Mejora la seguridad de tus cuentas con la autenticación en dos pasos

Mejora la seguridad de tus cuentas con la autenticación en dos pasos

Oscar Espinosa

Hoy en día casi todas las personas alguna vez y debido al robo de bases de datos, han intentado robarnos alguna cuenta de algún servicio como el correo electrónico, acceso alguna web, acceso a plataformas de videojuegos tipo Steam, redes sociales, servicios de streaming de video y otros. Por suerte hoy en día existen métodos para intentar mitigar que alguien entre en nuestros servicios online, hoy en RedesZone vamos a ver la autenticación en dos pasos.

¿Qué es la autenticación y para qué sirve?

La autenticación es el método que se utiliza en el mundo de la informática para identificarnos frente a un sistema informático. Existen diferentes formas de autenticación hoy en día, como, por ejemplo, el uso de un usuario y contraseña, la utilización de tarjetas de acceso e incluso la identificación biométrica a través de nuestra huella, geometría de la mano o escáner de iris entre otras muchas. La autenticación es el primer paso para utilizar un sistema informático, y es fundamental que esta autenticación sea lo suficientemente robusta como para que nadie pueda hacerse pasar por nosotros. En el caso de que alguien pueda hacerse pasar por nosotros, estaremos en un grave problema debido a que de alguna forma ha capturado nuestras credenciales de usuario.

La autenticación no debemos confundirla con la autorización, nosotros podemos autenticarnos en un sistema informático pero no tener la autorización para realizar ciertas acciones. Es muy importante saber que la autorización va después de la autenticación, primero debemos autenticarnos frente a un sistema informático, y posteriormente nos autorizará a realizar ciertas acciones o no.

Métodos de autenticación

Hoy en día existen diferentes métodos de autenticación que son ampliamente usados por todos nosotros, ya sea en el ordenador, en el smartphone e incluso para pasar a nuestro trabajo presencial en una oficina. Los métodos de autenticación que disponemos hoy en día lo podemos dividir en tres grupos bien diferenciados:

Algo que tenemos físicamente

Es una forma de autenticación muy segura, siempre y cuando nunca las perdamos porque es algo que tenemos físicamente. Un ejemplo de método de autenticación de «algo que tenemos» son las tarjetas magnéticas, tarjetas inteligentes e incluso las llaves USB para la autenticación. Nosotros simplemente tenemos que pasarlas por un lector y automáticamente nos dará acceso al sistema, ya que nos habremos autenticado de forma correcta en el sistema.

La principal ventaja de este sistema de autenticación es que es de bajo coste, las tarjetas y las llaves USB no son muy caras. El índice de seguridad que ofrecen es muy elevado, así como la rapidez en autenticarnos ya que dependemos de un lector o puerto USB. Sin embargo, los principales problemas vienen porque al ser objetos físicos, se podrían perder, además, es posible que algunas tarjetas magnéticas se puedan clonar, por lo que se podrían hacer pasar por nosotros en cualquier momento, algo verdaderamente preocupante.

Algo que sabemos

Es la forma de autenticación más utilizada a nivel mundial, son las contraseñas. Este método de autenticación nos permite aprendernos una contraseña y teclearla para acceder a un sistema informático, servidor, ordenador o cualquier otro dispositivo. Es muy importante utilizar contraseñas robustas para tener la mejor seguridad posible, en estos casos donde tengamos las contraseñas como método de autenticación, es muy importante que tengan:

  • Longitud de más de 12 caracteres.
  • Combinación de mayúsculas, minúsculas, símbolos y números.

A ser posible, si nos estamos autenticando en servicios web, es muy recomendable utilizar un gestor de contraseñas o un administrador de contraseñas, para mantenerlas todas a salvo en una «caja fuerte» y que nadie pueda acceder a ellas. Es de vital importancia mantener todas nuestras contraseñas a salvo.

Respecto a las ventajas del uso de las contraseñas, su ventaja radica en la facilidad que tiene de crearse y gestionarse a través de gestores de claves, además, son completamente gratuitas y no necesitamos llevar nada físico encima. No obstante, su gran inconveniente es que podemos desvelarla sin darnos cuenta, podemos sufrir una filtración de todas nuestras contraseñas e incluso que nos la hackeen probando múltiples combinaciones.

Algo que somos

En este apartado la biometría es la clave, en nuestro cuerpo humano tenemos diferentes «llaves» que podemos usar para autenticarse, por ejemplo, los ojos, las huellas, la voz, tu cara, la firma o la escritura. Sin embargo, estos sistemas que por ejemplo se están poniendo cada vez más de moda en los teléfonos móviles, presentan muchos inconvenientes como que actualmente son caros de implementar, a veces fallan mucho y después está el tema de la privacidad, ya que para que funcione tiene que estar almacenados en alguna base de datos nuestros biométricos que nos hacen únicos y diferentes. Normalmente los fabricantes almacenan los datos biométricos en el propio terminal, no los «sube» a la nube automáticamente.

Cuando estamos usando la biometría, debemos saber que existen dos términos muy importantes a los que debemos hacer frente: la tasa de insulto y la tasa de fraude. La tasa de insulto es cuando nos autenticamos en un sistema y éste nos indica que realmente no somos nosotros. La tasa de fraude es cuando alguien se autentica en el sistema haciéndose pasar por nosotros. Cuanto mayor es la tasa de insulto (más sensible la biometría) menor es la tasa de fraude y más seguridad nos proporciona, sin embargo, disminuir esta tasa de insulto significa aumentar la tasa de fraude. Por lo tanto, cualquier sistema biométrico debe ser capaz de realizar un buen balance entre tasa de insulto y tasa de fraude.

