{"id":13555,"date":"2018-10-19T10:01:07","date_gmt":"2018-10-19T16:01:07","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13555"},"modified":"2018-10-19T10:01:07","modified_gmt":"2018-10-19T16:01:07","slug":"2fa-practical-guide","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/2fa-practical-guide\/13555\/","title":{"rendered":"La autentificaci\u00f3n de doble factor en SMS es insegura, \u00bfqu\u00e9 alternativas hay?"},"content":{"rendered":"<p>En el \u00faltimo par de a\u00f1os, el concepto de autenticaci\u00f3n de doble factor (2FA), defendido a ultranza por los <i>geeks<\/i>, ha conseguido implementarse de forma masiva. No obstante, la charla sigue limit\u00e1ndose al uso de la 2FA para contrase\u00f1as de un solo uso a trav\u00e9s de SMS. Y, aunque suene triste, no es la opci\u00f3n m\u00e1s fiable. Te explicamos por qu\u00e9:<\/p>\n<ul>\n<li>Cualquiera pueda ver las contrase\u00f1as que recibes por SMS <a href=\"https:\/\/www.kaspersky.es\/blog\/2fa-notification-trap\/16932\/\" target=\"_blank\" rel=\"noopener\">si est\u00e1n activadas las notificaciones en la pantalla de bloqueo<\/a>.<\/li>\n<li>Incluso aunque las notificaciones est\u00e9n desactivadas, se puede retirar la tarjeta SIM e instalarla en otro <i>smartphone<\/i>, dando acceso a los mensajes SMS con contrase\u00f1as.<\/li>\n<li>Los mensajes SMS con contrase\u00f1as pueden ser interceptados por un troyano que acecha dentro de tu <i>smartphone<\/i>.<\/li>\n<li>Empleando t\u00e1cticas ocultas (persuasi\u00f3n, soborno, etc.), los ciberdelincuentes pueden hacerse con una nueva tarjeta SIM con el n\u00famero de la v\u00edctima en cualquier tienda de tel\u00e9fonos m\u00f3viles. Entonces, los mensajes SMS ir\u00e1n a esta tarjeta y el tel\u00e9fono de la v\u00edctima se desconectar\u00e1 de la red.<\/li>\n<li>Los mensajes SMS con contrase\u00f1as se pueden interceptar con <a href=\"https:\/\/www.kaspersky.es\/blog\/ss7-attack-intercepts-sms\/12962\/\" target=\"_blank\" rel=\"noopener\">un error b\u00e1sico en el protocolo SS7<\/a> utilizado para transmitir los mensajes.<\/li>\n<\/ul>\n<p>Ten en cuenta que ya se han puesto en pr\u00e1ctica los m\u00e9todos de robo de contrase\u00f1as en SMS (explotaci\u00f3n del SS7) m\u00e1s intensivos y de alta tecnolog\u00eda. El resto es pan comido para los malos. Dicho esto, no nos enfrentamos a hip\u00f3tesis, sino a amenazas reales.<\/p>\n<p>En general, las contrase\u00f1as en SMS no son muy seguras, de hecho, a veces pueden ser muy inseguras. Por lo que tiene sentido que se analicen alternativas en lo que respecta a la 2FA, y de esto vamos a hablar hoy.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17200 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17172253\/2fa-practical-guide-featured1.jpg\" alt=\"Cu\u00e1l es el m\u00e9todo de autentificaci\u00f3n de doble factor m\u00e1s adecuado\" width=\"1460\" height=\"958\"><\/p>\n<h2>C\u00f3digos de un solo uso en un archivo o en papel<\/h2>\n<p>La forma m\u00e1s simple de sustituir las contrase\u00f1as de un solo uso en SMS es utilizar, s\u00ed, contrase\u00f1as de un solo uso, pero elaboradas previamente. No es la peor de las opciones, sobre todo en servicios en los que no inicias sesi\u00f3n frecuentemente. Incluso para el bueno de Facebook, este m\u00e9todo puede hacer lo mismo, sobre todo a modo de plan de emergencia.<\/p>\n<p>Es bastante directo: a petici\u00f3n, el servicio genera y muestra una docena de c\u00f3digos de un solo uso que puedan utilizarse despu\u00e9s para autentificar un inicio de sesi\u00f3n. Estos c\u00f3digos se pueden imprimir o apuntar y guardar en un lugar seguro. O, m\u00e1s simple a\u00fan, se pueden guardar en notas cifradas en .