A pesar de los significativos avances tecnológicos para combatir la proliferación de amenazas de seguridad sofisticadas, la realidad es que prevenir el próximo ciberataque depende de manejar correctamente los conceptos básicos de seguridad. Los esfuerzos para asegurar el ecosistema de software deben proteger a los desarrolladores que diseñan, construyen y mantienen el software del cual dependemos.
GitHub, hogar de la comunidad de desarrolladores más grande del mundo, está en una posición única para mejorar la seguridad de la cadena de suministro de software. En mayo de 2022, la plataforma lanzó una iniciativa con el objetivo de elevar el nivel de seguridad de la cadena de suministro, enfocándose en el primer eslabón: la seguridad de los desarrolladores. Uno de los pilares de esta iniciativa es la implementación de la autenticación multifactor (2FA) como defensa contra la toma de cuentas y los compromisos subsecuentes de la cadena de suministro. GitHub estableció un ambicioso objetivo para que los usuarios que contribuyen con código habiliten una o más formas de 2FA para finales de 2023.
El proceso que siguió involucró un año de inversiones en investigación y diseño para optimizar la experiencia del usuario y asegurar una incorporación exitosa a medida que se incrementaban los requisitos. Los avances de la primera fase de inscripción en 2FA revelan resultados prometedores, alentando a más organizaciones a implementar requisitos similares.
Los logros iniciales en 2023 son motivo de orgullo, mostrando un impacto significativo en la mejora de la seguridad del ecosistema de software. Se observó un aumento dramático en la adopción de 2FA entre usuarios críticos para la cadena de suministro de software. Además, los usuarios optaron por métodos más seguros de 2FA, como las llaves de paso.
Desde el inicio del despliegue obligatorio de 2FA en marzo de 2023, se registró una tasa de aceptación del 95% entre los contribuyentes de código que recibieron el requisito. Esto resultó en un aumento del 54% en la adopción de 2FA entre todos los contribuyentes activos en GitHub.com.
Un área clave fue la promoción de métodos de 2FA más seguros, como las llaves de paso. Desde su lanzamiento en beta pública en julio de 2023, se han registrado casi 1,4 millones de llaves de paso en GitHub.com, superando rápidamente a otros tipos de 2FA respaldados por Webauthn en uso diario.
GitHub continúa ofreciendo opciones de autenticación flexibles, fiables y seguras, especialmente para aquellos sin acceso a tecnologías avanzadas. Apoyan el uso de SMS como una opción de 2FA, aunque han incentivado alternativas más seguras, reduciendo la proporción de SMS como segundo factor en casi un 25% entre principios de 2023 y principios de 2024.
Los datos muestran que los usuarios que configuran dos o más formas de 2FA tienen un 47% menos de probabilidad de bloquear sus cuentas, lo cual mejora su experiencia. La inversión en experiencia de usuario y diseño previa al despliegue resultó en una reducción de un tercio en los tickets de soporte relacionados con 2FA.
Internamente, la optimización y automatización del flujo de trabajo para los equipos de soporte de GitHub llevó a una disminución del 54% en los tickets de recuperación de cuentas que requerían intervención humana significativa. Actualmente, más del 75% de estos tickets provienen del flujo de trabajo en el producto.
Aún queda mucho por hacer para apoyar a los usuarios sin acceso a un teléfono o control sobre el software de sus computadoras para adoptar 2FA. GitHub mantiene su compromiso de proporcionar herramientas que hagan el desarrollo de software más fácil y seguro, buscando continuamente soluciones para proteger a los desarrolladores, sus proyectos y las comunidades en las que participan.
Se anima a otras organizaciones a considerar seriamente la implementación de requisitos de 2FA en sus propias plataformas. Es posible elevar significativamente el nivel de seguridad sin afectar negativamente la experiencia del usuario. Para más información sobre cómo GitHub puede ayudar a asegurar su código de manera sencilla, el evento GitHub Universe 2024 ofrecerá una exploración de las mejores prácticas en seguridad centrada en el desarrollador.