Protege tu información con la verificación en dos pasos

Una y otra vez aparecen en los medios noticias sobre ataques informáticos a gran escala. Los cibercriminales se aprovechan de las bases de datos de foros, grandes plataformas web o tiendas online para obtener direcciones de correo electrónico y contraseñas y lograr, así, acceso no autorizado a las cuentas de sus víctimas. También los llamados ataques de phishing son responsables de poner información sensible en manos de personas poco escrupulosas. Uno de los caminos más seguros para proteger tu cuenta de prácticas criminales consiste en el llamado proceso de autenticación de dos factores o verificación en dos pasos, un mecanismo que solo permite el acceso a una cuenta tras una segunda comprobación de identidad. En este artículo mostramos en qué consiste, cómo funciona en la práctica y cuáles son las ventajas e inconvenientes de este procedimiento.

¿Qué es la verificación en dos pasos?

La autenticación de dos factores combina dos componentes diferentes e independientes para la identificación de un usuario autorizado. Un ejemplo sencillo de este tipo de verificación se lleva a cabo diariamente en los cajeros automáticos o en las cajas de los supermercados. Para retirar dinero o pagar la compra siempre se requieren dos factores: la tarjeta de débito y el PIN (o firma). Así, la verificación en dos pasos solo funciona cuando ambos factores se combinan correctamente. El mismo principio se puede aplicar para proteger las cuentas de correo electrónico o en tiendas electrónicas u otros grandes portales web.

Sin embargo, una abrumadora mayoría de las cuentas en Internet solo están protegidas por un componente. Para iniciar sesión en una cuenta de correo electrónico, en servicios en la nube o en tiendas online solo es necesario introducir una única contraseña, con lo que, si esta llegara a caer en manos de personas no autorizadas, tendrían acceso inmediato a correos electrónicos sensibles, datos de cuentas o archivos personales. Para evitarlo, proveedores como Dropbox, Google o Amazon están implementando crecientemente una autenticación de dos factores en sus servicios como medida de seguridad adicional. Este proceso puede ser muy diferente, ya que las opciones para combinar los factores son muy amplias.

¿Cómo funciona la verificación en dos pasos?

La información necesaria para determinar los factores puede ser diversa. Sin embargo, los factores más importantes y ampliamente utilizados son:

  • Tarjeta de acceso o token de seguridad
  • PIN (Número de identificación personal)
  • Códigos de autorización bancaria
  • Contraseñas
  • Características biométricas (por ejemplo, huellas digitales, voz, iris)

Todos estos factores permiten la legítima identificación de una persona, pues son elementos que la persona sabe, tiene o que están absolutamente ligados a ella (“conocer”, “tener”, “saber”). El ejemplo del cajero automático muestra que en el día a día los tokens de seguridad se combinan con otros factores. Este método tiene la desventaja de que las personas autorizadas siempre tienen que llevar el token consigo, lo que en situaciones de descuido (p. ej., al introducir mal la clave) puede resultar en un acceso denegado.

Por esta razón, con tendencia creciente se aplican mecanismos para la autenticación de dos factores en Internet que no necesitan un token de seguridad o que, al menos, previenen o minimizan el riesgo en caso de pérdida. Por lo general, además de una contraseña, el sistema genera automáticamente un código que es enviado a los usuarios a través de SMS, correo electrónico o por medio de una app de autenticación especial. Esto asegura que únicamente la persona que esté en posesión de estos códigos de seguridad adicionales tenga acceso a la información. La ventaja: el código solo es válido una vez y pierde su validez automáticamente después de un determinado periodo.

La verificación en dos pasos sin token de seguridad o tarjeta de acceso también tiene la ventaja de que los métodos de recepción secundarios pueden ser definidos usando el código de seguridad. Así, por ejemplo, si no tienes acceso a la aplicación, puedes definir como alternativa si quieres recibir un SMS o una llamada con el código.

¿Por qué es importante usar la autenticación de dos factores?

Si es casi imposible garantizar la seguridad de tus cuentas en un cien por cien ¿por qué tomarse la molestia de configurar una verificación de dos pasos? La respuesta es obvia: este proceso eleva el nivel de seguridad del proceso de autenticación en general, convirtiéndose así en una especie de segundo obstáculo que los cibercriminales tendrán que superar si quieren acceder a tu información. Por otra parte, gracias a la autenticación de dos factores, casi todos los ataques de phishing fracasan. 

Con el phishing, los delincuentes intentan obtener contraseñas, PIN o códigos de autorización bancaria a través de correos electrónicos falsos con enlaces a páginas web ficticias. Estos mensajes aparentan proceder de proveedores de servicios de correo, bancos o tiendas online auténticas, y, supuestamente por razones de seguridad, siempre buscan que el usuario cambie alguno de sus factores de identificación, un intento claro de obtener contraseñas y otros datos de acceso sensibles.   

Un gran ejemplo de un ataque de este tipo es el que sufrió el director de la campaña de Hillary Clinton, John Podesta, quien, en marzo de 2016 y de acuerdo a los informes de diferentes medios, fue víctima de una serie de correos electrónicos falsos, como muchos otros políticos estadounidenses. Aparentemente, estos provenían de Google y contenían un mensaje que alertaba sobre el uso de una dirección IP externa en Ucrania para acceder a su cuenta y que, como consecuencia, la contraseña tenía que cambiarse inmediatamente. Este mensaje incluía un enlace que, al pulsarse, redirigía a una página web falsa con la misma apariencia de la plataforma de correo de Google.