<\/p>\n<p>Si los c\u00f3digos se guardan en formato f\u00edsico o digital da m\u00e1s igual, lo importante es que (1) no se pierdan y que (2) nadie los robe.<\/p>\n<h2>Tambi\u00e9n hay una aplicaci\u00f3n para ello: Aplicaciones de autentificaci\u00f3n<\/h2>\n<p>Un \u00fanico conjunto de c\u00f3digos de un solo uso cuenta con un inconveniente: tarde o temprano se acabar\u00e1 y te quedar\u00e1s sin c\u00f3digos en el momento m\u00e1s inoportuno. Afortunadamente, hay un m\u00e9todo m\u00e1s efectivo: los c\u00f3digos de un solo uso se pueden generar al momento a trav\u00e9s de una peque\u00f1a aplicaci\u00f3n de autentificaci\u00f3n (generalmente) muy simple.<\/p>\n<h3>C\u00f3mo funcionan las aplicaciones de autentificaci\u00f3n<\/h3>\n<p>Es muy f\u00e1cil utilizar aplicaciones de 2FA. Esto es lo que tienes que hacer:<\/p>\n<ul>\n<li>Instala la aplicaci\u00f3n de autentificaci\u00f3n en tu <i>smartphone<\/i>.<\/li>\n<li>Ve a ajustes de seguridad del servicio con el que quieres utilizar la aplicaci\u00f3n.<\/li>\n<li>Selecciona 2FA (damos por hecho que esta opci\u00f3n existe); el servicio mostrar\u00e1 un c\u00f3digo QR que se puede escanear directamente en la aplicaci\u00f3n 2FA.<\/li>\n<li>Escanea el c\u00f3digo con la aplicaci\u00f3n, generar\u00e1 un nuevo c\u00f3digo cada 30 segundos.<\/li>\n<\/ul>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17191 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17170644\/IMG_16102018_160257_0.png\" alt=\"C\u00f3mo activar una aplicaci\u00f3n de doble factor en Facebook\" width=\"867\" height=\"707\"><\/p>\n<p>Los c\u00f3digos se crean sobre la base de una clave (que solo conoces t\u00fa y el servidor) y la hora actual, redondeada en 30 segundos. Ambos componentes son los mismos para ti y el servicio, por lo que los c\u00f3digos se generan de forma sincronizada. Este algoritmo se conoce por sus siglas en ingl\u00e9s, OATH TOTP (contrase\u00f1a de un solo uso basada en el tiempo), y es de lejos el m\u00e1s utilizado.<\/p>\n<p>La alternativa es OATH HOPT (siglas en ingl\u00e9s de \u201ccontrase\u00f1a de un solo uso basada en HMAC\u201d). En lugar de la hora actual, este algoritmo utiliza un contador que aumenta en 1 por cada c\u00f3digo reci\u00e9n creado. Pero no se utilizan mucho, ya que su uso complica la generaci\u00f3n sincr\u00f3nica de c\u00f3digos por parte de la aplicaci\u00f3n y el servicio. En pocas palabras, existe el riesgo de que el contador se aver\u00ede en el momento m\u00e1s inoportuna y tu contrase\u00f1a de un solo uso no funcione.<\/p>\n<p>Por lo que, OATH TOTP se puede considerar el est\u00e1ndar de facto (aunque oficialmente no es ni siquiera un <em>est\u00e1ndar<\/em>, seg\u00fan insisten los creadores en las <a href=\"https:\/\/tools.ietf.org\/html\/\" target=\"_blank\" rel=\"noopener nofollow\">especificaciones<\/a>).<\/p>\n<h3>Compatibilidad del servicio y la aplicaci\u00f3n 2FA<\/h3>\n<p>La gran mayor\u00eda de las aplicaciones 2FA utilizan el mismo algoritmo, por lo que se puede utilizar cualquiera para servicios que admitan autenticadores; la elecci\u00f3n es cosa tuya.<\/p>\n<p>Evidentemente, en toda regla hay excepciones. Por razones que solo ellos conocen, algunos servicios prefieren generar sus propias aplicaciones 2FA que funcionan solo para ellos. Adem\u00e1s, los mismos servicios no trabajan con otra aplicaci\u00f3n que no sea la suya.<\/p>\n<p>Esto es muy com\u00fan entre los principales editores de videojuegos, como, por ejemplo, Blizzard Authenticator, Steam Mobile con Steam Guard incorporado, Wargaming Auth y dem\u00e1s, todos incompatibles con aplicaciones y servicios de terceros. Estas aplicaciones personalizadas solo pueden utilizarse con las plataformas de los juegos pertinentes.