2FA
En nuestra última publicación, hablamos sobre qué es la autenticación de dos factores y por qué la necesitas. En pocas palabras, es un mecanismo de validación de acceso que se basa en dos métodos de autenticación, en esencia, diferentes.
Los usuarios necesitan la autenticación de dos factores para proteger sus cuentas de manera más fiable: si bien cada método de autenticación individual es vulnerable, dos (o más) de ellos usados en conjunto dificultan en gran medida la toma de posesión de la cuenta.
En esta publicación, mencionaré las opciones disponibles de autenticación multifactor, las ventajas y las desventajas de cada una y cuáles son las más seguras para que puedas mantener tus cuentas a salvo.
Códigos de un solo uso entregados por mensaje de texto, correo electrónico o llamada de voz
Uno de los mecanismos más comunes de autenticación de dos factores para validar el inicio de sesión son los códigos de un solo uso. Por lo general, se envían en un mensaje de texto al número de teléfono que se especificó durante el registro. El correo electrónico también se puede utilizar para ello, pero es menos popular. Por lo general, los principales servicios también facilitan la opción de una llamada de voz al número de teléfono que se especificó durante el registro.
Sin importar el canal de entrega utilizado, la idea es la misma: verificar si puedes obtener acceso a otro número de teléfono o cuenta que especificaste al registrarte en el servicio. Por lo tanto, si alguien roba tu contraseña sin tener acceso a tu teléfono, esta protección funcionará bien.
La opción de autenticación de dos factores más común: Código de un solo uso entregado por mensaje de texto.
Sin embargo, este mecanismo de autenticación de dos factores tiene sus inconvenientes. Si se utiliza el correo electrónico para confirmar el inicio de sesión y la contraseña para iniciar sesión al correo electrónico es la misma que la de la cuenta que intentas proteger, la seguridad adicional será muy limitada. Si el atacante conoce la contraseña de la cuenta, de seguro probará esa contraseña para iniciar sesión en tu correo electrónico también y así obtendrá el código de validación de un solo uso.
La validación a través del número de teléfono, ya sea por mensaje de texto o llamada de voz, tiene un problema diferente: es fácil perder el acceso. A veces, los usuarios simplemente se olvidan de establecer su cuenta de teléfono, pierden el teléfono o cambian el número.
Tampoco es extraño que los delincuentes convenzan a los operadores de telecomunicaciones de que les den una tarjeta SIM con el número de teléfono de la víctima, para así obtener acceso a los códigos de validación. Además, los mensajes de texto se pueden interceptar y tales casos ya se han informado.
En resumen, esta opción de autenticación de dos factores cumple la tarea, pero para proteger las cuentas más valiosas, en particular las relacionadas con las finanzas, es mejor usar algo más fiable.
Contraseña como segundo factor
En ocasiones, la contraseña no es el primer factor, sino el segundo. Esto es lo que ocurre con los servicios de mensajería instantánea: de manera predeterminada, para iniciar sesión es suficiente con introducir el código de un solo uso del mensaje de texto. La contraseña suele ser opcional. En mi opinión, opcional pero necesaria. Sirve como defensa contra una gran cantidad de posibles problemas de una sola vez.
Lo más importante es que protege tu correspondencia de la pérdida accidental de acceso al número de teléfono que utilizaste al registrarte en WhatsApp o Telegram. Imaginemos el caso en que has cambiado el número de teléfono principal, colocaste la tarjeta SIM anterior en un cajón y no la pagaste durante mucho tiempo. El operador revende el número después de un tiempo, lo que le permite al nuevo propietario iniciar sesión en el servicio de mensajería instantánea con tu nombre, a menos que además esté protegido con una contraseña, por supuesto.
Por supuesto, la contraseña protegerá tu cuenta de servicio de mensajería instantánea contra los secuestradores que, de una forma u otra, han obtenido acceso a tu número de teléfono.
