Seguridad al cuadrado
La autenticación de dos factores puede ayudar a los usuarios a aumentar su seguridad online. La cuenta de Google ofrece varias opciones.
Si un hackeo de datos sale bien, las consecuencias pueden ser desagradables. Ha habido casos en los que atacantes desconocidos han utilizado las cuentas de las víctimas para hacer publicaciones en nombre de estas en redes sociales o para enviar correos electrónicos fraudulentos. A otras personas les ha desaparecido dinero de sus cuentas bancarias online. A menudo, los usuarios no se dan cuenta de que han hackeado sus cuentas hasta que el daño ya está hecho.
Uno de los motivos por los que no dejan de producirse robos de datos es que la mayoría de los usuarios confían demasiado en que sus contraseñas los protegerán en el mundo online. Desconocen la existencia de listas online que contienen millones de combinaciones de nombres de usuario y contraseñas. Estos "vertederos de contraseñas", como llaman los expertos a estas listas, están formados por datos recopilados de numerosos robos de datos que se han llevado a cabo con éxito. Dado que muchas personas utilizan sus contraseñas para distintas cosas, los datos de inicio de sesión de sus cuentas de Google también pueden encontrarse en estos "vertederos de contraseñas", aunque sus cuentas no se hayan hackeado. Otra amenaza constante es el phishing: intentos fraudulentos de obtener contraseñas y otra información a través de correos electrónicos o sitios web que aparentemente son fiables.
Por eso, empresas como Google recomiendan que los usuarios protejan su cuenta online con la autenticación de dos factores, que requiere presentar dos factores independientes para iniciar sesión, como una contraseña y un código que se envía por mensaje de texto. Este método de autenticación se ha convertido en algo muy habitual, especialmente para bancos y empresas de tarjetas de crédito.
Los expertos en seguridad distinguen entre tres factores de seguridad básicos. El primero es un fragmento de información ("algo que sabes"): por ejemplo, un usuario recibe un código por mensaje de texto y lo introduce, o tiene que responder una pregunta de seguridad. El segundo es un objeto físico ("algo que tienes") que se puede utilizar para la autenticación, como una tarjeta de crédito. El tercero son los datos biométricos ("algo que eres"), como la huella digital que utilizan los usuarios para desbloquear la pantalla de su smartphone. Todas las estrategias de autenticación de dos factores combinan dos de estos factores.
Google ofrece varios tipos de autenticación de dos factores. Además de la tradicional contraseña, los usuarios pueden introducir un código de seguridad único que reciben por mensaje de texto o llamada, o que se genera en la aplicación Google Authenticator. Además, es válida tanto en Android como en iOS, el sistema operativo móvil de Apple. Los usuarios también pueden proporcionar una lista de dispositivos de confianza en su cuenta de Google. Si un usuario intenta iniciar sesión desde un dispositivo que no está en la lista, recibirá una advertencia de seguridad de Google.
Durante los últimos tres años, Google también ha ofrecido a sus usuarios la opción de utilizar un token de seguridad físico, conocido como llave de seguridad. Se trata de un adaptador o llave de seguridad USB, NFC o Bluetooth que se debe conectar al dispositivo en cuestión. El proceso se basa en un estándar de autenticación abierto denominado "Universal 2nd Factor (U2F)", desarrollado por el grupo FIDO. Google forma parte de ese grupo, al que también pertenecen empresas como Microsoft, Mastercard y PayPal. Los tokens de seguridad basados en el estándar U2F se pueden comprar a distintos fabricantes por un precio reducido. Han demostrado ser muy eficaces, ya que el riesgo de robo de datos ha disminuido considerablemente desde que se introdujeron las llaves de seguridad. Aunque una cuenta online puede, en teoría, hackearse desde cualquier lugar del mundo, el token de seguridad físico tiene que estar en manos de los ladrones (y además necesitan las credenciales de inicio de sesión de sus víctimas para acceder a la cuenta). Además de Google, varias empresas ya apoyan el uso de estos tokens de seguridad.
Por supuesto, la autenticación de dos factores también tiene sus desventajas. Los usuarios que utilicen los códigos enviados por mensaje de texto deben tener a mano su teléfono móvil cuando inicien sesión desde un dispositivo nuevo. Además, los adaptadores USB y Bluetooth se pueden perder. Sin embargo, no son problemas insalvables y, sin duda, merece la pena correr el riesgo cuando pensamos en la seguridad adicional que nos ofrecen. Si un usuario pierde su llave de seguridad, puede eliminar el token que se ha perdido de su cuenta y añadir uno nuevo. Otra opción es registrar una segunda llave de seguridad desde el principio y guardarla en un lugar seguro.
Para obtener más información, accede a:
Ilustración: Birgit Henne
Ciberseguridad
Descubre cómo trabajamos cada día para hacer que Internet sea más seguro para todos.
Más información