Hoy en día casi todas las personas alguna vez y debido al robo de bases de datos, han intentado robarnos alguna cuenta de algún servicio como el correo electrónico, acceso alguna web, acceso a plataformas de videojuegos tipo Steam, redes sociales, servicios de streaming de video y otros. Por suerte hoy en día existen métodos para intentar mitigar que alguien entre en nuestros servicios online, hoy en RedesZone vamos a ver la autenticación en dos pasos.
Como hemos mencionado el uso de contraseñas no es suficiente para proteger nuestras cuentas. Es cierto que evidentemente es algo prioritario y que debemos aplicar. Es muy importante utilizar una clave que sea realmente fuerte y segura, sin embargo también es necesario usar, siempre que sea posible, la autenticación en dos pasos.
¿Qué es la autenticación y para qué sirve?
La autenticación es el método que se utiliza en el mundo de la informática para identificarnos frente a un sistema informático. Existen diferentes formas de autenticación hoy en día, como, por ejemplo, el uso de un usuario y contraseña, la utilización de tarjetas de acceso e incluso la identificación biométrica a través de nuestra huella, geometría de la mano o escáner de iris entre otras muchas. La autenticación es el primer paso para utilizar un sistema informático, y es fundamental que esta autenticación sea lo suficientemente robusta como para que nadie pueda hacerse pasar por nosotros. En el caso de que alguien pueda hacerse pasar por nosotros, estaremos en un grave problema debido a que de alguna forma ha capturado nuestras credenciales de usuario.
La autenticación no debemos confundirla con la autorización, nosotros podemos autenticarnos en un sistema informático, pero no tener la autorización para realizar ciertas acciones. Es muy importante saber que la autorización va después de la autenticación, primero debemos autenticarnos frente a un sistema informático, y posteriormente nos autorizará a realizar ciertas acciones o no.
Implicaciones de la autenticación en dos pasos
Este proceso de autenticación 2FA, es un proceso de seguridad que requiere que los usuarios, proporcionen dos formas diferentes para autenticarse. Esto es algo que es obligatorio, y sin el cual no va a ser posible acceder dentro de una cuenta de usuario. Esto tiene algunas implicaciones, las cuales hacen de este formato algo muy importante a día de hoy. Y por otro lado, muy necesario en todos los servicios que sea posible aplicarlo.
- Mayor seguridad: La autenticación en dos pasos es una nueva capa de seguridad que hace que sea más complicado para los atacantes, el realizar un ataque de acceso no autorizado a una de nuestras cuentas. La probabilidad de que sea posible descubrir no solo la contraseña, sino el código al mismo tiempo, es muy baja. Por lo cual se trata de un método que es muy efectivo.
- Reducción de riesgos: Esto reduce el riesgo de acceso no autorizado, y así ayuda a proteger los datos que una cuenta de usuario puede contener. Si la contraseña es descubierta o robada, los atacantes no podrán hacer nada sin el código de la doble autenticación.
- Inconvenientes: Sin duda la autenticación en dos pasos, hace del logueo algo mucho más lento, y en algunas ocasiones engorroso. Incluso tratándose de un problema menor en pro de la seguridad, muchos usuarios lo pueden llegar a encontrar frustrante.
- Pérdidas de acceso: Si perdemos el dispositivo o la forma en la cual recibidnos el código de acceso, puede ser complicado recuperar el acceso a la cuenta. Esto depende mucho de cuales sean los procesos con los que cuenta la empresa. En muchos casos, las empresas nos dejan solicitar un cambio de número, por ejemplo, pero con unos periodos de cambio bastante largos. Los cuales pueden rondar el mes.
- Costes adicionales: Este tipo de sistemas de doble autenticación, son servicios que pueden resultar costosos, lo cual puede ser un factor determinante para una empresa. Pero lo cierto es que sigue siendo necesario implementarlo, para así poder aumentar la seguridad del sistema.
Qué es el secuestro de 2FA y cómo evitarlo
Después de lo que hemos explicado brevemente sobre qué es la autenticación en dos pasos y cómo funciona podemos tener una idea de qué es el secuestro de 2FA. Básicamente consiste en robar de alguna manera ese código o saltarse ese paso para iniciar sesión. Es algo que pone en riesgo nuestra seguridad y privacidad. Hay varios casos que podemos mencionar. Uno de ellos, el más habitual, es el secuestro de 2FA cuando recibimos el código por SMS. Esto significa que vamos a tener un malware en nuestro dispositivo capaz de robar ese código que hemos recibido por un mensaje. Así podrá enviarlo directamente a algún servidor controlado por los piratas informáticos.
También puede ocurrir que haya algún tipo de malware en nuestro equipo capaz de interferir en las aplicaciones que actúan como 2FA. Ya sabemos que podemos recibir el código por SMS o hacer uso de alguna aplicación de terceros que pueda proporcionarnos ese segundo paso.
Muchos de estos programas maliciosos que mencionamos suelen funcionar debido a vulnerabilidades que encuentra en el sistema. Esto es algo que podemos corregir y de esta forma no comprometer nuestra privacidad y seguridad.