Lista de códigos de un solo uso generados previamente
Otra opción que puedes encontrar es una lista de códigos de un solo uso generados con anterioridad. En ocasiones, los bancos emiten dichas listas a sus clientes para confirmar las transacciones, mientras que algunos servicios de Internet (como Google) permiten su uso para la recuperación de cuentas.
Esto se puede considerar un mecanismo fiable: tales códigos se transmiten al usuario a modo excepcional, por lo que hay un mínimo de oportunidades de interceptación. Los códigos son aleatorios, es decir, únicos, por lo que adivinarlos es casi imposible.
Sin embargo, está el problema del almacenamiento: si los atacantes logran robar tu lista de códigos generados previamente, secuestrar la cuenta o robarte dinero será demasiado fácil.
Lista de códigos únicos generados previamente para verificar transacciones bancarias.
Por lo tanto, los códigos de confirmación de un solo uso se deben almacenar en una caja fuerte o en su contraparte electrónica. Por ejemplo, hay notas cifradas en Kaspersky Password Manager. Si guardas la lista de códigos de un solo uso en estas notas, estarán protegidos de forma segura, siempre que, por supuesto, configures una contraseña principal segura y única para Kaspersky Password Manager.
Sin embargo, el principal inconveniente de este método de autenticación es que si necesitas realizar verificaciones con frecuencia, en poco tiempo ya no tendrás estos códigos generados con anterioridad. Lo que significa que deberás generar y guardar nuevos códigos. Si tienes varias cuentas, todas esas listas te resultarán muy confusas. Es por ello que los códigos generados con anterioridad como método de autenticación principal se reemplazan por códigos generados a pedido, según cuándo los necesitas.
Códigos de un solo uso de una aplicación de autenticación
La generación “sobre la marcha” de códigos de un solo uso se realiza mediante autenticadores. A veces, estos pueden ser dispositivos independientes con una pantalla pequeña que muestra el código actual; algunos bancos entregan dichos autenticadores a sus clientes.
Sin embargo, las aplicaciones de autenticación especiales que se ejecutan en teléfonos inteligentes son más populares que los dispositivos independientes. Tenemos una serie de publicaciones sobre ellos:
- Aplicaciones de autenticación y cómo funcionan
- Las mejores aplicaciones de autenticación para Android, iOS, Windows y macOS
- Autenticación con códigos de un solo uso: Pros y contras
- Qué hacer con una aplicación de autenticación si pierdes tu teléfono
Por lo tanto, si buscas información sobre cómo funciona este método de autenticación, cómo elegir una aplicación de autenticación y qué debes considerar después de escoger una, haz clic en los enlaces anteriores. Mientras tanto, aquí solo mencionaré brevemente que las aplicaciones de autenticación ofrecen un equilibrio óptimo entre comodidad y seguridad, lo que las hace cada vez más populares.
Google Authenticator: La más conocida, pero no la única aplicación de autenticación disponible.
Biometría: Huella digital, rostro o voz
No hace mucho tiempo, la autenticación biométrica era algo exótico para la mayoría de las personas. Sin embargo, la situación ha cambiado bastante rápido: la mayoría de los teléfonos inteligentes ahora permiten la autenticación mediante huellas digitales o reconocimiento facial, y no es algo de extrañar.
Sin embargo, algunos métodos biométricos pueden parecer inusuales: la autenticación basada en el hábito de la voz, el iris, el caminar y la mecanografía. Si queremos mencionar los más originales, podríamos recordar la investigación sobre la autenticación basada en olores, aunque no funciona demasiado bien.
La autenticación biométrica tiene algunos inconvenientes graves. En primer lugar, todas las características en las que se basa son propiedades permanentes del usuario. Puedes cambiar una contraseña en riesgo, incluso puedes hacerlo varias veces por razones de seguridad. Sin embargo, una huella digital registrada solo se puede cambiar un número limitado de veces. Puedes contar los intentos literalmente con los dedos de ambas manos.
