¿Qué es la autenticación de dos factores y por qué deberías usarla?

Uno de los pensamientos alarmantes en la actualidad, donde los datos son el nuevo petróleo, es la preocupación de que las cuentas en línea sean comprometidas o de perder el acceso a ellas por completo. Si bien varios factores pueden atribuirse a esta preocupación, el más significativo de todos es la falta de una seguridad adecuada, que puede desglosarse en negligencia y malas prácticas de seguridad que la mayoría de los usuarios, de manera intencionada o inadvertida, terminan siguiendo.

Una forma de salir de esta situación es habilitar 2FA (autenticación de dos factores) en todas tus cuentas para fortalecer su seguridad. De esa manera, incluso si tu contraseña se filtra o es hackeada, tu cuenta aún no será accesible hasta que se valide con el segundo factor (token de verificación 2FA).

Pero, como resulta, muchas personas no parecen estar aprovechando 2FA o son ajenas a su existencia. Así que, para simplificar las cosas, aquí hay una guía sobre la autenticación de dos factores con respuestas a algunas de las preguntas más comunes sobre 2FA.

¿Qué es la autenticación de dos factores (2FA)?

La autenticación de dos factores o 2FA es un tipo de mecanismo de autenticación multifactor (MFA) que añade una capa extra de seguridad a tu cuenta: un segundo factor, en el caso de 2FA, para autenticar tus inicios de sesión.

Idealmente, cuando inicias sesión en una cuenta usando tu nombre de usuario y contraseña, la contraseña sirve como tu primer factor de autenticación. Y es solo después de que el servicio verifica que la contraseña ingresada es correcta que te permite acceder a tu cuenta.

Uno de los problemas con este enfoque es que no es el más seguro: si alguien obtiene tu contraseña de cuenta, puede iniciar sesión fácilmente y usar tu cuenta. Precisamente aquí es donde entra en juego la necesidad de un segundo factor.

Un segundo factor, que se puede configurar de varias maneras, añade una capa adicional de autenticación a tu cuenta en el momento de iniciar sesión. Con él habilitado, cuando ingresas la contraseña correcta para tu cuenta, se te requiere ingresar el código de verificación, válido por un período de tiempo limitado, para verificar tu identidad. Tras una verificación exitosa, se te concede acceso a la cuenta.

Dependiendo del servicio que implemente el mecanismo, 2FA a veces también puede ser denominado como verificación en dos pasos (2SV), como en el caso de Google. Sin embargo, además de la diferencia de nombre, el principio de funcionamiento detrás de ambos sigue siendo el mismo.

También en TechPP

Cómo habilitar la autenticación de dos factores en Facebook, Instagram y TwitterLeer más

¿Cómo funciona la autenticación de dos factores (2FA)?

Como se mencionó en la sección anterior, la autenticación de dos factores implica el uso de un segundo factor (además del primer factor: contraseña) para completar una verificación de identidad en el momento de iniciar sesión.

Para lograr esto, las aplicaciones y servicios que implementan 2FA requieren que al menos dos de los siguientes factores (o piezas de evidencia) sean verificados por el usuario final antes de que puedan iniciar sesión y comenzar a usar un servicio:

i. Conocimiento – algo que sabes
ii. Posesión – algo que tienes
iii. Inherencia – algo que eres

Para darte una mejor idea de lo que constituyen estos diferentes factores, en la mayoría de los escenarios, el factor de Conocimiento puede ser, digamos, tu contraseña de cuenta o PIN, mientras que el factor de Posesión puede incluir algo como una llave de seguridad USB o un llavero de autenticador, y el factor de Inherencia puede ser tu biometría: huella dactilar, retina, etc.

Una vez que tienes 2FA configurado y funcionando en cualquiera de tus cuentas, se te requiere ingresar cualquiera de los dos factores de verificación, entre Posesión e Inherencia, además del factor de Conocimiento, para verificar tu identidad en el servicio en el momento de iniciar sesión.

Luego, dependiendo de lo que quieras proteger y el servicio que estés utilizando, tienes dos opciones para elegir tu mecanismo de autenticación secundario preferido. Puedes usar Posesión: cualquier llave de seguridad física o una aplicación generadora de códigos en tu smartphone, que te proporciona un token de un solo uso que puedes usar para verificar tu identidad. O puedes confiar en Inherencia: verificación facial y similares, como lo proporcionan algunos de los servicios en la actualidad, como un segundo factor de verificación de seguridad para tu cuenta.