Algo básico que debemos tener presente es siempre hacer uso de herramientas de seguridad. Un buen antivirus puede evitar la entrada de malware que ponga en riesgo nuestros dispositivos. Esto es algo que debemos aplicar sin importar el sistema operativo que estemos utilizando. También es muy importante contar siempre con las últimas versiones. Hemos mencionado que muchos tipos de malware se aprovechan de fallos de seguridad que haya presentes en esos dispositivos. Por ello debemos instalar siempre los últimos parches y actualizaciones de seguridad que tengamos disponibles.
De esta forma vamos a evitar problemas que puedan aprovecharse de las posibles vulnerabilidades y fallos que pueda haber. Es importante que mantengamos el sistema siempre limpio y que no haya malware ni ningún tipo de amenazas. Por otra parte, el sentido común también es muy importante. En muchas ocasiones el malware va a requerir que cometamos algún error. Por ejemplo puede ser acceder a un enlace fraudulento o descargar un archivo que en realidad sea un malware. Es esencial que tengamos siempre presente el sentido común.
Métodos de autenticación
Hoy en día existen diferentes métodos de autenticación que son ampliamente usados por todos nosotros, ya sea en el ordenador, en el smartphone e incluso para pasar a nuestro trabajo presencial en una oficina. Los métodos de autenticación que disponemos hoy en día lo podemos dividir en tres grupos bien diferenciados:
Algo que tenemos físicamente
Es una forma de autenticación muy segura, siempre y cuando nunca las perdamos porque es algo que tenemos físicamente. Un ejemplo de método de autenticación de «algo que tenemos» son las tarjetas magnéticas, tarjetas inteligentes e incluso las llaves USB para la autenticación. Nosotros simplemente tenemos que pasarlas por un lector y automáticamente nos dará acceso al sistema, ya que nos habremos autenticado de forma correcta en el sistema.
La principal ventaja de este sistema de autenticación es que es de bajo coste, las tarjetas y las llaves USB no son muy caras. El índice de seguridad que ofrecen es muy elevado, así como la rapidez en autenticarnos ya que dependemos de un lector o puerto USB. Sin embargo, los principales problemas vienen porque al ser objetos físicos, se podrían perder, además, es posible que algunas tarjetas magnéticas se puedan clonar, por lo que se podrían hacer pasar por nosotros en cualquier momento, algo verdaderamente preocupante.
Algo que sabemos
Es la forma de autenticación más utilizada a nivel mundial, son las contraseñas. Este método de autenticación nos permite aprendernos una contraseña y teclearla para acceder a un sistema informático, servidor, ordenador o cualquier otro dispositivo. Es muy importante utilizar contraseñas robustas para tener la mejor seguridad posible, en estos casos donde tengamos las contraseñas como método de autenticación, es muy importante que tengan:
- Longitud de más de 12 caracteres.
- Combinación de mayúsculas, minúsculas, símbolos y números.
A ser posible, si nos estamos autenticando en servicios web, es muy recomendable utilizar un gestor de contraseñas o un administrador de contraseñas, para mantenerlas todas a salvo en una «caja fuerte» y que nadie pueda acceder a ellas. Es de vital importancia mantener todas nuestras contraseñas a salvo.
Respecto a las ventajas del uso de las contraseñas, su ventaja radica en la facilidad que tiene de crearse y gestionarse a través de gestores de claves, además, son completamente gratuitas y no necesitamos llevar nada físico encima. No obstante, su gran inconveniente es que podemos desvelarla sin darnos cuenta, podemos sufrir una filtración de todas nuestras contraseñas e incluso que nos la hackeen probando múltiples combinaciones.
Algo que somos
En este apartado la biometría es la clave, en nuestro cuerpo humano tenemos diferentes «llaves» que podemos usar para autenticarse, por ejemplo, los ojos, las huellas, la voz, tu cara, la firma o la escritura. Sin embargo, estos sistemas que por ejemplo se están poniendo cada vez más de moda en los teléfonos móviles, presentan muchos inconvenientes como que actualmente son caros de implementar, a veces fallan mucho y después está el tema de la privacidad, ya que para que funcione tiene que estar almacenados en alguna base de datos nuestros biométricos que nos hacen únicos y diferentes. Normalmente los fabricantes almacenan los datos biométricos en el propio terminal, no los «sube» a la nube automáticamente.
Cuando estamos usando la biometría, debemos saber que existen dos términos muy importantes a los que debemos hacer frente: la tasa de insulto y la tasa de fraude. La tasa de insulto es cuando nos autenticamos en un sistema y éste nos indica que realmente no somos nosotros. La tasa de fraude es cuando alguien se autentica en el sistema haciéndose pasar por nosotros. Cuanto mayor es la tasa de insulto (más sensible la biometría) menor es la tasa de fraude y más seguridad nos proporciona, sin embargo, disminuir esta tasa de insulto significa aumentar la tasa de fraude. Por lo tanto, cualquier sistema biométrico debe ser capaz de realizar un buen balance entre tasa de insulto y tasa de fraude.
