Modelo para la evaluación de amenazas en sistemas de autenticación Multi-factor: Análisis y estrategias de mitigación en empresas del sector Financiero
| dc.contributor.advisor | Fúquene Ardila , Héctor Julio | |
| dc.contributor.author | Suárez Cadena , Julian Andrés | |
| dc.contributor.orcid | Fúquene Ardila, Héctor Julio [0009-0005-3946-8190] | |
| dc.date.accessioned | 2025-11-05T20:44:56Z | |
| dc.date.available | 2025-11-05T20:44:56Z | |
| dc.date.created | 2025-10-16 | |
| dc.description | Organizaciones gestionan la seguridad de sus activos digitales. En este entorno de amenazas persistentes, la autenticación multi-factor (MFA) se ha posicionado como uno de los mecanismos de control más utilizados para mitigar los riesgos asociados al acceso no autorizado a sistemas de información. A través de la combinación de diferentes factores de autenticación —algo que el usuario sabe, algo que posee y algo que es—, MFA busca superar las debilidades de los sistemas tradicionales basados únicamente en contraseñas. Su adopción se ha acelerado en sectores críticos como el financiero, donde la protección de los datos y las transacciones electrónicas es esencial para garantizar la continuidad operativa y la confianza del cliente. No obstante, a pesar de los beneficios de MFA, su implementación no está exenta de vulnerabilidades. Los atacantes han desarrollado técnicas cada vez más sofisticadas para evadir sus controles mediante phishing dirigido, ataques de tipo Man-in-the-Middle (MitM), ingeniería social, bypass del segundo factor e incluso el abuso del sistema de notificaciones push conocido como MFA bombing. Estas debilidades son especialmente preocupantes en entidades financieras, donde las consecuencias de una brecha de autenticación pueden traducirse en millonarias pérdidas económicas, sanciones regulatorias e impactos reputacionales graves. Este proyecto de grado tiene como propósito diseñar un modelo seguro de autenticación multi-factor (MFA) orientado al sector financiero, con el fin de reducir las vulnerabilidades asociadas a la autenticación digital. El modelo propuesto integra tecnologías modernas como FIDO2, autenticación adaptativa y arquitectura Zero Trust, y se encuentra alineado con estándares internacionales como NIST SP 800-63B, ISO/IEC 27001 y OWASP ASVS. Para su validación, se emplean herramientas reconocidas en el ámbito de la ciberseguridad como OWASP ThreatDragon, OWASP ZAP y Kali Linux, en un entorno simulado que emula escenarios reales de ataque. La metodología de investigación adoptada es de tipo mixto, combinando análisis cualitativo y cuantitativo, y contempla fases como la identificación de amenazas, el modelado de riesgos, el diseño de arquitectura, la implementación técnica del modelo y su validación mediante pruebas de penetración y simulaciones. Los resultados esperados incluyen la reducción en la tasa de éxito de los ataques simulados, la mejora en la experiencia del usuario y el fortalecimiento de la postura de seguridad de las instituciones que adopten el modelo. Con este trabajo se busca aportar a la construcción de prácticas robustas de autenticación en el sector financiero, ofreciendo una solución práctica, replicable y alineada a los desafíos actuales de seguridad digital. | |
| dc.description.abstract | Technological evolution has radically transformed how organizations manage the security of their digital assets. In this environment of persistent threats, multi-factor authentication (MFA) has become one of the most widely used control mechanisms to mitigate risks associated with unauthorized access to information systems. By combining different authentication factors —something the user knows, possesses, or is— MFA seeks to overcome the weaknesses of traditional password-based systems. Its adoption has accelerated in critical sectors such as finance, where protecting data and electronic transactions is essential to ensure operational continuity and client trust. However, despite the benefits of MFA, its implementation is not exempt from vulnerabilities. Attackers have developed increasingly sophisticated techniques to bypass controls through targeted phishing, man-in-the-middle (MitM) attacks, social engineering, second-factor bypass, and abuse of push notification systems, such as MFA bombing. These weaknesses are particularly concerning in financial institutions, where authentication breaches can result in substantial financial losses, regulatory sanctions, and severe reputational impacts. This research project aims to design a secure multi-factor authentication (MFA) model tailored to the financial sector, in order to reduce vulnerabilities associated with digital authentication. The proposed model integrates modern technologies such as FIDO2, adaptive authentication, and Zero Trust architecture, and