<\/p>\n<p>Adobe tambi\u00e9n tiene su propia aplicaci\u00f3n, Adobe Authenticator, que funciona solo con cuentas AdobeID. No obstante, puedes utilizar otras aplicaciones para autentificarte en AdobeID, por lo que no queda claro por qu\u00e9 se necesita una aplicaci\u00f3n diferente.<\/p>\n<p>En cualquier caso, la mayor\u00eda de las compa\u00f1\u00edas inform\u00e1ticas normales no restringen a los usuarios en su elecci\u00f3n de aplicaciones de 2FA. Y aunque las empresas decidan generar su propia aplicaci\u00f3n, la mayor\u00eda de las veces se pueden utilizar para proteger no solo sus propias cuentas, sino tambi\u00e9n aquellas de otros servicios.<\/p>\n<p>Elige la aplicaci\u00f3n de autentificaci\u00f3n que m\u00e1s te guste por sus funciones adicionales y esta funcionar\u00e1 en la mayor\u00eda de los servicios que admitan aplicaciones de 2FA.<\/p>\n<h3>Las mejores aplicaciones de autentificaci\u00f3n de doble factor<\/h3>\n<p>La oferta de aplicaciones de 2FA es sorprendentemente amplia, solo tienes que buscar \u201cautentificador\u201d en Google Play para comprobarlo. No te recomendamos que instales la primera aplicaci\u00f3n que te encuentres, puede que no sea la m\u00e1s segura. Recuerda que est\u00e1s a punto de confiarle las claves de tus cuentas (no sabr\u00e1 tus contrase\u00f1as, evidentemente, pero s\u00ed a\u00f1ades la 2FA, ya que las contrase\u00f1as se suelen filtrar). Generalmente, conviene elegir aplicaciones dise\u00f1adas por desarrolladores de confianza.<\/p>\n<p>Aunque la funci\u00f3n b\u00e1sica de todas estas aplicaciones es la misma, generar c\u00f3digos de un solo uso con el mismo algoritmo, algunos autentificadores cuentan con funciones adicionales y caracter\u00edsticas de interfaz llamativas.<\/p>\n<h4><strong>1. Google Authenticator<\/strong><\/h4>\n<p><b>Platformas admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.google.android.apps.authenticator2\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/google-authenticator\/id388497605\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17192 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17170918\/2fa-practical-guide-google-icon.png\" alt=\"La aplicaci\u00f3n Google Authenticato\"><\/p>\n<p>Los medios tecnol\u00f3gicos coinciden: Google Autheticator es la aplicaci\u00f3n 2FA m\u00e1s sencilla de utilizar. Ni siquiera tiene configuraci\u00f3n. Todo lo que puedes hacer es a\u00f1adir un nuevo <i>token<\/i> (el nombre que recibe el generador de c\u00f3digo para una cuenta individual) o borrar uno que ya existe. Para copiar un c\u00f3digo solo tienes que pulsar en \u00e9l, \u00a1eso es todo!<\/p>\n<p>No obstante, esta simplicidad presenta un inconveniente: si no te gusta algo de la interfaz o quieres m\u00e1s caracter\u00edsticas, tendr\u00e1s que instalar otra aplicaci\u00f3n de autentificaci\u00f3n.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Muy f\u00e1cil de utilizar<\/p>\n<p>\u00a0<\/p>\n<h4><strong>2. Duo Mobile<\/strong><\/h4>\n<p><b>Plataforma admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.duosecurity.duomobile\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/duo-mobile\/id422663827\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17193 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171123\/2fa-practical-guide-duo-icon.png\" alt=\"La aplicaci\u00f3n de autentificaci\u00f3n Duo Mobile\"><\/p>\n<p>Duo Mobile tambi\u00e9n es muy f\u00e1cil de usar, minimalista y sin ajustes adicionales. Presenta una ventaja frente a Google Authenticator, Duo Mobile oculta los c\u00f3digos por defecto, as\u00ed que, para verlos el usuario debe pulsar el token espec\u00edfico. Si, al igual que a m\u00ed, a ti tampoco te gusta exponer al mundo los c\u00f3digos de tus cuentas cada vez que abres el autentificador, Duo Mobile est\u00e1 hecha para ti.