La segunda cuestión importante es el hecho de que los datos biométricos son confidenciales, tanto por ser inalterables como porque permiten no solo autenticar a un usuario, sino también identificar a una persona. Por lo tanto, la recopilación y transferencia de estos datos a servicios digitales se deben tratar con extrema precaución.
Es por eso que los datos biométricos se suelen utilizar para la autenticación local: se almacenan y procesan en el dispositivo para evitar transmitirlos a cualquier sitio. En el caso de la autenticación biométrica remota, el servicio digital tendría que confiar en el proveedor del dispositivo, y en general no suele hacerlo. El resultado concreto es el siguiente: solo Apple tiene un mecanismo de autenticación biométrica remota de valor total porque la empresa tiene todo el control de su ecosistema, desde el desarrollo de software hasta la fabricación del dispositivo.
Inicio de sesión con huellas digitales: Un método común en la actualidad.
De todos modos, la autenticación biométrica tiene una ventaja importante que supera sus desventajas. Si se la implementa de forma correcta, hace que la vida de los usuarios sea mucho más sencilla: no es necesario escribir a máquina, solo se debe pulsar el dedo en el sensor o mostrar el rostro a la cámara. Además, es bastante fiable, si se implementa de forma adecuada.
Ubicación
Otro tipo de autenticación de usuario es la ubicación. No necesitas activar este método: está habilitado de manera predeterminada. Es por eso que suele pasar desapercibido, y la persona recibe una alerta solo si no tiene éxito: es decir, si un intento de inicio de sesión proviene de una ubicación que el servicio no esperaba. En cuyo caso, el servicio puede requerir el uso de un método de verificación adicional.
Por supuesto, la ubicación no es un factor de autenticación muy fiable. En primer lugar, no es único: muchas otras personas pueden estar en el mismo sitio en cualquier momento. En segundo lugar, es bastante fácil de manipular, en particular cuando se habla de ubicación por IP, no de geolocalización por medio de GPS. Sin embargo, la ubicación se puede utilizar como uno de los factores de autenticación y muchos servicios lo hacen.
Llaves de hardware FIDO U2F (también conocida como YubiKey)
Las opciones de autenticación antes descritas conllevan un inconveniente importante: permiten autenticar al usuario, pero no al servicio. Lo que los hace vulnerables a los ataques MitM (man-in-the-middle).
Los atacantes pueden crear una página falsa cuyo mecanismo de inicio de sesión tenga una apariencia muy similar al del servicio real. Una vez que el usuario envía su nombre de usuario y contraseña, los delincuentes los utilizan de inmediato para iniciar sesión en el sitio web real. El código de verificación es lo siguiente que se le pide al usuario y, en poco tiempo, se utiliza para apoderarse de la cuenta de la víctima.
Para lidiar con este tipo de amenazas, se crearon llaves FIDO U2F, también conocidas por el nombre de su modelo más popular: YubiKey. La principal ventaja de este método consiste en que, durante el registro, el servicio y la llave U2F recuerdan determinada información que es única para cada servicio así como para cada usuario. Más adelante, durante la autenticación, el servicio debe enviar una solicitud específica a la llave, y la llave solo responde si esta solicitud es correcta.
Por lo tanto, ambos lados de esta comunicación entienden si es legítima o no. Además, este mecanismo de autenticación se establece sobre la base de la criptografía de clave pública, por lo que todo el proceso está bien protegido contra la falsificación, la interceptación y amenazas similares.
Llaves FIDO U2F: Yubico YubiKey (izquierda) y Google Titan (derecha).
Menciono una ventaja más. A pesar de que la tecnología es bastante sofisticada y utiliza criptografía incondicional “no evidente”, todo parece muy sencillo en la superficie, desde el punto de vista del usuario. Simplemente conectas la llave a un puerto USB (o la mantienes junto a tu teléfono inteligente, ya que estas llaves a menudo son compatibles con NFC) y colocas el dedo sobre un panel sensor en la llave para completar la autenticación.
