Protege tu información con la verificación en dos pasos
Una y otra vez aparecen en los medios noticias sobre ataques informáticos a gran escala. Los cibercriminales se aprovechan de las bases de datos de foros, grandes plataformas web o tiendas online para obtener direcciones de correo electrónico y contraseñas y lograr, así, acceso no autorizado a las cuentas de sus víctimas. También los llamados ataques de phishing son responsables de poner información sensible en manos de personas poco escrupulosas. Uno de los caminos más seguros para proteger tu cuenta de prácticas criminales consiste en el llamado proceso de autenticación de dos factores o verificación en dos pasos, un mecanismo que solo permite el acceso a una cuenta tras una segunda comprobación de identidad. En este artículo mostramos en qué consiste, cómo funciona en la práctica y cuáles son las ventajas e inconvenientes de este procedimiento.
¿Qué es la verificación en dos pasos?
La autenticación de dos factores combina dos componentes diferentes e independientes para la identificación de un usuario autorizado. Un ejemplo sencillo de este tipo de verificación se lleva a cabo diariamente en los cajeros automáticos o en las cajas de los supermercados. Para retirar dinero o pagar la compra siempre se requieren dos factores: la tarjeta de débito y el PIN (o firma). Así, la verificación en dos pasos solo funciona cuando ambos factores se combinan correctamente. El mismo principio se puede aplicar para proteger las cuentas de correo electrónico o en tiendas electrónicas u otros grandes portales web.
Sin embargo, una abrumadora mayoría de las cuentas en Internet solo están protegidas por un componente. Para iniciar sesión en una cuenta de correo electrónico, en servicios en la nube o en tiendas online solo es necesario introducir una única contraseña, con lo que, si esta llegara a caer en manos de personas no autorizadas, tendrían acceso inmediato a correos electrónicos sensibles, datos de cuentas o archivos personales. Para evitarlo, proveedores como Dropbox, Google o Amazon están implementando crecientemente una autenticación de dos factores en sus servicios como medida de seguridad adicional. Este proceso puede ser muy diferente, ya que las opciones para combinar los factores son muy amplias.
¿Cómo funciona la verificación en dos pasos?
La información necesaria para determinar los factores puede ser diversa. Sin embargo, los factores más importantes y ampliamente utilizados son:
- Tarjeta de acceso o token de seguridad
- PIN (Número de identificación personal)
- Códigos de autorización bancaria
- Contraseñas
- Características biométricas (por ejemplo, huellas digitales, voz, iris)
Todos estos factores permiten la legítima identificación de una persona, pues son elementos que la persona sabe, tiene o que están absolutamente ligados a ella (“conocer”, “tener”, “saber”). El ejemplo del cajero automático muestra que en el día a día los tokens de seguridad se combinan con otros factores. Este método tiene la desventaja de que las personas autorizadas siempre tienen que llevar el token consigo, lo que en situaciones de descuido (p. ej., al introducir mal la clave) puede resultar en un acceso denegado.
Por esta razón, con tendencia creciente se aplican mecanismos para la autenticación de dos factores en Internet que no necesitan un token de seguridad o que, al menos, previenen o minimizan el riesgo en caso de pérdida. Por lo general, además de una contraseña, el sistema genera automáticamente un código que es enviado a los usuarios a través de SMS, correo electrónico o por medio de una app de autenticación especial. Esto asegura que únicamente la persona que esté en posesión de estos códigos de seguridad adicionales tenga acceso a la información. La ventaja: el código solo es válido una vez y pierde su validez automáticamente después de un determinado periodo.
La verificación en dos pasos sin token de seguridad o tarjeta de acceso también tiene la ventaja de que los métodos de recepción secundarios pueden ser definidos usando el código de seguridad. Así, por ejemplo, si no tienes acceso a la aplicación, puedes definir como alternativa si quieres recibir un SMS o una llamada con el código.
¿Por qué es importante usar la autenticación de dos factores?