También en TechPP

Cómo habilitar la autenticación de dos factores en tu cuenta de GoogleLeer más

¿Es la autenticación de dos factores infalible? ¿Hay desventajas en usar 2FA?

Ahora que tienes una comprensión de lo que es la autenticación de dos factores y cómo funciona, echemos un vistazo más de cerca a su implementación y las desventajas (si las hay) de usarla en tu cuenta.

Para comenzar, aunque el consenso sobre el uso de la autenticación de dos factores entre la mayoría de los expertos es en gran medida positivo y provoca que las personas habiliten 2FA en sus cuentas, ciertamente hay algunas deficiencias en la implementación del mecanismo que impiden que sea una solución infalible.

Estas deficiencias (o más bien vulnerabilidades) son principalmente el resultado de una mala implementación de 2FA por parte de los servicios que las utilizan, lo que puede, en sí mismo, estar defectuoso en varios niveles.

Para darte una idea de una implementación débil (léase ineficaz) de 2FA, considera un escenario en el que tienes 2FA habilitado en tu cuenta usando tu número de móvil. En esta configuración, el servicio te envía un OTP por SMS que debes usar para verificar tu identidad. Sin embargo, dado que el segundo factor se envía a través del operador en esta situación, está sujeto a varios tipos de ataques y, por lo tanto, no es seguro en sí mismo. Como resultado, tal implementación no puede ser tan efectiva como debería ser para proteger tu cuenta.

Además del escenario anterior, hay varias otras situaciones en las que 2FA podría ser vulnerable a todo tipo de ataques. Algunas de estas situaciones incluyen instancias donde un sitio web/app que incorpora el mecanismo: tiene una implementación sesgada para la verificación de tokens; carece de un límite de tasa que pueda permitir que alguien fuerce su camino hacia la cuenta; permite que el mismo OTP se envíe una y otra vez; depende de un control de acceso inadecuado para los códigos de respaldo, entre otros. Todo esto puede llevar a vulnerabilidades que pueden permitir que alguien, con el conocimiento y habilidades adecuadas, encuentre su camino alrededor del mecanismo 2FA mal implementado y obtenga acceso a la cuenta objetivo.

De manera similar, otro escenario donde 2FA puede ser problemático es cuando lo usas de manera negligente. Por ejemplo, si tienes habilitada la autenticación de dos factores en una cuenta usando una aplicación generadora de códigos y decides cambiar a un nuevo dispositivo pero olvidas mover la aplicación de autenticador al nuevo teléfono, puedes quedar bloqueado de tu cuenta por completo. Y, a su vez, podrías terminar en una situación donde puede ser difícil recuperar el acceso a tales cuentas.

Una situación más donde 2FA a veces puede perjudicarte es cuando usas SMS para obtener tu token de 2FA. En este caso, si estás viajando y te mudas a un lugar con mala conectividad, podrías terminar sin recibir el token de un solo uso por SMS, lo que puede hacer que tu cuenta sea temporalmente inaccesible. Sin mencionar que cambias de operador y aún tienes el antiguo número de móvil vinculado a diferentes cuentas para 2FA.

También en TechPP

Usa tu smartphone Android como llave de seguridad para la autenticación de dos factores [Guía]Leer más

Sin embargo, con todo lo dicho, hay un factor crucial en juego aquí, que es que, dado que la mayoría de nosotros somos usuarios promedio de internet y no usamos nuestras cuentas para casos de uso cuestionables, no es muy probable que un hacker apunte a nuestras cuentas como posibles ataques. Una de las razones obvias para esto es que una cuenta de un usuario promedio no es lo suficientemente atractiva y no ofrece mucho que ganar para que alguien gaste su tiempo y energía llevando a cabo un ataque.

En tal escenario, terminas obteniendo lo mejor de la seguridad 2FA en lugar de encontrarte con algunas de sus desventajas extremas, como se mencionó anteriormente. En resumen, las ventajas de 2FA superan las desventajas para la mayoría de los usuarios, siempre que lo estés usando con cuidado.

¿Por qué deberías usar la autenticación de dos factores (2FA)?