El uso de llaves de hardware U2F es el método de autenticación más fiable disponible en la actualidad y una opción recomendada para cuentas valiosas. Eso es lo que hacen en Google: todos los empleados de la empresa han estado utilizando este tipo de llaves para sus cuentas corporativas durante más de cinco años.
Claves de acceso FIDO: El futuro es ahora, sin contraseñas
No es sencillo, pero es posible hacer que todos los empleados de la organización utilicen llaves de hardware para la autenticación. Sin embargo, el método no es adecuado para millones de usuarios habituales de Internet. Las personas suelen molestarse con la mera idea de la autenticación de dos factores, y mucho más con el pago de algún equipo especial.
Es por eso que FIDO Alliance, la asociación creadora de las llaves U2F, ha desarrollado un nuevo estándar de autenticación que utiliza “claves de acceso” en lugar de contraseñas. En términos sencillos, la tecnología es casi la misma que tienen las llaves U2F, excepto que no necesitas ningún dispositivo especial para almacenar los datos de la autenticación.
Puedes almacenar claves de acceso casi en cualquier sitio: teléfonos inteligentes, ordenadores, perfiles de usuario en navegadores o, a la antigua, llaves USB. Puedes escoger sincronizarlas a través de la nube o no sincronizarlas en lo absoluto, si optas por el modo de clave de acceso única.
Esta larga lista de opciones de almacenamiento hace que, evidentemente, las claves de acceso sean menos seguras. Cuán menos seguras solo depende de la combinación de equipos y servicios que utilices.
Para compensar, los usuarios obtienen esta valiosa ventaja: las claves de acceso no complementan las contraseñas de las cuentas, las reemplazan. Además de eso, dicha autenticación sigue siendo multifactorial: además de poseer un dispositivo utilizado para almacenar las claves de acceso, debes validar el inicio de sesión utilizando datos biométricos (si el dispositivo lo admite) o un PIN para desbloquear el dispositivo. Como puedes ver, en algunos casos no se puede prescindir por completo de las contraseñas, pero al menos las claves de acceso reducen en gran medida su cantidad.
El problema clave de la iniciativa es que hasta ahora es bastante heterogénea. Los diversos servicios y plataformas utilizan enfoques muy diferentes para el almacenamiento de datos, la autenticación de usuarios y la seguridad integral. Por lo tanto, en lugar de un solo método, se utilizan varios diferentes, que varían mucho en términos de fiabilidad.
Por lo tanto, sería un poco prematuro cambiar por completo a las claves de acceso. Sin embargo, ya se puede experimentar con ellas: hace un tiempo, Google anunció el soporte total de las claves de acceso en las cuentas de Google, por lo que si te interesa, puedes ver cómo funcionan en la vida real.
Qué métodos de autenticación de dos factores son mejores y otras cuestiones para recordar
Para finalizar, mencionemos los puntos clave:
- En 2023, la autenticación de dos factores ya no es un lujo, sino una necesidad vital. Úsala siempre que sea posible.
- Cualquier método de autenticación de dos factores es mucho mejor que ninguno.
- Las aplicaciones de autenticación son óptimas para la autenticación de dos factores.
- Una llave de hardware FIDO U2F (Yubico YubiKey, Google Titan u otra) es una opción aún mejor. En especial, para cuentas valiosas.
- Ya puedes experimentar con claves de acceso, pero parece un poco pronto para adoptar por completo la tecnología.
- Por lo tanto, sigue siendo vital usar las contraseñas con cautela: escoge las más complejas, no las reutilices en varios servicios y mantenlas protegidas con un gestor de contraseñas.
- Por supuesto, no olvides que la mayoría de los métodos de autenticación de dos factores (salvo U2F y claves de acceso) son vulnerables al phishing. Por lo tanto, usa una solución fiable que elimine de forma automática esta amenaza, como Kaspersky Premium.
Consejos