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Esconde los c\u00f3digos por defecto<\/p>\n<p>\u00a0<\/p>\n<h4><strong>3. Microsoft Authenticator<\/strong><\/h4>\n<p><b>Plataformas admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.azure.authenticator\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/microsoft-authenticator\/id983156458\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17194 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171226\/2fa-practical-guide-microsoft-icon.png\" alt=\"La aplicaci\u00f3n Microsoft Authenticator\"><\/p>\n<p>Microsoft Authenticator tambi\u00e9n opta por un enfoque austero, con una aplicaci\u00f3n minimalista. Eso s\u00ed, cuenta con m\u00e1s funciones que Google Authenticator. Para empezar, aunque todos los c\u00f3digos aparecen por defecto, cada <i>token<\/i> se puede configurar por separado para que aparezca en oculto.<\/p>\n<p>En segundo lugar, Microsoft Authenticator simplifica el inicio de sesi\u00f3n en las cuentas de Microsoft. Despu\u00e9s de introducir tu contrase\u00f1a, solo tienes que pulsar el bot\u00f3n de la aplicaci\u00f3n para confirmar el inicio; eso es todo. Ni siquiera tienes que introducir un c\u00f3digo de un solo uso.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Se puede configurar para ocultar c\u00f3digos.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Funciones adicionales para iniciar sesi\u00f3n en cuentas de Microsoft.<\/p>\n<p>\u00a0<\/p>\n<h4><strong>4. FreeOTP<\/strong><\/h4>\n<p><b>Plataformas admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=org.fedorahosted.freeotp\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/freeotp-authenticator\/id872559395\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17195 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171352\/2fa-practical-guide-freeotp-icon.png\" alt=\"La aplicaci\u00f3n de autentificaci\u00f3n FreeOTP de Red Hat\"><\/p>\n<p>Hay cuatro razones para instalar esta aplicaci\u00f3n de Red Hat. Primero, el <i>software<\/i> es de fuente abierta. Segundo, es la aplicaci\u00f3n menos pesada de nuestra lista, la versi\u00f3n para iOS ocupa solo 750 KB. (En comparaci\u00f3n, el minimalista Google Authenticator requiere casi 14 MB y la aplicaci\u00f3n Authy, de la que hablamos a continuaci\u00f3n, 44 MB).<\/p>\n<p>Tercero, la aplicaci\u00f3n oculta los c\u00f3digos por defecto, solo los muestra si pulsas el <i>token<\/i>. Cuarto, aunque no menos importante, FreeOTP te permite configurar los <i>token<\/i> de una forma muy flexible y manual, si as\u00ed lo deseas. L\u00f3gicamente, tambi\u00e9n cuenta con el m\u00e9todo m\u00e1s com\u00fan de generaci\u00f3n de <i>token<\/i> con c\u00f3digo QR.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Oculta los c\u00f3digos por defecto.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Ocupa solo 750 KB.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Fuente abierta.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Amplia oferta de ajustes en la creaci\u00f3n manual de <i>token<\/i>.