¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.
Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.
Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
Sin embargo, la 2FA es opcional en iCloud, además de en Gmail, Facebook y muchos otros servicios web. La mayoría de la gente prefiere saltársela, ya que es poco práctica y la gente no tiene tiempo para ésto.
Además, es muy fácil perder el control de tu correo electrónico o de tus perfiles en las redes sociales, aunque no seas Kim Kardashian o Kate Upton. Las consecuencias pueden ser devastadoras, especialmente si trabajas en una compañía online.
Dos candados son mejor que uno
La mayoría de las personas piensa en la verificación en dos pasos como en el sistema de envío de contraseñas de un solo uso en los mensajes de texto. Bueno, es el método más destacado de 2FA para servicios web, sin embargo, no es el único.
En general, la 2FA es como una puerta con dos candados. Uno de ellos es la combinación tradicional de registro y contraseña y el segundo podría ser algo diferente. Además, si no crees que dos candados sean suficientes, puedes utilizar tantos como quieras, aunque alargaría el proceso de apertura de la puerta, por lo que está bien usar al menos dos.
Las contraseñas enviadas por SMS son una forma comprensible y relativamente segura de verificación, aunque no siempre es práctica. En primer lugar, cada vez que quieras acceder a un servicio tienes que tener a mano el móvil, esperar a que te llegue el SMS e introducir los dígitos que aparecen…
Si te equivocas o introduces el código muy tarde, tienes que repetir de nuevo el mismo procedimiento. Si, por ejemplo, la red del usuario está colapsada, el SMS puede llegar demasiado tarde. En mi opinión, esto es bastante irritante.
Weak Link: How to lose everything having lost your #SIM-card https://t.co/wha5ECQP6A #security pic.twitter.com/ykU4j1mbvI
— Kaspersky (@kaspersky) November 18, 2014
Si no tienes cobertura (algo bastante frecuente cuando viajamos), no obtendrás una contraseña. También es posible que pierdas el móvil, y no si no tienes la posibilidad de utilizar otros medios de comunicación, una situación como ésta es aún más frustrante.
Para estar cubierto en estos casos, muchos servicios web como Facebook o Google, ofrecen otras soluciones. Por ejemplo, ofrecen una lista de contraseñas de un solo uso que puedes recopilar de manera preventiva, imprimirlas y guardarlas en algún lugar seguro.
5 formas de proteger tus fotos privadas mediante la verificación en dos pasos #privacidad #seguridad #2FA
Tweet
Así mismo, la 2FA con códigos de un solo uso recibidos vía SMS puede activarse no en todas las ocasiones, sino sólo cuando alguien accede desde un dispositivo desconocido. Tú decides, así que decide basándote en tu nivel de paranoia. El método es el mismo para cualquier app que esté ligada a tu cuenta, como los clientes de correo electrónico. En cuanto introduzcas una contraseña específica generada, la recordarán durante bastante tiempo.
Así que, a no ser que ingreses en tus cuentas cada día desde un dispositivo distinto, activarlas mediante la verificación en dos pasos mediante SMS no es gran cosa. Una vez que lo instales, funciona correctamente.
Identification mediante un smartphone
Si viajas frecuentemente, una forma más inteligente de activar la 2FA podría ser mediante una app especial. Al contrario que los SMS, este método de autenticación funciona sin conexión a Internet. Las contraseñas de un solo uso se generan en el smartphone, no en un servidor (sin embargo, la instalación inicial sí requerirá conexión a la red).
Hay un gran número de aplicaciones de autenticación, pero Google Authenticator sin duda puede servir como estándar de la industria. Este programa respalda otros servicios además de Gmail, como Facebook, Tumblr, Dropbox, vk.com y WordPress, entre otras.
Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs
— Google (@Google) October 3, 2013
Si prefieres una aplicación con paquete de características, prueba Twilio Authy. Es similar a Google Authenticator pero añade un par de opciones útiles.
En primer lugar, te permite almacenar los certificados en la nube y copiarlos en otros dispositivos (smartphones, PCs, tablets and y muchas otras plataformas, incluyendo Apple Watch). Incluso en el caso de que te roben un dispositivo, todavía tienes control de tus cuentas. La app solicita un número PIN cada vez que la ejecutas, y la contraseña puede anularse si tu dispositivo se ha visto comprometido.
En Segundo lugar, Twilio Authy, al contrario que Google Authenticator, te facilita mucho las cosas al empezar a usar un nuevo dispositivo.
Una contraseña para gobernarlas a todas
Las soluciones que hemos mencionado tienen una pega importante. Si usas el mismo dispositivo para acceder a tus cuentas y para recibir SMS con contraseñas de un solo uso o implementar una aplicación que genere claves de 2FA, esta protección no resulta demasiado segura.
