Seguridad al cuadrado

.
Un hackeo de datos exitoso puede tener consecuencias perjudiciales. Hubo casos en los que atacantes desconocidos usaron las cuentas de las víctimas para trollear en redes sociales o enviar correos electrónicos fraudulentos. En otros, robaron dinero de cuentas bancarias en línea. A menudo las personas no advierten que sus cuentas fueron hackeadas hasta que es demasiado tarde.

Un motivo por el que el robo de datos sigue ocurriendo es que la mayoría de los usuarios confían demasiado en que sus contraseñas los protegerán en el mundo en línea. No saben que existen listas en Internet que contienen millones de combinaciones de nombres de usuario y contraseñas. Esos "volcados de credenciales", como llaman los expertos a las listas, se arman a partir de información obtenida de muchos casos exitosos de robo de datos. Como muchas personas utilizan las mismas contraseñas para acceder a diferentes productos y servicios, los datos de acceso de su Cuenta de Google también se pueden encontrar en esos "volcados de credenciales", incluso aunque nadie les haya hackeado la cuenta. Otra amenaza constante es el phishing, que son intentos fraudulentos de obtener contraseñas y otro tipo de información por medio de correos electrónicos o sitios web que aparentan ser seguros.

Por ello, las empresas como Google recomiendan a los usuarios que protejan su cuenta en línea con la autenticación de dos factores, que consiste en ingresar dos factores separados, como una contraseña y un código enviado por SMS, para acceder a la cuenta. Ese método de autenticación se ha vuelto muy común, en especial para bancos y empresas de tarjetas de crédito.

Los expertos en seguridad señalan tres tipos básicos de factores de protección. El primero es un fragmento de información ("algo que conoces”): por ejemplo, un usuario recibe un código por SMS y lo ingresa o tiene que responder una pregunta de seguridad. El segundo es un objeto físico ("algo que tienes") que se puede usar para la autenticación, como una tarjeta de crédito. El tercero son los datos biométricos ("algo que eres"). Un ejemplo claro es el uso de la huella digital para desbloquear la pantalla de un smartphone. Todas las estrategias de autenticación de dos factores emplean una combinación de dos de esos factores diferentes.

Google ofrece varios tipos de autenticación de dos factores. Además de la contraseña tradicional, los usuarios pueden ingresar un código de seguridad único que reciben por SMS o llamada de voz, o que generan en la app del Autenticador de Google, que funciona en Android y en iOS (el sistema operativo para dispositivos móviles de Apple). Otra opción que tienen es proporcionar una lista de dispositivos de confianza en su Cuenta de Google. Si un usuario intenta acceder desde un dispositivo que no está en la lista, recibirá una advertencia de seguridad de Google.

Durante los últimos tres años, Google también ha ofrecido la opción de utilizar un token de seguridad físico denominado "llave de seguridad". Se trata de una llave USB, NFC o Bluetooth que se debe conectar al dispositivo en cuestión. El proceso se basa en un estándar de autenticación abierto llamado Universal 2nd Factor (U2F) y desarrollado por el consorcio FIDO. Google forma parte de ese consorcio junto con otras empresas como Microsoft, Mastercard y PayPal. Varios fabricantes crearon tokens de seguridad basados en el estándar U2F que están disponibles por un bajo precio. Esos tokens demostraron funcionar muy bien; desde que se introdujeron las llaves de seguridad, el riesgo de robo de datos ha disminuido de forma significativa. Si bien, en teoría, es posible hackear una cuenta en línea desde cualquier parte del mundo, los ladrones deben tener el token de seguridad físico en su poder (y también necesitan las credenciales de acceso de la víctima para acceder a su cuenta). Además de Google, muchas empresas ya ofrecen compatibilidad con los tokens de seguridad.

Sin embargo, la autenticación de dos factores también tiene sus desventajas. Quienes utilizan códigos por SMS deben tener cerca el teléfono celular cuando acceden a la cuenta desde un dispositivo nuevo. Además, las llaves USB y Bluetooth se pueden extraviar. Pero esos no son problemas insuperables, y ciertamente vale la pena correr el riesgo cuando consideramos el nivel de seguridad adicional que ofrecen los métodos. Si pierdes la llave de seguridad, puedes quitar el token perdido de tu cuenta y agregar uno nuevo. Otra opción es registrar una segunda llave de seguridad desde el principio y conservarla en un lugar seguro.

Para obtener más información, visita g.co/2step

Ilustración: Birgit Henne