<\/p>\n<p>\u00a0<\/p>\n<h4><strong>5. Authy<\/strong><\/h4>\n<p><b>Plataformas admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.authy.authy\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/authy\/id494168017\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a>, <a href=\"https:\/\/authy.com\/download\/\" target=\"_blank\" rel=\"noopener nofollow\">Windows<\/a>, <a href=\"https:\/\/authy.com\/download\/\" target=\"_blank\" rel=\"noopener nofollow\">macOS<\/a>, <a href=\"https:\/\/chrome.google.com\/webstore\/detail\/authy\/gaedmjdfmmahhbjefcbgaolhhanlaolb\" target=\"_blank\" rel=\"noopener nofollow\">Chrome<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17196 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171527\/2fa-practical-guide-authy-icon.png\" alt=\"La aplicaci\u00f3n de autentificaci\u00f3n Twilio Authy\"><\/p>\n<p>Authy es la aplicaci\u00f3n 2FA m\u00e1s sofisticada, con la principal ventaja de que todos los <i>token<\/i> se almacenan en la nube. Esto posibilita acceder a los <i>token<\/i> desde cualquiera de tus dispositivos. A su vez, simplifica la migraci\u00f3n a nuevos dispositivos. No necesita volver a activar la 2FA en cada servicio, por lo que puedes continuar utilizando los <i>token<\/i> existentes.<\/p>\n<p>Los <i>token<\/i> en la nube se encuentran cifrados con una clave basada en una contrase\u00f1a definida por el usuario, por lo que los datos se almacenan de forma segura, lo cual dificulta el robo. Tambi\u00e9n puedes establecer un c\u00f3digo de inicio de sesi\u00f3n para la aplicaci\u00f3n o protegerla con huella digital si tu <i>smartphone<\/i> est\u00e1 equipado con el esc\u00e1ner correcto.<\/p>\n<p>La principal desventaja de Authy es que necesita que configures una cuenta enlazada a tu n\u00famero de tel\u00e9fono m\u00f3vil, de lo contrario, no funciona.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Los <i>token<\/i> se almacenan en la nube, por lo que podr\u00e1s utilizarlos en todos tus dispositivos.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>La migraci\u00f3n a otros dispositivos es muy sencilla por este mismo motivo.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Inicio de sesi\u00f3n en la aplicaci\u00f3n protegido con c\u00f3digo y huella digital.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Solo se muestra en la pantalla el c\u00f3digo del \u00faltimo <i>token<\/i> utilizado.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Al contrario que otras aplicaciones, no solo admite Android y iOS, sino tambi\u00e9n Windows, macOS y Chrome.<\/p>\n<p><strong>Contras:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">\u2212 <\/span>No funciona si no enlazas a la cuenta Authy un n\u00famero de tel\u00e9fono.<\/p>\n<p>\u00a0<\/p>\n<h4><strong>6. Yandex.Key<\/strong><\/h4>\n<p><b>Plataformas admitidas:<\/b> <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=ru.yandex.key\" target=\"_blank\" rel=\"noopener nofollow\">Android<\/a>, <a href=\"https:\/\/itunes.apple.com\/app\/yandex-key-2fa-and-one-time-passwords\/id957324816\" target=\"_blank\" rel=\"noopener nofollow\">iOS<\/a><\/p>\n<p><img decoding=\"async\" class=\"aligncenter wp-image-17197 size-full\" style=\"max-width: 175px\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171624\/2fa-practical-guide-yandex-icon.png\" alt=\"La aplicaci\u00f3n de autentificaci\u00f3n Yandex.Key\"><\/p>\n<p>En mi opini\u00f3n, el concepto que est\u00e1 detr\u00e1s de Yandex.Key la convierte en la mejor aplicaci\u00f3n de 2FA por dos motivos. Primero, no requiere el registro inmediato, por lo que resulta tan f\u00e1cil de utilizar como Google Authenticator. Segundo, cuenta con varias funciones adicionales para aquellos que lo prefieran.<\/p>\n<p>Yandex.Key se puede bloquear con un c\u00f3digo o huella digital. Adem\u00e1s, te permite generar copias de seguridad de <i>token<\/i> protegidas con contrase\u00f1a en la nube de Yandex (esta etapa no requiere n\u00famero de tel\u00e9fono) y restaurarla en cualquier dispositivo que utilices. Tambi\u00e9n se pueden transferir <i>token<\/i> a un nuevo dispositivo cuando tengas la necesidad de migrar de dispositivo.