El gobierno australiano anunció en 2023 que eliminaría gradualmente el uso de contraseñas para acceder a la plataforma clave de servicios digitales gubernamentales myGov. En la primera mitad de 2024, es posible que se solicite a los australianos que adopten claves de acceso, que utilizan datos biométricos individuales para autenticar a los usuarios.
El impulso de la clave de acceso myGov entre la población australiana allanará el camino para que los líderes de TI adopten esta forma más segura de autenticación en el sector privado a medida que aumente la conciencia y la educación del público. Esto podría minimizar el riesgo de phishing y elevar la seguridad cibernética de las empresas australianas.
Claves de acceso para proteger a los usuarios de myGov de una escalada de estafas
El gobierno australiano dijo que las claves de acceso se implementarán para los usuarios de myGov durante la primera mitad de 2024. Esto marca un paso sustancial hacia la adopción de claves de acceso en el mercado australiano, ya que hay aproximadamente 26 millones de cuentas activas para todo el gobierno. plataforma digital y 3,3 millones de usuarios de aplicaciones. Se accede al servicio 782.000 veces al día.
¿Por qué se están implementando claves de acceso para servicios gubernamentales críticos?
El gobierno australiano ha estado preocupado por la protección de seguridad que ofrecen las contraseñas. Mientras busca construir defensas nacionales como parte de la Estrategia Australiana de Seguridad Cibernética 2023-2030, adoptar tecnologías más seguras y educar a los australianos se ha convertido en una prioridad.
VER: Los equipos de seguridad de Australia deberán mantenerse a la vanguardia de las tendencias de seguridad cibernética.
Debido a que las claves de acceso utilizan datos biométricos como escaneos de huellas dactilares o reconocimiento facial, junto con una clave de autenticación criptográfica en un dispositivo para autenticar a los usuarios, el gobierno australiano espera evitar que las personas utilicen contraseñas susceptibles de phishing y, al mismo tiempo, brindar una mejor experiencia digital.
El problema con las contraseñas
Las contraseñas se han convertido en un problema para las organizaciones del sector público y privado australiano:
- Hay evidencia de que muchas personas todavía usan contraseñas simples que los ciberdelincuentes pueden descifrar fácilmente o reciclar las mismas contraseñas en múltiples servicios.
- Las contraseñas son el objetivo de la industria del phishing, que a menudo intenta atraer a usuarios desprevenidos para que proporcionen credenciales de inicio de sesión para permitir que los ciberdelincuentes accedan a los sistemas.
- Los delincuentes pueden utilizar fácilmente las contraseñas si los datos de las credenciales están disponibles a través de una filtración o violación de datos, y son un artículo popular a la venta en la web oscura.
El gobierno australiano dijo que los ciberdelincuentes están utilizando kits de “estafa en una caja” disponibles en Internet para crear sitios web falsos con los que lanzar ataques de phishing contra australianos con cuentas de Centrelink, la Oficina de Impuestos de Australia y Medicare. Los kits de estafa en caja permiten a los ciberdelincuentes recopilar identificaciones de usuario y contraseñas de un gran número de usuarios, que pueden venderse en la web oscura. Las claves de acceso ayudarían a eliminar esto al eliminar las contraseñas.
La adopción de claves de acceso está aumentando y aumentará a ritmo
Las principales empresas de tecnología, Apple, Google y Microsoft, han encabezado un impulso creciente hacia la adopción de claves de acceso. Anunciaron en 2022 que iban a admitir inicios de sesión sin contraseña, de acuerdo con los estándares globales creados y administrados por el organismo de autenticación FIDO Alliance.
VER: Google agrega la opción de clave de acceso para reemplazar las contraseñas en Gmail.
Desde entonces, se les ha sumado Amazon y una variedad de marcas de consumo, incluidas Adobe, TikTok, Shopify y PayPal. Algunos equipos de TI también han estado implementando claves de acceso para la fuerza laboral, incluidos los de Fox, Hyatt, Intuit y Target, según FIDO Alliance.