Este tipo de ataques fraudulentos siguen cosechando éxitos. De los 108 miembros de la campaña de Clinton, 20 hicieron clic sobre el enlace y 4 de 16 usuarios del Comité Nacional del Partido Demócrata cayeron en la trampa. Si estas cuentas hubieran estado protegidas por algún mecanismo de verificación en dos pasos, los hackers no habrían podido hacer nada con las contraseñas obtenidas porque hubiera faltado el segundo factor: un código de seguridad único enviado al móvil del dueño de la cuenta. 

Ahora bien ¿por qué este proceso no se ha popularizado antes? En Gmail, la configuración de la autenticación de dos factores no es complicada ni tediosa. Tampoco es necesario utilizar el código de seguridad generado cada vez que se inicie sesión, pues el terminal se puede configurar como dispositivo seguro de forma permanente. El siguiente vídeo de Google muestra cómo configurar la verificación:

Para mostrar este video, se requieren cookies de terceros. Puede acceder y cambiar sus ajustes de cookies aquí.

Con otros servicios la configuración es igualmente sencilla. Amazon, Microsoft, Apple y casi todas las grandes compañías ofrecen opciones similares a sus clientes. La baja difusión de la autenticación de dos factores plantea la cuestión de si, además de mayor seguridad, esta también implica ciertos inconvenientes.

Cuáles son los inconvenientes de la autenticación de dos factores

El hecho de que la verificación en dos pasos aumente la seguridad ya representa en sí mismo muchos beneficios. Sin embargo, para los usuarios, un fallo en el sistema o algún descuido por su parte genera el riesgo de bloquearse a sí mismos, con lo que la autenticación de dos factores no solo representa un obstáculo para cibercriminales, sino para el mismo usuario. Como este tipo de autenticación está diseñada para proteger las cuentas online mediante una combinación de “saber” (contraseña, etc.) y “tener” (smartphone al que se envía el código de seguridad), se pueden presentar problemas si, por ejemplo, el usuario pierde su móvil –pues automáticamente será excluido como usuario legítimo. Otro factor que no se puede ignorar son los problemas técnicos con las aplicaciones de autenticación.

Afortunadamente, para estos casos existe un código de autenticación que se puede añadir como alternativa. El también llamado “doble fondo” ofrece la posibilidad de incluir un segundo número de teléfono como opción de recuperación, al que el servicio puede enviar los códigos de seguridad. En estos casos es común que se proporcione un código de emergencia (que se puede imprimir o apuntar) o que se solicite una dirección de correo alternativa para restaurar el acceso a la cuenta. Así, desde otra perspectiva, lo que al principio parece un inconveniente tiene solución. Recuerda que durante la configuración de este tipo de procedimientos es importante tomar las medidas de seguridad con seriedad, a menos que sea opcional y no obligatorio, y documentar la información de acceso de emergencia con cuidado. Esto reduce enormemente el riesgo de bloquearse a sí mismo.

Artículos similares

He sido hackeado: ¿cómo recuperar mi cuenta de correo?

He sido hackeado: ¿cómo recuperar mi cuenta de correo?

  • Seguridad correo electrónico

Las cuentas de correo electrónico constituyen una de las herramientas de comunicación más importantes. Sirven para registrarse en portales, comunicarse de forma comercial o privada y organizar tareas y contactos personales. Esto hace que protegerlas sea de vital importancia, pero, ¿qué hacer si una cuenta es hackeada? En nuestra guía aclaramos qué métodos utilizan los cibercriminales para acceder…

He sido hackeado: ¿cómo recuperar mi cuenta de correo?
¿Qué es el cifrado PGP y cómo se utiliza?

¿Qué es el cifrado PGP y cómo se utiliza?

  • Seguridad correo electrónico

La privacidad en Internet es un tema delicado del que se ocupan tanto los expertos como aquellos que no tienen tanta experiencia. Independientemente de si se trata de redes sociales, de transacciones bancarias o de compras en tiendas online, la protección de los datos personales es por regla general insuficiente, lo que se extiende también al ámbito del correo electrónico. Para evitar el acceso…

¿Qué es el cifrado PGP y cómo se utiliza?
Correo seguro: Envía mails con el certificado SSL o TLS

Correo seguro: Envía mails con el certificado SSL o TLS

  • Seguridad correo electrónico

¿Te encargas de cifrar y descifrar los correos que envías y recibes? Si no lo haces, este es el momento idóneo para empezar. Pero recuerda, no basta solo con cifrar un mensaje; el contenido de un correo electrónico solo está seguro cuando el flujo de información también lo está. De lo contrario, personas sin escrúpulos tendrán acceso a datos sensibles como contraseñas o claves bancarias. El método…

Correo seguro: Envía mails con el certificado SSL o TLS
CSRF: explicación del ataque Cross Site Request ForgeryagsandrewShutterstock

CSRF: explicación del ataque Cross Site Request Forgery

  • Seguridad

Los delincuentes siempre intentan aprovechar las lagunas de seguridad de Internet para dañar a los usuarios. Un tipo frecuente de ciberataque es el Cross Site Request Forgery, de forma abreviada: CSRF. Sin que el usuario se dé cuenta, este ataque puede hacer que otra gente realice compras y transferencias en su nombre. ¿Qué se puede hacer contra un ataque de este tipo?

CSRF: explicación del ataque Cross Site Request Forgery
CTAP: protocolo para incrementar la seguridad y comodidad en la Web

CTAP: protocolo para incrementar la seguridad y comodidad en la Web

  • Seguridad

¿Imaginas un mundo en el que no sea necesario memorizar contraseñas? FIDO2 puede hacerlo realidad al permitir la identificación online mediante métodos como la huella dactilar o los tokens de hardware. Estos últimos recurren a USB, NFC o Bluetooth para conectarse con los ordenadores o portátiles, comunicación para la que FIDO2 recurre al Client to Authenticator Protocol (CTAP).

CTAP: protocolo para incrementar la seguridad y comodidad en la Web
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.