<\/p>\n<p>Yandex.Key consigue combinar la simplicidad de Google Authenticator con la funcionalidad de Authy, dependiendo de tus preferencias. La \u00fanica desventaja de la interfaz es que no es f\u00e1cil utilizarla con un gran n\u00famero de <i>token<\/i>.<\/p>\n<p><strong>Pros:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Minimalismo al principio, amplia funcionalidad disponible a trav\u00e9s de los ajustes.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Se pueden crear copias de seguridad de <i>token<\/i> en la nube para utilizarlas en m\u00faltiples dispositivos y en la migraci\u00f3n a nuevos.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>El inicio de sesi\u00f3n est\u00e1 protegido con c\u00f3digo o huella digital.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>En la pantalla solo aparece el c\u00f3digo del \u00faltimo <i>token<\/i> utilizado.<br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">+ <\/span>Remplaza tu contrase\u00f1a de la cuenta Yandex permanente.<\/p>\n<p><strong>Contras:<\/strong><br>\n<span style=\"font-weight: bold;padding-left: 1.5em\">\u2212 <\/span>Cuando hay muchos <i>token<\/i>, cuesta encontrar el que necesitas.<\/p>\n<h2>Los autentificadores en <i>hardware<\/i> U2F de FIDO: YubiKey y otros<\/h2>\n<p>Si una aplicaci\u00f3n que genera c\u00f3digos de un solo uso te parece una forma endeble e intangible de proteger tus cuentas y quieres algo m\u00e1s s\u00f3lido y fiable que bloquee tu cuenta con un c\u00f3digo que puedas llevar en el bolsillo, no busques m\u00e1s; los <i>token<\/i> en <i>hardware<\/i> basados en el est\u00e1ndar U2F (Universal 2nd Factor), creado por FIDO Alliance, son la mejor opci\u00f3n para ti.<\/p>\n<h3>C\u00f3mo funcionan los <i>token<\/i> U2F de FIDO<\/h3>\n<p>Los <i>token<\/i> en <i>hardware<\/i> U2F son los preferidos de los especialistas de seguridad, primero porque, desde la perspectiva de un usuario, funcionan muy f\u00e1cilmente. Para ponerlo en marcha, simplemente conecta el <i>token<\/i> U2F a tu dispositivo y reg\u00edstralo a un servicio compatible. Este proceso solo lleva un par de clics.<\/p>\n<p>Despu\u00e9s, para confirmar el inicio de sesi\u00f3n al servicio, tendr\u00e1s que conectar el <i>token<\/i> U2F al dispositivo desde el cual est\u00e1s iniciando sesi\u00f3n y pulsar en el bot\u00f3n <i>token<\/i> (algunos dispositivos solicitan un c\u00f3digo o huella digital, pero esto es una funci\u00f3n adicional). Eso es todo, sin ajustes complejos, ni largas secuencias de caracteres u otras palabrer\u00edas asociadas con la <em>criptograf\u00eda<\/em>.<\/p>\n<div id=\"attachment_17198\" style=\"width: 822px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-17198\" class=\"wp-image-17198 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17171724\/IMG_16102018_160327_0.png\" alt=\"C\u00f3mo autentificarse en Facebook con Yubikey\" width=\"812\" height=\"463\"><p id=\"caption-attachment-17198\" class=\"wp-caption-text\">Inserta la clave y presiona el bot\u00f3n, eso es todo<\/p><\/div>\n<p>A su vez, en cuanto al funcionamiento, toda parece estar correctamente: cuando se registra un <i>token<\/i> en un servicio, se generan un par de claves cifradas, privadas y p\u00fablicas. La clave p\u00fablica se almacena en el servidor y la privada, en un chip de <a href=\"https:\/\/www.kaspersky.es\/blog\/secure-element\/16189\/\" target=\"_blank\" rel=\"noopener\">elemento seguro<\/a>, que es el n\u00facleo del <i>token<\/i> U2F y nunca abandona el dispositivo.