Si es casi imposible garantizar la seguridad de tus cuentas en un cien por cien ¿por qué tomarse la molestia de configurar una verificación de dos pasos? La respuesta es obvia: este proceso eleva el nivel de seguridad del proceso de autenticación en general, convirtiéndose así en una especie de segundo obstáculo que los cibercriminales tendrán que superar si quieren acceder a tu información. Por otra parte, gracias a la autenticación de dos factores, casi todos los ataques de phishing fracasan. Con el phishing, los delincuentes intentan obtener contraseñas, PIN o códigos de autorización bancaria a través de correos electrónicos falsos con enlaces a páginas web ficticias. Estos mensajes aparentan proceder de proveedores de servicios de correo, bancos o tiendas online auténticas, y, supuestamente por razones de seguridad, siempre buscan que el usuario cambie alguno de sus factores de identificación, un intento claro de obtener contraseñas y otros datos de acceso sensibles. Un gran ejemplo de un ataque de este tipo es el que sufrió el director de la campaña de Hillary Clinton, John Podesta, quien, en marzo de 2016 y de acuerdo a los informes de diferentes medios, fue víctima de una serie de correos electrónicos falsos, como muchos otros políticos estadounidenses. Aparentemente, estos provenían de Google y contenían un mensaje que alertaba sobre el uso de una dirección IP externa en Ucrania para acceder a su cuenta y que, como consecuencia, la contraseña tenía que cambiarse inmediatamente. Este mensaje incluía un enlace que, al pulsarse, redirigía a una página web falsa con la misma apariencia de la plataforma de correo de Google. Este tipo de ataques fraudulentos siguen cosechando éxitos. De los 108 miembros de la campaña de Clinton, 20 hicieron clic sobre el enlace y 4 de 16 usuarios del Comité Nacional del Partido Demócrata cayeron en la trampa. Si estas cuentas hubieran estado protegidas por algún mecanismo de verificación en dos pasos, los hackers no habrían podido hacer nada con las contraseñas obtenidas porque hubiera faltado el segundo factor: un código de seguridad único enviado al móvil del dueño de la cuenta. Ahora bien ¿por qué este proceso no se ha popularizado antes? En Gmail, la configuración de la autenticación de dos factores no es complicada ni tediosa. Tampoco es necesario utilizar el código de seguridad generado cada vez que se inicie sesión, pues el terminal se puede configurar como dispositivo seguro de forma permanente. El siguiente vídeo de Google muestra cómo configurar la verificación:
Con otros servicios la configuración es igualmente sencilla. Amazon, Microsoft, Apple y casi todas las grandes compañías ofrecen opciones similares a sus clientes. La baja difusión de la autenticación de dos factores plantea la cuestión de si, además de mayor seguridad, esta también implica ciertos inconvenientes.
Cuáles son los inconvenientes de la autenticación de dos factores
El hecho de que la verificación en dos pasos aumente la seguridad ya representa en sí mismo muchos beneficios. Sin embargo, para los usuarios, un fallo en el sistema o algún descuido por su parte genera el riesgo de bloquearse a sí mismos, con lo que la autenticación de dos factores no solo representa un obstáculo para cibercriminales, sino para el mismo usuario. Como este tipo de autenticación está diseñada para proteger las cuentas online mediante una combinación de “saber” (contraseña, etc.) y “tener” (smartphone al que se envía el código de seguridad), se pueden presentar problemas si, por ejemplo, el usuario pierde su móvil –pues automáticamente será excluido como usuario legítimo. Otro factor que no se puede ignorar son los problemas técnicos con las aplicaciones de autenticación.
Afortunadamente, para estos casos existe un código de autenticación que se puede añadir como alternativa. El también llamado “doble fondo” ofrece la posibilidad de incluir un segundo número de teléfono como opción de recuperación, al que el servicio puede enviar los códigos de seguridad. En estos casos es común que se proporcione un código de emergencia (que se puede imprimir o apuntar) o que se solicite una dirección de correo alternativa para restaurar el acceso a la cuenta. Así, desde otra perspectiva, lo que al principio parece un inconveniente tiene solución. Recuerda que durante la configuración de este tipo de procedimientos es importante tomar las medidas de seguridad con seriedad, a menos que sea opcional y no obligatorio, y documentar la información de acceso de emergencia con cuidado. Esto reduce enormemente el riesgo de bloquearse a sí mismo.