Editor Top
Crédito: Dominio público de Pixabay/CC0
Una versión nueva y más simple de la autenticación de dos factores podría ampliar su protección a muchos dispositivos inteligentes que actualmente no pueden soportarlo.
Investigadores de Sandia National Laboratories han anunciado una forma más eficiente de generar y enviar códigos de seguridad temporales. A diferencia de los métodos convencionales, la nueva técnica no depende del tiempo, lo que podría ayudar a asegurar dispositivos pequeños y remotos conectados a la red, incluidos drones, sensores remotos, equipos agrícolas y sistemas de control industrial.
Asegurar la electrónica pequeña conectada a Internet ha sido un tema de interés dentro del gobierno de los Estados Unidos. En 2024, emitió el Instituto Nacional de Normas y Tecnología borrador de estándares Para la criptografía sobre lo que llama «dispositivos con recursos limitados».
«Este trabajo puede basarse en la parte superior de esos algoritmos», dijo Chris Jenkins, el investigador de ciberseguridad de Sandia que inventó el nuevo método.
Un código de seguridad temporal, también conocido como autenticación de dos factores, podría estar más comúnmente asociado con cuentas en línea, como la banca, pero también puede proteger dispositivos físicos, como medidores eléctricos inteligentes que requieren que los usuarios inicien sesión para cambiar la configuración. Pero muchos dispositivos inteligentes carecen de la potencia de procesamiento, el ancho de banda de la red o la conexión GPS para respaldarlo, dejándolos vulnerables a los ataques cibernéticos.
Jenkins dijo que su técnica es tan simple que cree que podría habilitar un dispositivo tan básico como un termostato para generar su propio código de autenticación, sin una marca de tiempo GPS, y pasarlo directamente a un usuario autorizado a través de una red de datos bajos.
Su equipo ha probado con éxito la nueva técnica en una aplicación de teledetección.
La nueva técnica simplifica una defensa cibernética engañosamente compleja
La autenticación de dos factores es una rutina de seguridad familiar que requiere que los usuarios proporcionen un código temporal adicional para iniciar sesión. El código generalmente aparece por texto, correo electrónico o una aplicación de autenticador. Detrás de escena, sin embargo, esta es una transacción sorprendentemente compleja, dijo Jenkins.
«Si bien es posible que vea un código de seguridad como proveniente de su banco, muchas veces su banco está usando un proveedor de terceros», dijo. «Y luego el proveedor incluso contacta a un proveedor de telecomunicaciones, y luego el proveedor de telecomunicaciones es el que le envía el código a su teléfono. Luego, el proveedor también devuelve el código a su banco».
Y el código en sí? Se basa en el tiempo. Los bancos pueden obtener eso de sus servidores, mientras que los sensores ambientales y otros dispositivos remotos con frecuencia obtienen su momento de GPS.
La versión más simple de Jenkins funciona directamente entre dos dispositivos sin terceros o infraestructura de TI extensa. Esto significa que los dispositivos pueden usarlo a través de conexiones de red que son propensas a interrupciones o retrasos, ya sea involuntariamente o por diseño.
«Algunos de estos son sistemas de baja potencia que solo se despiertan de vez en cuando», dijo Jenkins.
El nuevo método no necesita saber el tiempo, por lo que los dispositivos no necesitan una conexión GPS, y utiliza recursos informáticos mínimos, que es ideal para dispositivos diseñados para minimizar el tamaño, el peso y el uso de energía.
«Por lo general, muchos de estos dispositivos no tienen la misma potencia de procesamiento que su teléfono celular o su computadora», por lo que no pueden ejecutar un software complejo de seguridad cibernética, dijo Jenkins. Sus recursos informáticos, agregó, se parecen más a los de un termostato o una lavadora.
En 2016, alrededor de 100,000 enrutadores, cámaras web y otros dispositivos pequeños conectados a Internet se infectaron con un desagradable malware llamado Mirai. Protegidos solo por un nombre de usuario y contraseña, los dispositivos plantearon poco desafío al código agresivo que, después de un poco de conjeturas educadas, registró y reconfiguró los dispositivos para lanzar ataques cibernéticos masivos y coordinados en los servidores. Muchos dispositivos aún son vulnerables a malware como Mirai.
Pero la nueva autenticación de Sandia liviana es una forma simple de protegerlos. Al igual que la autenticación convencional y más compleja de dos factores, obliga a Malware a encontrar otro código más allá de un nombre de usuario y contraseña, lo que hace que el dispositivo sea mucho más difícil de iniciar sesión e infectar.
Jenkins diseñó originalmente la defensa con una aplicación diferente en mente: proteger los aviones militares contra los posibles piratas informáticos. Muchos aviones usan una red de comunicaciones relativamente básica para conectar diferentes sistemas a bordo, y así también requieren defensas cibernéticas livianas.
«Teníamos esto ya resuelto para un sistema de armas. Ese era el enfoque original», dijo Jenkins. «Pero pensamos, ¿no podríamos cambiarlo y hacer que funcione para la autenticación de sistemas remotos?»
Ahora, espera que su defensa ayude a proteger incluso al dispositivo más humilde conectado a Internet.
Citación: La autenticación de dos factores acaba de ser más fácil (2025, 24 de julio) Recuperó el 25 de julio de 2025 de https://techxplore.com/news/2025-07-factor-authentication-earsier.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