<\/p>\n<p>Por otro lado, la clave privada se utiliza para cifrar la confirmaci\u00f3n de un inicio de sesi\u00f3n, que se pasa al servidor y puede ser descifrada utilizando la clave p\u00fablica. Si alguien que finge ser t\u00fa intenta transferir una confirmaci\u00f3n de inicio de sesi\u00f3n cifrada con la clave privada incorrecta, entonces, desc\u00edfrala con la clave p\u00fablica solo generar\u00e1 tonter\u00edas y el servicio no conceder\u00e1 acceso a la cuenta.<\/p>\n<h3>Qu\u00e9 tipo de dispositivos U2F hay<\/h3>\n<p>El ejemplo m\u00e1s famoso y com\u00fan de U2F es YubiKey, dise\u00f1ada por Yubico. Esta compa\u00f1\u00eda inici\u00f3 el est\u00e1ndar, pero decidi\u00f3 hacerlo abierto, por ello se cre\u00f3 FIDO Alliance. Y como el est\u00e1ndar es abierto, tu elecci\u00f3n no est\u00e1 limitada: varias compa\u00f1\u00edas producen y venden dispositivos compatibles con U2F, que se ofertan en tiendas <i>online<\/i> en diferentes modelos.<\/p>\n<div id=\"attachment_17188\" style=\"width: 1470px\" class=\"wp-caption alignnone\"><img decoding=\"async\" aria-describedby=\"caption-attachment-17188\" class=\"wp-image-17188 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/17170008\/2fa-practical-guide-yubikey.jpg\" alt=\"Yubico YubiKe, el token U2F m\u00e1s popular\" width=\"1460\" height=\"840\"><p id=\"caption-attachment-17188\" class=\"wp-caption-text\">Probablemente YubiKey sea el token U2F m\u00e1s popular<\/p><\/div>\n<p>Por ejemplo, recientemente Google ha introducido un paquete de autentificadores bajo el nombre Google Titan Security Keys. De hecho, se trata de claves producidas por Freitan Technologies (el segundo creador de <i>token<\/i> U2F m\u00e1s popular, despu\u00e9s de Yubico), cuyo nuevo <i>firmware<\/i> dise\u00f1\u00f3 Google.<\/p>\n<p>Evidentemente, todos los autentificadores en <i>hardware<\/i> compatibles con el est\u00e1ndar U2F funcionar\u00e1n igual con cualquier servicio que sea compatible con este est\u00e1ndar. No obstante, hay diferencias y las m\u00e1s importantes son las interfaces compatibles con la clave, lo cual determina directamente con qu\u00e9 dispositivos puede funcionar:<\/p>\n<p><b>USB<\/b>: para conectar a PC (no importa si son <b>Windows, Mac o Linux<\/b>, las claves funcionan sin necesidad de instalar ning\u00fan <i>driver<\/i>). Adem\u00e1s del t\u00edpico USB-A, hay claves para USB-C.<\/p>\n<p><b>NFC<\/b>: requerido para usarse con <i>smartphones<\/i> y tablets <strong>Android<\/strong>.<\/p>\n<p><b>Bluetooth<\/b>: requerido en dispositivos m\u00f3viles que no tienen NFC. Por ejemplo, los propietarios de <b>iPhone<\/b> siguen necesitando un autentificador de Bluetooth. Aunque iOS ahora permite a las aplicaciones utilizar NFC (hasta este a\u00f1o, solo estaba permitido en Apple Pay), la mayor\u00eda de los desarrolladores de aplicaciones compatibles con U2F aun no han aprovechado esta funci\u00f3n. Los autentificadores Bluetooth cuentan con un par de desventajas: primero, hay que cargarlos; segundo, tardan m\u00e1s en conectarse.<\/p>\n<p>Los modelos b\u00e1sicos de <i>token<\/i> U2F normalmente admiten solo U2F y cuestan entre 10 y 20 d\u00f3lares. Otros dispositivos m\u00e1s caros (entre 20 y 50 d\u00f3lares) tambi\u00e9n pueden operar como tarjetas inteligentes, generar contrase\u00f1as de un solo uso (incluidos los protocolos OATH TOTP y HOTP), generar y almacenar claves de cifrado PGP y utilizarse para acceder a Windows, macOS, Linux y dem\u00e1s.<\/p>\n<h2>Qu\u00e9 escoger: \u00bfSMS, aplicaci\u00f3n o YubiKey?