Una vez vistos los diferentes métodos de autenticación que podemos encontrarnos queda claro que ningún sistema es completamente seguro al 100% por eso cada vez más se usan autenticaciones en dos pasos.

Autenticación en dos pasos

La autenticación en dos pasos es combinar dos métodos de autenticación de índole diferente, es decir, combinar el «algo que sabemos» con el «algo que tenemos«. También podemos combinar «algo que somos«, con «algo que tenemos«. En nuestro día a día, cuando accedes por ejemplo al correo electrónico, redes sociales u otros servicios, tenemos que usar un método de verificación que está basado en «algo que sabes», es decir, la contraseña de acceso al servicio en cuestión.

La gran mayoría de servicios online como Google, Microsoft, Facebook, Twitter, Instagram y muchísimos otros, utilizan la autenticación en dos pasos, para utilizar la contraseña (algo que sabemos), y también un código que recibimos por SMS o que generamos con nuestro smartphone (algo que tenemos). Por ejemplo, en los foros de ADSLZone tenemos la posibilidad de activar la autenticación en dos pasos utilizando un código generado por una app autenticadora. En algunos casos, esta autenticación en dos pasos se basa en una llamada de teléfono, y en otros, se basa en que, si ya tenemos un dispositivo sincronizado con un servicio como iCloud, automáticamente nos envía a otros dispositivos un aviso para permitir ese inicio de sesión. Si no tenemos a mano otro dispositivo para aprobar el inicio de sesión, entonces nos envía un SMS con un código, y si tampoco tenemos a mano nuestro móvil, entonces ya nos salta opciones de recuperación.

No muchos sitios ofrecen correctamente la autenticación de dos factores

Como podemos ver, en principio los sistemas de autenticación y verificación parecen muy seguros al requerir dos pasos, por lo que es muy recomendado tenerlo activo. Pero, sin embargo, también puede ser inseguro si se hacen con ambos sistemas de verificación. Los puntos débiles de la autenticación en dos pasos podría ser la localización del segundo dispositivo, en caso de tener un segundo factor por SMS o llamada, si nuestro móvil no tiene cobertura no recibirá el código, por este motivo (y también porque usar SMS no es seguro) es recomendable utilizar apps generadoras de códigos en el smartphone.

Aplicaciones autenticadoras para Android y iOS

Las siguientes aplicaciones autenticadoras nos permitirán generar códigos temporales para los diferentes servicios. Algunas aplicaciones están disponibles para Android y también para iOS. Lo principal que debes saber de estas aplicaciones, es que en algunos casos el «token» se almacena localmente, y, por tanto, si restauras el móvil a valores de fábrica lo perderás, y tendrás que reactivar la autenticación en todos los servicios uno a uno, y esto hace que los servicios TOTP con almacenamiento en Cloud sean muy recomendables, ya que los «token» se subirán a la nube del servicio para que con tan solo iniciar sesión, ya tengamos acceso a nuestro segundo factor de autenticación.

No es recomendable utilizar autenticación en dos pasos basadas en SMS, ya que no se considera un método seguro. Es recomendable utilizar app autenticadoras que generen los códigos temporales.

Latch

Latch es una de las apps más recomendables, creada por ElevenPaths, la división de seguridad de Telefónica, nos permite «latchear» diferentes servicios, pero también dar de alta diferentes servicios en su TOTP. La sincronización se realiza en la nube, por lo que si restauramos nuestro móvil no perderemos el acceso a los diferentes servicios. Con esta app podremos dar de alta cualquier servicio con TOTP, y además, podremos gestionar «Latch» si es que alguno de tus servicios lo soporta.

Esta aplicación es nuestra favorita para tener los códigos de un solo uso temporales en nuestro smartphone, porque todo lo guarda en el Cloud para acceder con nuestras credenciales, y no tener que volver a reconfigurar todos los segundos factores de autenticación de los diferentes servicios. Un detalle muy importante es que también podemos gestionar el «Latch» para los servicios compatibles, algo interesante para añadir una seguridad adicional.

Google Authenticator

Esta app de Google nos permite almacenar el token TOTP localmente en nuestro terminal, no hay sincronización en Cloud, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

Esta aplicación es la más utilizada en todo el mundo debido a su facilidad de uso, no obstante, tiene la gran pega que no tiene sincronización Cloud. Por la parte positiva podemos indicar que es más segura que el resto, porque los token se guardan en el propio smartphone y no en la nube que podría ser hackeada.

Authy

Esta app nos permite almacenar el token TOTP en nuestro terminal, pero sí tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

Authy
Authy
Developer: Authy Inc.

Esta aplicación sería nuestra segunda opción, por detrás de Latch, para usarla como aplicación autenticadora de los diferentes servicios online.

LastPass Authenticator

Esta app nos permite almacenar el token TOTP en nuestro terminal, pero tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo. Esta aplicación es realmente interesante porque tiene lo mejor de Google Authenticator (almacenamiento local) y también lo mejor de Latch y Authy si es que queremos almacenar los datos en la nube de la empresa.

Hasta aquí hemos llegado con este completo artículo donde os explicamos qué es la autenticación en dos pasos, y qué aplicaciones autenticadoras son las más recomendables para usar con Android y iOS.

2 Comentarios