Muchos servicios online ofrecen doble autenticación como medida de seguridad extra, para proteger las cuentas de sus usuarios. Conoce todo sobre esta técnica y cómo implementarla.
Durante los últimos dos años, muchos servicios online han comenzado a ofrecer un doble factor de autenticación. Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio.
Para los usuarios de PC, que ya están cansados de tener que memorizar una docena de contraseñas, esta parece ser la última cosa que necesitan, pero el doble factor de autenticación puede ser la diferencia entre ser víctima de un cibercriminal y mantenerse protegido.
Twitter, Google, LinkedIn y Dropbox, entre otros servicios, ya ofrecen esta característica como un opcional de seguridad para las cuentas. Tanto Twitter como LinkedIn agregaron el sistema luego de ataques que alcanzaron caracter público, y otros sitios como Evernote también lo han implementado en el último año.
Los sistemas varían, pero usualmente involucran un mensaje SMS automático, o una aplicación que genera códigos de acceso. Luego de ingresar tu contraseña, el sistema solicitará el código de acceso, y en algunos sistemas, se utiliza una aplicación (separada de navegador web) para ingresar el código.
Los sistemas de doble factor de autenticación son mucho más seguros que las contraseñas. Muchos ataques que alcanzaron notoriedad pública, como los perpetrados contra cuentas de empresas de medios en Twitter el año pasado, no hubieran ocurrido si hubiera habido un sistema de doble factor implementado. Incluso si un atacante logra infectar un equipo y roba una contraseña, el acceso no podrá ser logrado ya que no cuentan con el código de acceso.
Pero es importante recordar que no hay soluciones mágicas: los sistemas de doble factor son mejores que la contraseñas solas, y más simples que las medidas biométricas (como pueden ser las huellas dactilares o el reconocmiento facial), pero los atacantes eventualmente pueden encontrar el modo de vulnerarlos.
Lo que el sistema garantiza es que los atacantes tendrán que trabajar más duro. Por ejemplo, en un ataque reciente contra World of Warcraft, los cibercriminales crearon una réplica del sitio web en la que se descargaba malware. Esto demuestra que el trabajo requerido para un atacante es mucho mayor, y eso es una buena noticia.
David Harley, ESET Senior Research Fellow, dice: “Lo triste es que las contraseñas estáticas son superficialmente baratas pero conceptualmente una solución insatisfactoria para un problema muy complicado, especialmente si no están protegidas por técnicas complementarias. Las contraseñas de uso único y los tokens son mucho más seguros, especialmente cuando se implementan en hardware como una medida de doble factor de autenticación”.
¿Cómo lo activo?
Muchos sitios web, incluyendo Twitter, Gmail y Dropbox, ofrecen sistema de doble factor de manera gratuita, aunque deben ser activados por los usuarios.
Vale la pena implementar estos sistemas si quieres mantener segura tu información en esos servicios, y se hace imperativo aplicarlas si almacenas información laboral en alguna de esas cuentas. El doble factor de autenticación hace más difícil, aunque no imposible, el acceso no autorizado por parte de terceros a servicios como Twitter y Dropbox. Tal como se mencionó antes, actualmente el sistema es optativo, así que es tarea de cada usuario activarlos manualmente.
¿Lo necesito en todos los sitios web?
La respuesta es simple: no. Idealmente, deberías usar el doble factor de autenticación para tus cuentas más valiosas, esto es, las que no puedes arriesgarte a que se vean comprometidas. La mayoría de los usuarios de internet tienen accesos para docenas e incluso un centenar de sitios, pero no todos tienen la misma importancia, como por ejemplo una cuenta de e-mail “descartable” que fue creada para acceder a un sitio que vas a visitar una sola vez.
Por lo tanto, la implementación del doble factor de autenticación se debe desarrollar en sitios que visites frecuentemente, y que contengan información valiosa.
¿Es infalible?
No es infalible, pero es una capa de protección extra que te convierte en un blanco más difícil para los atacantes. Existe malware, tal como Hesperbot, que fue creado para burlar este tipo de sistemas, al engañar a los usuarios para que descarguen una aplicación falsa en lugar de la real. Pero en la mayoría de las situaciones, los sistemas de doble factor ofrecen una valiosa capa adicional de protección para usuarios finales y compañías.
¿Puede un usuario “común” beneficiarse realmente de este sistema?
Sí. Particularmente en Dropbox, muchas familias almacenan grandes cantidades de información valiosa, y no usan la opción del doble factor de autenticación. Está allí, úsala. Si utilizas Facebook, Twitter y LinkedIn para tu trabajo, también vale la pena considerar la posibiliad de implementarla, ya que si eres atacado, tu reputación se puede ver dañada.
¿Puede ayudarme si tengo una empresa pequeña?
La respuesta es simple: Sí. Un informe reciente arrojó como resultado que dos tercios de las compañías que permitían el trabajo desde el hogar, eran incapaces de brindar acceso seguro a la red corporativa, poniendo en peligro a la información de la empresa. Los sistemas de doble factor de autenticación pueden ayudar a las empresas pequeñas a brindar “home working” y por ejemplo, cortar gastos generales en oficinas.