<\/h2>\n<p>\u00bfQu\u00e9 tipo de autentificador es el m\u00e1s adecuado? No existe una respuesta universal. Se pueden utilizar varias versiones y combinaciones seg\u00fan el servicio. Por ejemplo, las cuentas de mayor prioridad (un buz\u00f3n enlazado a otras cuentas, etc.) deber\u00edan estar protegidas al extremo, es decir, protegidas con un <i>token<\/i> U2F en <i>hardware<\/i> con todas las opciones 2FA bloqueadas. De esta forma te aseguras de que nadie consiga acceso a tu cuenta sin este <i>token<\/i>.<\/p>\n<p>Una buena opci\u00f3n es enlazar dos claves a tu cuenta, como con las llaves del coche: una siempre en el bolsillo y otra en un lugar seguro en caso de que la primera opci\u00f3n se pierda. Adem\u00e1s, puedes utilizar diferentes tipos de claves: por ejemplo, una aplicaci\u00f3n de autentificaci\u00f3n en tu <i>smartphone<\/i> como principal y un <i>token<\/i> U2F o un papelito con contrase\u00f1as de un solo uso en un lugar seguro a modo de copia de seguridad.<\/p>\n<p>En cualquier caso, el consejo principal es que evites utilizar <a href=\"https:\/\/www.kaspersky.es\/blog\/2fa-notification-trap\/16932\/\" target=\"_blank\" rel=\"noopener\">contrase\u00f1as de un solo uso en SMS<\/a> siempre que sea posible. Aunque s\u00ed que es verdad que no siempre es posible. Los servicios financieros, por ejemplo, suelen ser muy conservadores y rara vez ofrecen la autentificaci\u00f3n a trav\u00e9s de otro sistema que no sea SMS.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Por qu\u00e9 los SMS no son la mejor opci\u00f3n para la autentificaci\u00f3n de doble factor y qu\u00e9 alternativas debes considerar. <\/p>\n","protected":false},"author":421,"featured_media":13556,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5,2737],"tags":[2127,3554,3555,3556],"class_list":{"0":"post-13555","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-privacy","9":"tag-2fa","10":"tag-autentificador-de-doble-factor","11":"tag-autentificadores","12":"tag-u2f"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/2fa-practical-guide\/13555\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/2fa-practical-guide\/14467\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/2fa-practical-guide\/12091\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/2fa-practical-guide\/16398\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/2fa-practical-guide\/14589\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/2fa-practical-guide\/17187\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/2fa-practical-guide\/16468\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/2fa-practical-guide\/21495\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/2fa-practical-guide\/24219\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/2fa-practical-guide\/11223\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/2fa-practical-guide\/9940\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/2fa-practical-guide\/17952\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/2fa-practical-guide\/21822\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/2fa-practical-guide\/23482\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/2fa-practical-guide\/17478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/2fa-practical-guide\/21343\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/2fa-practical-guide\/21349\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=13555"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13555\/revisions"}],"predecessor-version":[{"id":13571,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13555\/revisions\/13571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/13556"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=13555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=13555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=13555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}