A medida que nos registramos en más y más servicios en línea, estamos, de alguna manera, aumentando las probabilidades de que nuestras cuentas sean comprometidas. A menos, por supuesto, que haya controles de seguridad en su lugar para garantizar la seguridad de estas cuentas y mantener las amenazas a raya.

En los últimos años, las violaciones de datos de algunos de los servicios populares (con una gran base de usuarios) han filtrado toneladas de credenciales de usuario (direcciones de correo electrónico y contraseñas) en línea, lo que ha puesto en riesgo la seguridad de millones de usuarios en todo el mundo, permitiendo que un hacker (o cualquier persona con el conocimiento) use las credenciales filtradas para acceder a estas cuentas.

Si bien eso en sí mismo es una gran preocupación, las cosas empeoran cuando estas cuentas no tienen habilitada la autenticación de dos factores, ya que eso hace que todo el proceso sea sencillo y poco sofisticado para un hacker. Por lo tanto, permitiendo una fácil toma de control.

Sin embargo, si empleas la autenticación de dos factores en tu cuenta, terminas con una capa adicional de seguridad, que es difícil de eludir ya que utiliza el factor de Posesión ( algo que solo tú tienes)— un OTP o un token generado por una aplicación/llavero —para verificar tu identidad.

De hecho, las cuentas que requieren un paso adicional para acceder generalmente no son las que están en el radar de los atacantes (especialmente en ataques a gran escala), y son, por lo tanto, comparativamente más seguras que las que no emplean 2FA. Dicho esto, no se puede negar el hecho de que la autenticación de dos factores añade un paso adicional en el momento de iniciar sesión. Sin embargo, la seguridad y la tranquilidad que obtienes a cambio valen indudablemente la molestia.

También en TechPP

6 hábitos tecnológicos que deberías intentar adoptar este añoLeer más

El escenario mencionado anteriormente es solo uno de los muchos diferentes casos donde tener 2FA habilitado en tu cuenta puede resultar beneficioso. Pero dicho esto, vale la pena mencionar nuevamente que, aunque 2FA añade a la seguridad de tu cuenta, tampoco es una solución infalible, y por lo tanto necesita ser implementada correctamente por el servicio; sin mencionar la configuración adecuada en el extremo del usuario, que debe hacerse cuidadosamente (tomando una copia de todos los códigos de recuperación) para que el servicio funcione a tu favor.

¿Cómo implementar la autenticación de dos factores (2FA)?

Dependiendo de la cuenta que quieras asegurar con la autenticación de dos factores, debes seguir un conjunto de pasos para habilitar 2FA en tu cuenta. Ya sea en algunos de los populares sitios web de redes sociales como Twitter, Facebook e Instagram; servicios de mensajería como WhatsApp; o incluso tu cuenta de correo electrónico; estos servicios ofrecen la posibilidad de habilitar 2FA para mejorar la seguridad de tu cuenta.

En nuestra opinión, aunque usar contraseñas fuertes y únicas para todas tus diferentes cuentas es rudimentario, no deberías ignorar la autenticación de dos factores, sino más bien aprovecharla si un servicio proporciona la funcionalidad—especialmente para tu cuenta de Google, que está vinculada a la mayoría de tus otras cuentas como opción de recuperación.

Hablando sobre el mejor método para habilitar la autenticación de dos factores, una de las formas más seguras es usar una llave de hardware que genera código a intervalos fijos. Sin embargo, para un usuario promedio, las aplicaciones generadoras de códigos de empresas como Google, LastPass y Authy, deberían funcionar perfectamente bien también. Además, hoy en día, obtienes ciertos gestores de contraseñas que ofrecen tanto un vault como un generador de tokens, lo que lo hace aún más conveniente para algunos.

Si bien la mayoría de los servicios requieren un conjunto similar de pasos para habilitar la autenticación de dos factores, puedes consultar nuestra guía sobre cómo habilitar 2FA en tu cuenta de Google y otros sitios web de redes sociales para averiguar cómo configurar correctamente la seguridad de autenticación de dos factores en tu cuenta. Y mientras lo haces, asegúrate de tener una copia de todos los códigos de respaldo para que no te quedes fuera de tu cuenta en caso de que no recibas tokens o pierdas acceso al generador de tokens.