aligns with international standards including NIST SP 800-63B, ISO/IEC 27001, and OWASP ASVS. The model is validated using established cybersecurity tools such as OWASP ThreatDragon, OWASP ZAP, and Kali Linux in a simulated environment that emulates real attack scenarios. The adopted research methodology is mixed in nature, combining qualitative and quantitative analysis. It includes phases such as threat identification, risk modeling, architecture design, technical implementation, and validation through penetration testing and attack simulations. The expected results include a reduced success rate of simulated attacks, improved user experience, and a strengthened security posture for institutions implementing the model. This work contributes to the development of robust authentication practices in the financial sector by offering a practical, replicable solution aligned with current digital security challenges. | |
| dc.format.mimetype | ||
| dc.identifier.uri | http://hdl.handle.net/11349/99714 | |
| dc.language.iso | spa | |
| dc.publisher | Universidad Distrital Francisco José de Caldas | |
| dc.relation.references | 1. NIST SP 800-63B. (2021). Digital Identity Guidelines. 2. OWASP Foundation. (2023). Authentication Cheat Sheet. 3. Microsoft. (2022). Threat Modeling Tool Documentation. 4. van de Poel, I. (2020). Core Values and Value Conflicts in Cybersecurity. 5. Shostack, A. (2014). Threat Modeling: Designing for Security. 6. ENISA. (2022). Multi-Factor Authentication Best Practices. 7. Dworkin, M. (2020). Password Policies and Their Impact on Security. 8. SANS Institute. (2023). Emerging Threats in Multi-Factor Authentication. 9. ISO/IEC 27001:2022. Information Security Management. 10. Symantec. (2021). Trends in MFA Adoption and Security. Normativas y Estándares • NIST SP 800-63B. Digital Identity Guidelines. (2022). National Institute of Standards and Technology. • OWASP ASVS 4.0. Application Security Verification Standard. OWASP Foundation. • ISO/IEC 27001:2022. Standard for Information Security Management Systems. Estudios de Casos Recientes sobre MFA en Empresas 1. Microsoft Security Team (2023). Implementación de MFA Resistente a Phishing en Azure AD: Un Caso de Éxito en el Sector Bancario. o Se analizó la implementación de FIDO2 y autenticación sin contraseña en bancos, reduciendo ataques de phishing en 98%. 2. Google Advanced Protection Program (2022). Cómo Google bloqueó el 100% de los ataques de phishing a empleados mediante hardware security keys. o Implementación de llaves de seguridad físicas (Yubikeys), eliminando ataques exitosos de phishing en Gmail y Google Cloud. 3. Verizon Data Breach Investigations Report (DBIR) (2023). o Indica que el 74% de las brechas de seguridad involucran credenciales robadas o comprometidas, lo que refuerza la necesidad de estrategias avanzadas de MFA. 4. Caso Uber (2022). o Ataque exitoso a través de fatiga MFA. El atacante envió múltiples notificaciones push hasta que el empleado aceptó una. o Destaca la necesidad de protecciones adicionales, como MFA basado en contexto y análisis de comportamiento. 5. Banco Santander (2023). Transformación Digital Segura: Implementación de Autenticación Multifactor Adaptativa. o Implementación de autenticación adaptativa según el nivel de riesgo de la transacción, reduciendo el fraude en pagos digitales en 87%. Artículos Académicos y Reportes Técnicos • Anderson, R. (2023). Security Engineering: A Guide to Building Dependable Distributed Systems. Cambridge University Press. • | |
| dc.rights.acceso | Abierto (Texto Completo) | |
| dc.rights.accessrights | OpenAccess | |
| dc.subject | Modelo de amenzas | |
| dc.subject | Mutifactor en el ámbito financiero | |
| dc.subject.keyword | Multifactor threat | |
| dc.subject.keyword | Model in the financial sector | |
| dc.subject.lemb | Maestría en Gestión y Seguridad de la Información -- Tesis y disertaciones académicas | |
| dc.subject.lemb | Autenticación de documentos | |
| dc.subject.lemb | Bancos -- Medidas de seguridad | |
| dc.subject.lemb | Seguridad informática | |
| dc.subject.lemb | Riesgo financiero | |
| dc.title | Modelo para la evaluación de amenazas en sistemas de autenticación Multi-factor: Análisis y estrategias de mitigación en empresas del sector Financiero | |
| dc.title.titleenglish | Model for assessing threats in multi-factor authentication systems: Analysis and mitigation strategies in companies in the financial sector | |
| dc.type | masterThesis | |
| dc.type.coar | http://purl.org/coar/resource_type/c_bdcc | |
| dc.type.degree | Monografía | |
| dc.type.driver | info:eu-repo/semantics/masterThesis |
Archivos
Bloque de licencias
1 - 1 de 1
No hay miniatura disponible
- Nombre:
- license.txt
- Tamaño:
- 7 KB
- Formato:
- Item-specific license agreed upon to submission
- Descripción: