Mejora la seguridad de tus cuentas con la autenticación en dos pasos

Hoy en día casi todas las personas alguna vez y debido al robo de bases de datos, han intentado robarnos alguna cuenta de algún servicio como el correo electrónico, acceso alguna web, acceso a plataformas de videojuegos tipo Steam, redes sociales, servicios de streaming de video y otros. Por suerte hoy en día existen métodos para intentar mitigar que alguien entre en nuestros servicios online, hoy en RedesZone vamos a ver la autenticación en dos pasos.

Lo primero que tenemos que tener en cuenta es qué es la autenticación, y para qué sirve. El ejemplo más claro lo tenemos que hoy en día existen en muchas empresas métodos de fichar por una nueva ley de nuestro gobierno. Cuando realizamos el acto de «fichar», eso que realizamos bien sea con una tarjeta física, código en un teclado, por medio de biometría como la huella de dactilar o iris, lo que realmente estamos haciendo es autentificarnos, es decir, decirle al sistema que somos nosotros los que estamos ahí. Como podéis imaginar métodos de autentificación hay muchísimos que veremos más abajo.

Métodos de autenticación

En informática tenemos que tener en cuenta varias cosas, los métodos de autenticación los podemos dividir en diferentes grupos:

Algo que tenemos físicamente

Como hemos indicado antes, serían por ejemplo tarjetas magnéticas, tarjetas inteligentes, donde sus principales ventajas de usar estos sistemas serian, el bajo coste, el índice de seguridad que ofrecen y la rapidez de su uso. Sin embargo, también presentan una serie de inconvenientes tales como que se pueden perder o clonar.

Algo que sabemos

El ejemplo más evidente es una contraseña, es uno de los métodos de autentificación más usados por los usuarios, su ventaja radica en la facilidad que tiene de crearse, pero su gran inconveniente es que podemos desvelarla sin darnos cuenta. Es fundamental tener una buena política de contraseñas, y lo primero pasa siempre por crear una contraseña fuerte para los diferentes servicios online que tengamos registrados.

Algo que somos

En este apartado la biometría es la clave, en nuestro cuerpo humano tenemos diferentes «llaves» que podemos usar para autentificarnos, por ejemplo, los ojos, las huellas, la voz, tu cara, la firma o la escritura. Sin embargo, estos sistemas que por ejemplo se están poniendo cada vez más de moda en los teléfonos móviles, presentan muchos inconvenientes como que actualmente son caros de implementar, a veces fallan mucho y después está el tema de la privacidad, ya que para que funcionen tiene que estar almacenados en alguna base de datos nuestros biométricos que nos hacen únicos y diferentes. Normalmente los fabricantes almacenan los datos biométricos en el propio terminal, no los «sube» a la nube automáticamente.

Una vez vistos los diferentes métodos de autenticación que podemos encontrarnos queda claro que ningún sistema es lo completamente seguro al 100% por eso cada vez más de usan autenticaciones en dos pasos.

Autenticación en dos pasos: combinación de dos métodos de autenticación

La autenticación en dos pasos es combinar dos métodos de autenticación de índole diferente, es decir, combinar el «algo que sabemos» con el «algo que tenemos«. También podemos combinar «algo que somos«, con «algo que tenemos«. En nuestro día a día, cuando accedes por ejemplo al correo electrónico, redes sociales u otros servicios, tenemos que usar un método de verificación que está basado en «algo que sabes», es decir, la contraseña de acceso al servicio en cuestión.

La gran mayoría de servicios online como Google, Microsoft, Facebook, Twitter, Instagram y muchísimos otros, utilizan la autenticación en dos pasos, para utilizar la contraseña (algo que sabemos), y también un código que recibimos por SMS o que generamos con nuestro smartphone (algo que tenemos). Por ejemplo, en los foros de ADSLZone tenemos la posibilidad de activar la autenticación en dos pasos utilizando un código generado por una app autenticadora. En algunos casos, esta autenticación en dos pasos se basa en una llamada de teléfono, y en otros, se basa en que, si ya tenemos un dispositivo sincronizado con un servicio como iCloud, automáticamente nos envía a otros dispositivos un aviso para permitir ese inicio de sesión. Si no tenemos a mano otro dispositivo para aprobar el inicio de sesión, entonces nos envía un SMS con un código, y si tampoco tenemos a mano nuestro móvil, entonces ya nos salta opciones de recuperación.

Como podemos ver, en principio los sistemas de autenticación y verificación parecen muy seguros al requerir dos pasos, por lo que es muy recomendado tenerlo activo. Pero, sin embargo, también puede ser inseguro si se hacen con ambos sistemas de verificación. Los puntos débiles de la autenticación en dos pasos podría ser la localización del segundo dispositivo, en caso de tener un segundo factor por SMS o llamada, si nuestro móvil no tiene cobertura no recibirá el código, por este motivo (y también porque usar SMS no es seguro) es recomendable utilizar apps generadoras de códigos en el smartphone.

Aplicaciones autenticadoras para Android y iOS

Las siguientes aplicaciones autenticadoras nos permitirán generar códigos temporales para los diferentes servicios. Algunas aplicaciones están disponibles para Android y también para iOS. Lo principal que debes saber de estas aplicaciones, es que en algunos casos el «token» se almacena localmente, y, por tanto, si restauras el móvil a valores de fábrica lo perderás, y tendrás que reactivar la autenticación en todos los servicios uno a uno, y esto hace que los servicios TOTP con almacenamiento en Cloud sean muy recomendables, ya que los «token» se subirán a la nube del servicio para que con tan solo iniciar sesión, ya tengamos acceso a nuestro segundo factor de autenticación.

No es recomendable utilizar autenticación en dos pasos basadas en SMS, ya que no se considera un método seguro. Es recomendable utilizar app autenticadoras que generen los códigos temporales.

Latch

Latch es una de las apps más recomendables, creada por ElevenPaths, la división de seguridad de Telefónica, nos permite «latchear» diferentes servicios, pero también dar de alta diferentes servicios en su TOTP. La sincronización se realiza en la nube, por lo que si restauramos nuestro móvil no perderemos el acceso a los diferentes servicios. Con esta app podremos dar de alta cualquier servicio con TOTP, y además, podremos gestionar «Latch» si es que alguno de tus servicios lo soporta.

Latch
Latch
Price: Free
‎Latch by ElevenPaths
‎Latch by ElevenPaths
Developer: https://apps.apple.com/es/developer/telefonica-digital-espana-s-l-u/id744999019
Price: Free

Google Authenticator

Esta app de Google nos permite almacenar el token TOTP localmente en nuestro terminal, no hay sincronización en Cloud, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

Google Authenticator
Google Authenticator
Developer: Google LLC
Price: Free
‎Google Authenticator
‎Google Authenticator
Developer: https://apps.apple.com/es/developer/google-llc/id281956209
Price: Free

Authy

Esta app nos permite almacenar el token TOTP en nuestro terminal, pero sí tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

Authy 2-Factor Authentication
Authy 2-Factor Authentication
Developer: Authy
Price: Free
‎Authy
‎Authy
Developer: https://apps.apple.com/es/developer/authy-inc/id494168021
Price: Free

LastPass Authenticator

Esta app nos permite almacenar el token TOTP en nuestro terminal, pero tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

LastPass Authenticator
LastPass Authenticator
Developer: LogMeIn, Inc.
Price: Free

Hasta aquí hemos llegado con este completo artículo donde os explicamos qué es la autenticación en dos pasos, y qué aplicaciones autenticadoras son las más recomendables para usar con Android y iOS.