Los tokens de seguridad ofrecen un nivel mayor de protección. Su formato y su forma varían y pueden ser tokens USB, tarjetas inteligentes, tokens offline con un monitor digital, pero el principio es, en esencia, el mismo. En resumidas cuentas, se trata de mini ordenadores, que generan claves de un solo uso bajo petición. Las claves son introducidas manualmente o de forma automática a través de una interfaz USB, por ejemplo.
Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP – http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR
— Yubico | #YubiKey (@Yubico) April 16, 2015
Este tipo de claves de hardware no dependen de la red de cobertura o de un teléfono u otra cosa; simplemente hacen su trabajo sin importar nada más. Pero se compran por separado y es muy sencillo perder alguno de estos diminutos artilugios.
Normalmente estas claves se utilizan para proteger los servicios de banca electrónica, los sistemas institucionales o empresariales y otros temas importantes. A su vez, es posible que utilices una elegante memoria USB para proteger tus cuentas de Google o WordPress, siempre que la unidad USB sea compatible con la especificación abierta de FIDO U2F (como en el conocido caso de los conocidos tokens YubiKey).
¡Muestra tus implantes!
Las claves tradicionales de hardware ofrecen un alto nivel de seguridad, pero no son muy prácticas. Te hartarías al tener que introducir el USB cada vez que necesites acceso a un servicio en la red, además de que no se puede insertar en un smartphone.
Sería más sencillo usar una clave inalámbrica, emitida vía Bluetooth o NFC. Esto es posible con las nuevas especificaciones de FIDO U2F que se han presentado este verano.
Una chapa serviría para identificar al usuario legítimo y se puede utilizar en cualquier parte: en un llavero, una tarjeta bancaria, o incluso en un chip NFC implantado bajo la piel. Cualquier Smartphone podría leer esta clave y autentificar al usuario.
#BionicManDiary, entry 001: the story of how a chip was implanted into my body: https://t.co/tEawdUC2tj by @cheresh pic.twitter.com/dXwzYUdYSC
— Kaspersky (@kaspersky) February 26, 2015
Uno, dos… muchos
Sin embargo, el concepto general de la verificación en dos pasos ya está pasado de moda. Los principales servicios como Google o Facebook (sigilosamente) utilizan el análisis multi-factor para ofrecer un acceso totalmente seguro. Evalúan el dispositivo y el navegador utilizado para acceder, además de la localización o el uso de ciertos patrones. Los bancos utilizan sistemas similares para localizar posibles actividades fraudulentas.
De manera que, en el futuro confiaremos en las soluciones multi-factor avanzadas, que proporcionan tanto comodidad como seguridad. Uno de los mayores ejemplos que muestran este enfoque es el Proyecto Abacus, que se presentó en la reciente conferencia de Google I/O.
4 new @Google projects from #IO15: #Soli, #Jacquard, #Vault and #Abacus https://t.co/W3syPCLuli pic.twitter.com/rRadOQmtng
— Kaspersky (@kaspersky) June 22, 2015
En un futuro, tu identidad se confirmará no sólo mediante una contraseña, sino también por una combinación de factores: tu localización geográfica, lo que estés haciendo en ese momento, tu forma de hablar, tu respiración, los latidos de tu corazón, etc., utilizando ciberprótesis y otras cosas similares. El dispositivo para percibir e identificar estos factores sería, como es predecible, tu smartphone.
Aquí tienes otro ejemplo: unos investigadores suizos utilizan el ruido ambiental como un factor de autentificación.
La idea general de este concepto, que los investigadores han llamado Sound-Proof (Prueba de sonido, en inglés), es muy sencilla. Cuando intentes acceder a un servicio específico desde tu ordenador, el servidor solicitará la instalación de una aplicación en tu smartphone. Entonces, tanto el ordenador como el smartphone, registran el sonido ambiente, lo transforman en una firma digital, la cifran y la envían al servidor para analizarla. Si coincide, esto sirve como prueba de que el usuario que está intentando acceder es legítimo.
How ambient sound can keep your data safe http://t.co/USgEnnDM0p pic.twitter.com/11c32HeiIK
— Popular Mechanics (@PopMech) August 18, 2015
Sin embargo, este enfoque no es perfecto. ¿Y si un cyber delicuente estuviera sentado en un restaurante justo al lado del usuario? En ese caso, el ruido ambiental es prácticamente el mismo, por lo que se deberían tener en cuenta otros factores para poder evitar que se comprometa su cuenta.
En resumen, tanto Sound-Proof como Abacus pertenecen a la seguridad del futuro. Cuando se comercialicen, las amenazas y los desafíos con respecto a la seguridad de la información también habrán evolucionado.
Por el momento, te recomendamos que actives la 2FA. Encontrarás las instrucciones para activarla en la mayoría de los servicios más conocidos en páginas web como Telesign Turn It On.