Una vez vistos los diferentes métodos de autenticación que podemos encontrarnos queda claro que ningún sistema es completamente seguro al 100% por eso cada vez más se usan autenticaciones en dos pasos.
Autenticación en dos pasos
La autenticación en dos pasos es combinar dos métodos de autenticación de índole diferente, es decir, combinar el «algo que sabemos» con el «algo que tenemos«. También podemos combinar «algo que somos«, con «algo que tenemos«. En nuestro día a día, cuando accedes por ejemplo al correo electrónico, redes sociales u otros servicios, tenemos que usar un método de verificación que está basado en «algo que sabes», es decir, la contraseña de acceso al servicio en cuestión.
La gran mayoría de servicios online como Google, Microsoft, Facebook, Twitter, Instagram y muchísimos otros, utilizan la autenticación en dos pasos, para utilizar la contraseña (algo que sabemos), y también un código que recibimos por SMS o que generamos con nuestro smartphone (algo que tenemos). Por ejemplo, en los foros de ADSLZone tenemos la posibilidad de activar la autenticación en dos pasos utilizando un código generado por una app autenticadora. En algunos casos, esta autenticación en dos pasos se basa en una llamada de teléfono, y en otros, se basa en que, si ya tenemos un dispositivo sincronizado con un servicio como iCloud, automáticamente nos envía a otros dispositivos un aviso para permitir ese inicio de sesión. Si no tenemos a mano otro dispositivo para aprobar el inicio de sesión, entonces nos envía un SMS con un código, y si tampoco tenemos a mano nuestro móvil, entonces ya nos salta opciones de recuperación.
Como podemos ver, en principio los sistemas de autenticación y verificación parecen muy seguros al requerir dos pasos, por lo que es muy recomendado tenerlo activo. Pero, sin embargo, también puede ser inseguro si se hacen con ambos sistemas de verificación. Los puntos débiles de la autenticación en dos pasos podría ser la localización del segundo dispositivo, en caso de tener un segundo factor por SMS o llamada, si nuestro móvil no tiene cobertura no recibirá el código, por este motivo (y también porque usar SMS no es seguro) es recomendable utilizar apps generadoras de códigos en el smartphone.
Aplicaciones autenticadoras para Android y iOS
Las siguientes aplicaciones autenticadoras nos permitirán generar códigos temporales para los diferentes servicios. Algunas aplicaciones están disponibles para Android y también para iOS. Lo principal que debes saber de estas aplicaciones, es que en algunos casos el «token» se almacena localmente, y, por tanto, si restauras el móvil a valores de fábrica lo perderás, y tendrás que reactivar la autenticación en todos los servicios uno a uno, y esto hace que los servicios TOTP con almacenamiento en Cloud sean muy recomendables, ya que los «token» se subirán a la nube del servicio para que con tan solo iniciar sesión, ya tengamos acceso a nuestro segundo factor de autenticación.
No es recomendable utilizar autenticación en dos pasos basadas en SMS, ya que no se considera un método seguro. Es recomendable utilizar app autenticadoras que generen los códigos temporales.
Latch
Latch es una de las apps más recomendables, creada por ElevenPaths, la división de seguridad de Telefónica, nos permite «latchear» diferentes servicios, pero también dar de alta diferentes servicios en su TOTP. La sincronización se realiza en la nube, por lo que si restauramos nuestro móvil no perderemos el acceso a los diferentes servicios. Con esta app podremos dar de alta cualquier servicio con TOTP, y además, podremos gestionar «Latch» si es que alguno de tus servicios lo soporta.
Esta aplicación es nuestra favorita para tener los códigos de un solo uso temporales en nuestro smartphone, porque todo lo guarda en el Cloud para acceder con nuestras credenciales, y no tener que volver a reconfigurar todos los segundos factores de autenticación de los diferentes servicios. Un detalle muy importante es que también podemos gestionar el «Latch» para los servicios compatibles, algo interesante para añadir una seguridad adicional.
Google Authenticator
Esta app de Google nos permite almacenar el token TOTP localmente en nuestro terminal, no hay sincronización en Cloud, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.
Esta aplicación es la más utilizada en todo el mundo debido a su facilidad de uso, no obstante, tiene la gran pega que no tiene sincronización Cloud. Por la parte positiva podemos indicar que es más segura que el resto, porque los token se guardan en el propio smartphone y no en la nube que podría ser hackeada.
Authy
Esta app nos permite almacenar el token TOTP en nuestro terminal, pero sí tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.
Esta aplicación sería nuestra segunda opción, por detrás de Latch, para usarla como aplicación autenticadora de los diferentes servicios online.
LastPass Authenticator
Esta app nos permite almacenar el token TOTP en nuestro terminal, pero tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo. Esta aplicación es realmente interesante porque tiene lo mejor de Google Authenticator (almacenamiento local) y también lo mejor de Latch y Authy si es que queremos almacenar los datos en la nube de la empresa.
Hasta aquí hemos llegado con este completo artículo donde os explicamos qué es la autenticación en dos pasos, y qué aplicaciones autenticadoras son las más recomendables para usar con Android y iOS.