente fiabilidad en las defensas de nuestro sistema. Es posible que roben un usuario y contraseña, pero es muy complicado que logren tener acceso al siguiente factor de autenticación ya que implicaría involucrar un movimiento físico mucho más difícil de llevar a cabo.

MFA provee evidencia difícil de duplicar o de burlar. Cada vez son más las instituciones gubernamentales que están exigiendo la implementación del mismo para cumplir con ciertas regulaciones de ciberseguridad.

Por el alto nivel de seguridad que ofrece y el cumplimento de regulaciones que lo requieren, MFA se ha convertido en una medida fundamental de seguridad para muchas organizaciones a nivel mundial.

Hoy en día no es nada raro que incluso nosotros, como usuarios finales de alguna aplicación como la del banco o nuestras redes sociales, utilicemos segundos factores de autenticación para mantener nuestra información y ‘salud digital’ a salvo.

Otros factores de autenticación

Adicionalmente a los factores mencionados (conocimiento, posesión e inherencia), existen dos factores adicionales que también son dignos de mención. Los mantenemos por separado ya que por lo general no son reconocidos oficialmente por las regulaciones que exigen MFA en sus cumplimientos.

Sin embargo, siguen siendo una excelente medida de seguridad para considerar implementar en nuestras estrategias. Esos elementos son:

  • Ubicación: Lugar desde donde se encuentra el usuarios, identificable por medio de la IP de conexión al sistema.
  • Comportamiento: Actitudes o acciones cotidianas del usuario. Por ejemplo, que el usuario se conecte al sistema en horario laboral únicamente.

En el IBM i, es posible implementar estos controles de acceso de forma sencilla con la solución de System Acces Manager de Assure Security.

MFA para IBM i métodos

Factores de autenticación disponibles para IBM i

Hoy en día es posible implementar una gran variedad de factores de autenticación que podrían ser adaptadas en tu estrategia de seguridad. Todo depende de la forma en las que desarrolles e implementes los factores. Los factores pueden ser desarrollados internamente en tu compañía, contratar una empresa desarrolladora, o implementar una solución de terceros lista para ser utilizada.

Lo recomendable es utilizar una solución de terceros ya que es más eficiente es cuestión de tiempos. Sólo es importante verificar que la solución de este tercero esté verificada en el cumplimiento de altos estándares de seguridad. De esta forma, no invertiremos tiempo y dinero por desarrollar una herramienta que no es nuestro expertise.

Los factores de autenticación disponibles a implementar en el IBM i a partir de la versión V7R1 serían las siguientes:

Factor de autenticaciónCategoría
Usuario del IBM i + contraseñaConocimiento
Preguntas de seguridadConocimiento
Información personal (ej. número de empleado)Conocimiento
Personal Identificacion Number (PIN)Conocimiento
PIN de una ocasión (OTP)Posesión
PIN basado en tiempo Posesión
Código a correo electrónicoPosesión
Mensaje SMS a celularPosesión
Radius Authetication ServerPosesión
RSA SecureIDPosesión
Huella dactilar o de palma de la manoInherencia
Lectura de iris o reconocimiento de vozInherencia

Es muy importante tener en cuenta que para que el método de autenticación sea considerado MFA, ese necesario implementar al menos 2 factores de diferentes categorías. En caso de implementar más de un factor pero de la misma categoría, no sería un MFA sino una autenticación multi-pasos (multi-step).


En TIMWare somos expertos en temas de ciberseguridad referentes al IBM i – AS400. Para los proyectos de implementación de MFA utilizamos la herramienta de Multi-Factor Authenticator de Assure Security. Somo socios de negocio y expertos técnicos en la solución y podemos proveerte de cualquier tipo de servicios u asesoría relacionada con la misma.

No dudes en contactarnos si necesitas ayuda con cualquier tema relacionado con el IBM i. Contamos con el conocimiento y las herramientas necesarias para sumar valor en la operación de tu empresa.

Suscríbete al newsletter
¿Necesitas ayuda?
Únete a nuestro nuevo foro especializado en IBM i - AS400. Busca o haz consultas específicas en las que nuestro equipo de ingeniería y la comunidad podemos apoyarte.
Más de 35 años de experiencia en Sistemas IBM i (Anteriormente AS/400 - iSeries)
Síguenos en
Tecnologías de Innovación y Mejora S.A. de C.V.
Ciudad de México
México

Suscríbete a nuestro newsletter

Información relevante para los profesionales en IBM i
TIMWare © 2024. Todos los derechos reservados