Zero Trust se está adoptando cada vez más como la mejor estrategia para mantener la seguridad de las aplicaciones y evitar filtraciones de datos. Para ayudar a lograr avances en Zero Trust, ahora existe una forma nueva y fácil de implementar la verificación continua de usuarios mediante la conexión directa a los sistemas de autenticación utilizados por los operadores móviles, sin la sobrecarga de procesamiento o almacenamiento de datos de usuarios.
Antes de mostrarte cómo funciona y cómo integrarlo, comencemos con el desafío fundamental.
Resumen
Confianza cero y autenticación
El modelo Zero Trust de verificación de identidad esencialmente significa nunca confiar en que un usuario que regresa es quien dice ser, independientemente de su ubicación o intentos exitosos anteriores. Zero Trust es un enfoque estratégico para la gestión de acceso que es vital para mantener alejados a los malos.
A medida que el mundo se traslada a la nube, con una red cada vez más distribuida de empleados, socios y clientes, los viajes de autenticación más estrictos se vuelven aún más importantes.
Pero con una mayor seguridad viene una mayor fricción: los usuarios tienen que inventar contraseñas complejas, recordar preguntas de seguridad e interrumpir sus flujos de trabajo con códigos de aplicaciones de autenticación, PIN de SMS y otros métodos de autenticación de múltiples factores (MFA).
La compensación entre seguridad y UX
Sabemos que los factores de conocimiento como las contraseñas son menos que ideales. Las contraseñas comprometidas están detrás de la mayoría de las filtraciones de datos y ataques, y Forrester Research estima que en el entorno empresarial, el restablecimiento de contraseña de cada empleado cuesta $ 70 en soporte de mesa de ayuda. Eso es sin tener en cuenta la frustrante experiencia general del usuario.
La biometría, por otro lado, no es realista como requisito de Zero Trust para el usuario promedio. Tampoco necesita solicitar dicha información personal para todos los tipos de acceso.
Los factores de posesión brindan un punto medio sólido y la prueba de posesión de un dispositivo móvil es más universal. Además, los números de teléfono móvil no son demasiado personales.
Sin embargo, los controles de posesión que usan códigos, incluso las aplicaciones de autenticación, son vulnerables a los ataques de intermediario (MITM) y de intercambio de SIM, además de crear problemas de UX, desde códigos SMS que nunca llegan hasta la presión de escribir números de una aplicación de autenticación contra una cuenta regresiva.
Una forma más sencilla y segura de comprobar el factor de posesión manteniendo Zero Trust ya está en manos de los usuarios: es el teléfono móvil y la tarjeta SIM que contiene.
Cómo verificar usuarios conectándose directamente a redes móviles
La tarjeta SIM dentro del teléfono ya está autenticada con el operador de red móvil (MNO). Es la autenticación SIM la que permite a los clientes móviles hacer y recibir llamadas telefónicas y conectarse a datos. Ahora puede usar este mismo poderoso método de autenticación para su propio sitio web o aplicación móvil, usando tru.ID.
tru.ID se asocia directamente con operadores globales para ofrecer tres tipos de API que se integran con la infraestructura de autenticación de la red, utilizando la conexión de datos y sin recopilar ninguna información de identificación personal (PII). La API tru.ID verifica si la tarjeta SIM asociada con el número de teléfono ha cambiado recientemente, proporcionando una verificación silenciosa y continua.
Cero Fricción, Cero Confianza, Cero Conocimiento
La autenticación basada en SIM es invisible para el usuario: la verificación de la SIM se realiza en segundo plano una vez que el usuario ingresa su número de teléfono móvil. Si su sitio o aplicación ya tiene almacenado el número de teléfono móvil, aún mejor: no se requiere ninguna acción del usuario. Esta UX mejorada crea experiencias de cuenta fluidas sin comprometer la seguridad.
No se intercambian datos de identificación personal del usuario o información de la aplicación durante la búsqueda del número de MNO y SIM: la verificación se realiza a través de una conexión de datos y valida la información oficial del operador.
Cómo empezar
Para la autorización Zero Trust continua en segundo plano utilizando la SIM, se recomienda SIMCheck, que tiene el beneficio adicional de ser una integración rápida, fácil y del lado del servidor. Si la búsqueda arroja cambios recientes en la tarjeta SIM, puede optar por implementar una verificación incremental adicional.
¿Cómo se logra todo esto programáticamente? Con una llamada API. Cuando sucede algo en el lado del cliente que requiere un paso adelante o un control de seguridad, el cliente informa al servidor, que realiza esta llamada API para verificar si la SIM ha cambiado para el número de teléfono del usuario:
curl --location --request POST 'https://eu.api.tru.id/sim_check/v0.1/checks'
--header 'Content-Type: application/json'
--header 'Authorization: Bearer <Token>'
--data-raw '{"phone_number": "<PhoneNumber>"}'
La respuesta de la API SIMCheck se verá así, donde la propiedad `no_sim_change` es la clave para decirnos si la tarjeta SIM ha cambiado recientemente:
{
"check_id": "<CHECK_ID>",
"status": "COMPLETED",
"no_sim_change": true,
"charge_amount": 1.00000,
"charge_currency": "API",
"created_at": "2021-07-13T23:44:19+0000",
"snapshot_balance": 10.000
}
Después de esto, el servidor informa al cliente si la transacción o solicitud puede continuar. Si falla, su sitio o aplicación puede denegar el acceso o requerir una forma adicional de autenticación no telefónica.
¿Quieres intentarlo tu mismo? Puede comenzar a realizar pruebas de forma gratuita y realizar su primera llamada a la API en cuestión de minutos: simplemente regístrese con tru.ID o consulte la documentación. tru.ID está deseoso de escuchar a la comunidad para discutir estudios de casos.
Para obtener más información sobre cómo funciona la autenticación basada en SIM, puede leer sobre la autenticación de usuarios con SubscriberCheck aquí.
