Elegir una solución de autenticación multifactor es una decisión a diez años disfrazada de casilla en un formulario de compra. Esta guía reúne las preguntas que distinguen las soluciones que le protegen discretamente de aquellas que, con la misma discreción, se convierten en su próximo proyecto de migración.
Confianza
Confíe en el modelo de seguridad. Las soluciones basadas en criptografía de clave pública ofrecen garantías más sólidas que los esquemas de secreto compartido: no existe una caja fuerte central de secretos que vulnerar, ni nada que ambas partes conozcan. Desconfíe de la criptografía propietaria; opte por bases abiertas y auditadas.
Conozca los fundamentos tecnológicos. ¿Dónde se generan las claves? ¿Dónde se almacenan? Una clave creada y custodiada dentro del elemento de hardware del teléfono no puede exportarse ni clonarse; una semilla entregada por código QR durante el registro es tan segura como lo sea esa entrega.
Piense en quién tiene el control
On-premise o SaaS. ¿Dónde se ejecuta la solución y qué ocurre con su autenticación si el proveedor sufre una caída, o una brecha? Si el regulador le pregunta dónde residen los datos de autenticación, ¿tiene una respuesta que dependa de usted?
Comunicaciones auditables. ¿Puede ver y verificar lo que la solución envía por la red? Aquí importa la verificación de transacciones: el usuario debe ver qué está aprobando, y la aprobación debe quedar vinculada criptográficamente exactamente a ese contenido.
No olvide la regulación
¿Dónde se almacenarán los datos y necesita realmente ceder datos personales al proveedor? Para las organizaciones de la UE, el RGPD lo concreta. En el ámbito fintech, los requisitos de autenticación reforzada de cliente y de vinculación dinámica (dynamic linking) de la PSD2 determinan qué soluciones son siquiera admisibles. También pueden aplicarse requisitos de resiliencia y disponibilidad: ¿puede la solución funcionar de forma redundante y bajo su control?
Coste total de propiedad
Las tarifas de licencia son la parte visible. Cuente también:
- Dependencias de producto: ¿requiere otros productos, servicios de directorio o hardware de los que aún no dispone?
- Tarifas de mantenimiento y actualizaciones de versión.
- Costes de personal: la administración diaria, el soporte a usuarios y la formación.
- Tiempo hasta el despliegue: cada semana de configuración es nómina gastada antes de que exista protección alguna.
- Costes de oportunidad: ¿seguirá encajando la solución cuando añada firma de documentos, nuevas aplicaciones o toda una fusión de nuevos usuarios?
Cuidado con los SMS
Los códigos SMS pueden interceptarse, capturarse mediante SIM swapping y obtenerse por phishing, y no dejan constancia de lo que el usuario vio realmente al aprobar. Los reguladores ya se han dado cuenta. Si el SMS es hoy su segundo factor, trátelo como un puente, no como un destino.
La experiencia de usuario lo decide todo
La seguridad que molesta a los usuarios acaba esquivándose, y un control esquivado es peor que la ausencia de control, porque en el informe de cumplimiento aparece en verde. Compare la experiencia con el hardware (¿qué debe llevar encima el usuario?), la experiencia con el software (¿cuántos toques? ¿cuántas formas de fallar?) y la experiencia del administrador (¿cuánto se tarda de verdad en registrar a un usuario?). La privacidad también forma parte de la experiencia: una solución que acumula datos de los usuarios se convierte en un riesgo en sí misma.
¿Y ahora qué?
Cualquier medida de seguridad es mejor que ninguna, pero los costes de migración son reales, así que elija algo que no se le quede pequeño. Evalúe la solución en su propio entorno con un piloto: una VPN real, una aplicación real, un puñado de usuarios reales. Eso le dirá más en una semana que una matriz de funciones en todo un trimestre.