El Informe de autenticación de la fuerza laboral de 2023 publicado por FIDO Alliance y el administrador de contraseñas LastPass, que respalda el cambio a claves de acceso, indica que muchas empresas ya ven el beneficio de pasar a claves de acceso. Encontró que el 92% de las empresas globales cree que las claves de acceso beneficiarán su postura de seguridad, y el 93% está de acuerdo en que ayudarán a reducir las aplicaciones de “TI en la sombra”.
Las organizaciones australianas tienen un gran apetito por la adopción de claves de acceso
La encuesta de FIDO Alliance, que incluyó a 200 empresas encuestadas en Australia, encontró que el 94% de los encuestados australianos ya han migrado o planean hacerlo en los próximos dos años a la tecnología sin contraseña, por delante del promedio global del 92%.
Una proporción mayor de empresas australianas (94%) también creía que las claves de acceso beneficiarían su postura de seguridad. La Alianza FIDO dijo que demostraba que Australia estaba “buscando rápidamente minimizar la dependencia de métodos de autenticación heredados en favor de inicios de sesión fáciles de usar y resistentes al phishing”.
Aún existen desafíos para la adopción generalizada de claves de acceso
La mayoría de las organizaciones australianas todavía utilizan formas de autenticación phishing, dijo la Alianza FIDO. Esto incluye:
- Códigos de acceso de un solo uso enviados a un teléfono o tableta (41%).
- Ingresar contraseñas manualmente (27%).
- Utilizando autenticación multifactor (36%).
La encuesta reconoció que un desafío clave para la adopción será la educación, lo que llevará tiempo. Los líderes de TI encuestados dijeron que necesitan educación sobre cómo funciona la tecnología sin contraseña y cómo implementarla, mientras que el 25% dijo que los usuarios pueden resistirse al cambio o al uso de la nueva tecnología.
VER: La gestión del cambio juega un papel importante en la cultura empresarial.
Si bien la adopción de claves de acceso por parte de la fuerza laboral aún está en sus inicios, la implementación proactiva de claves de acceso por parte del sector público para myGov podría actuar como un fuerte catalizador para una adopción más amplia a medida que el gobierno hace el trabajo de educar a los usuarios y alentar la adopción de la nueva tecnología.
¿En qué deberían pensar los profesionales de TI antes de introducir claves de acceso?
Es probable que las claves de acceso ganen terreno entre las organizaciones australianas, especialmente considerando los riesgos de comprometer las contraseñas a través del phishing, que sigue siendo un riesgo clave para la seguridad cibernética. Las organizaciones deberán pensar detenidamente los problemas antes del lanzamiento de la tecnología.
Enmarcando la adopción de nuevas tecnologías de clave de acceso
Los líderes de TI deben contar con una narrativa clara sobre el propósito y la funcionalidad de las claves de acceso, para garantizar el éxito de la gestión del cambio. Con la ayuda de una mayor conciencia sobre el impacto de las estafas de phishing en Australia y el posible impacto positivo de las claves de acceso en la experiencia del usuario, una historia coherente podría facilitar la introducción y la adopción.
Educar a la fuerza laboral y a los clientes sobre las claves de acceso
Aunque el gobierno australiano hará mucho trabajo preliminar para educar al público sobre las claves de acceso como parte del lanzamiento de myGov para garantizar que sean adoptadas por una gran cantidad de usuarios, las empresas aún deberán considerar cómo respaldan la prestación de educación y la incorporación. para que la tecnología garantice una implementación fluida para sus empleados y bases de clientes.
Abordar los desafíos comerciales y técnicos
Se requerirá cierto esfuerzo técnico por parte de los desarrolladores para agregar claves de acceso a aplicaciones y sitios web, y las empresas deberán priorizar la actualización de la autenticación entre otras prioridades en competencia. También ha habido fragmentación en los enfoques, y un gerente de producto de Google dijo que, aunque la tecnología existe, la industria todavía está descubriendo cómo implementarla.
