Hace 4 días os hablamos sobre un problema de seguridad que afectaba al servicio de reducción de direcciones URL, Bitly, que había comprometido un gran número de cuentas de usuarios al conseguir los piratas informáticos acceder a una base de datos que, en teoría se encontraba fuera de los servidores internos de la compañía, aunque poco después se ha podido conocer que también varias cuentas de los empleados del servicio fueron igualmente comprometidas por estos piratas.
Con el fin de seguir mejorando la seguridad de su plataforma y evitar así que todas las cuentas se vean comprometidas de nuevo ante un posible futuro ataque, la compañía ha decidido implementar un servicio de doble autenticación como otras compañías de manera que los piratas informáticos no consigan acceder a la cuenta aunque se vuelvan a hacer con la base de datos de credenciales de los usuarios.
La doble autenticación que quiere implementar Bitly es utilizada por un gran número de páginas web como Google, Twitter, GitHub, etc. Esta doble autenticación se basa en que el usuario debe iniciar sesión con su usuario y su contraseña y, una vez lo hace, deberá introducir un código, totalmente privado, temporal y aleatorio, que recibirá en su móvil a través de las diferentes aplicaciones diseñadas específicamente para la doble autenticación y que, sin dicho código, no se podrá completar el proceso de inicio de sesión.
El principal problema que deben solucionar las diferentes plataformas que implementan la autenticación en 2 pasos es la necesidad de utilizar un cliente diferente que proporcione el código por cada cuenta en la que iniciemos sesión. Por ejemplo, Google, Guild Wars y GitHub pueden funcionar sin problemas desde la aplicación «Google Authenticator» pero, sin embargo, Twitter o World of Warcraft necesitan utilizar clientes únicos para poder utilizar esta función llenando cada vez más nuestros smartphones de aplicaciones.
Por el momento, en la página web principal de la plataforma se muestra una advertencia en la que se informa a todos los usuarios sobre el ataque y les recuerda que deben volver a proteger su cuenta si quieren evitar ser víctimas de un robo de datos como el ya ocurrido.
Aún se desconoce la fecha concreta en la que Bitly implementará esta función en su página web ni si su doble autenticación será compatible con Google Authenticator o tendrá un cliente propio como otras plataformas. Sea como sea, es una excelente medida seguridad que evitará futuros ataques contra las cuentas de Bitly.
¿Crees que actualmente la doble autenticación es el método más seguro para proteger las cuentas de los usuarios en las diferentes páginas web?
Os recomendamos visitar el tutorial cómo habilitar la autenticación en dos pasos en tu servidor Ubuntu Linux.