¿Que aplicaciones usar?
Compañías como Google y Apple han estado ofreciendo una capa extra de protección para proteger su cuenta. Se puede añadir una verificación de número de móvil, usar su teléfono Android para verificar la cuenta o usar el OTP temporal de las aplicaciones de autenticación de dos factores.
Entonces, ¿qué son exactamente estas aplicaciones? ¿Cómo funcionan? Hablemos de ellos primero. Casi todos los servicios populares le permiten configurar la autenticación de dos factores desde la configuración. Generará un conjunto aleatorio de números que se solicitarán en el servicio después de escribir la contraseña. Añade una capa adicional de protección para mantener su cuenta segura.
Las tiendas de aplicaciones ofrecen muchas aplicaciones de autenticación de dos factores. Así que hemos compilado las cinco aplicaciones de autenticación de dos factores más importantes para iPhone y Android. Saltemos dentro.
1. Autenticador de Google
Google ofrece una aplicación de autenticación en Android e iOS. La compañía ha estado animando al usuario a que opte por las instrucciones del dispositivo para verificar los detalles, pero ese truco sólo funciona con Android y no con iOS.
La configuración es sencilla, introduzca un código manual o escanee el código QR desde la pantalla del escritorio y ya está listo.
La aplicación utiliza 2.0 en ambas plataformas y un menú de hamburguesas para funciones adicionales.
Mi único problema con Google Authenticator es que no envía una notificación para aprobar o denegar una solicitud del propio panel de notificación.
2. Autenticador de Microsoft
Microsoft ofrece un servicio similar basado en aplicaciones como Google. Además de estar disponible en plataformas móviles, la aplicación también es compatible con Apple Watch.
La configuración de la aplicación es sencilla. Puede escanear un código QR o introducirlo manualmente para configurar el servicio. Una vez dentro, la aplicación muestra el código con un temporizador, y puedes ocultar el código o simplemente copiarlo.
La empresa está utilizando el mismo lenguaje de diseño en todas las plataformas. Para iniciar sesión en la cuenta de Microsoft, la aplicación de autenticación envía una notificación y usted puede simplemente permitir o denegar la solicitud sin siquiera abrir la aplicación.
Mientras que tanto Microsoft como Google ofrecen una aplicación 2FA robusta, ambas están llenas de un defecto importante. Supongamos que ha cambiado su dispositivo o que le roban el teléfono, y ni Google ni Microsoft proporcionan (lo hace en iOS pero no en Android) una función para migrar datos de un dispositivo a otro.
En tales carcasas, tendrá que configurar la 2FA desde cero para acceder a la funcionalidad. Y es por eso que las dos próximas aplicaciones en la lista son favorecidas por la mayoría, incluyéndome a mí.
3. Authy
Authy es un estándar de oro en las aplicaciones 2FA. Al iniciarse, se le pedirá que introduzca el número de teléfono móvil, que estará vinculado al servicio y se puede utilizar en varios dispositivos para un inicio de sesión seguro.
Después de eso, puede añadir una contraseña maestra que debe recordar sin falta bajo ninguna circunstancia. Se utilizará para verificar su cuenta entre los dispositivos. El resto del proceso es sencillo. Añada un código manual de la configuración de seguridad del sitio web o escanee un código QR.
A medida que continúe añadiendo nuevas cuentas al servicio, los detalles se sincronizarán con los servidores de Authy. La empresa afirma que estos servidores son tan seguros como los utilizados por NSA y Banks.
Al configurar el nuevo dispositivo, deberá introducir el número de móvil y la contraseña maestra para descifrar los datos. Y después de eso, todas sus cuentas añadidas aparecerán de la misma manera que las dejó en el dispositivo anterior.
Si usted es alguien que cambia con frecuencia entre los dispositivos, entonces le recomiendo encarecidamente que se decante por Authy para una configuración sin problemas y sin problemas. Además, su uso es completamente gratuito. ¿Qué es lo que no te gusta?
4. Autenticador de LastPass
Sería natural que un administrador de contraseñas ofreciera un servicio seguro como 2FA app. Y LastPass está en la carrera por ofrecer una aplicación 2FA convincente en ambas plataformas.
Primero, necesitas ser un usuario de LastPass para utilizar la aplicación al máximo potencial. Los datos añadidos se sincronizan con los servidores LastPass. Y cuando configure el nuevo dispositivo, necesitará la cuenta LastPass para restaurar los datos.
La aplicación también es compatible con la autenticación Face ID/Fingerprint, que también añade una nueva capa de seguridad.
5. 2FA Autora
2FA mantiene las cosas simples. Es similar a Google y Microsoft, pero si quieres vivir fuera de la sombra de Google y Microsoft, entonces ve por este. La aplicación no ofrece servicio de copia de seguridad/restauración, y tampoco utiliza ninguna autenticación de Face ID, pero hace lo básico bien y hace el trabajo bien.
Manteniéndolo seguro y protegido
Como puede ver en la lista anterior, cada aplicación puede rellenarse como su capa extra de seguridad. Google y Microsoft ofrecen una opción robusta, mientras que Authy y LastPass siguen adelante con funciones adicionales como la transferencia de datos y la biometría.