Si es casi imposible garantizar la seguridad de tus cuentas en un cien por cien ¿por qué tomarse la molestia de configurar una verificación de dos pasos? La respuesta es obvia: este proceso eleva el nivel de seguridad del proceso de autenticación en general, convirtiéndose así en una especie de segundo obstáculo que los cibercriminales tendrán que superar si quieren acceder a tu información. Por otra parte, gracias a la autenticación de dos factores, casi todos los ataques de phishing fracasan.
Con el phishing, los delincuentes intentan obtener contraseñas, PIN o códigos de autorización bancaria a través de correos electrónicos falsos con enlaces a páginas web ficticias. Estos mensajes aparentan proceder de proveedores de servicios de correo, bancos o tiendas online auténticas, y, supuestamente por razones de seguridad, siempre buscan que el usuario cambie alguno de sus factores de identificación, un intento claro de obtener contraseñas y otros datos de acceso sensibles.
Un gran ejemplo de un ataque de este tipo es el que sufrió el director de la campaña de Hillary Clinton, John Podesta, quien, en marzo de 2016 y de acuerdo a los informes de diferentes medios, fue víctima de una serie de correos electrónicos falsos, como muchos otros políticos estadounidenses. Aparentemente, estos provenían de Google y contenían un mensaje que alertaba sobre el uso de una dirección IP externa en Ucrania para acceder a su cuenta y que, como consecuencia, la contraseña tenía que cambiarse inmediatamente. Este mensaje incluía un enlace que, al pulsarse, redirigía a una página web falsa con la misma apariencia de la plataforma de correo de Google.
Este tipo de ataques fraudulentos siguen cosechando éxitos. De los 108 miembros de la campaña de Clinton, 20 hicieron clic sobre el enlace y 4 de 16 usuarios del Comité Nacional del Partido Demócrata cayeron en la trampa. Si estas cuentas hubieran estado protegidas por algún mecanismo de verificación en dos pasos, los hackers no habrían podido hacer nada con las contraseñas obtenidas porque hubiera faltado el segundo factor: un código de seguridad único enviado al móvil del dueño de la cuenta.
Ahora bien ¿por qué este proceso no se ha popularizado antes? En Gmail, la configuración de la autenticación de dos factores no es complicada ni tediosa. Tampoco es necesario utilizar el código de seguridad generado cada vez que se inicie sesión, pues el terminal se puede configurar como dispositivo seguro de forma permanente. El siguiente vídeo de Google muestra cómo configurar la verificación: