TOTP MFA: El método de autenticación multi-factor más fiable

TOTP MFA: El método de autenticación multi-factor más fiable

Lorena Fernández

Si alguna vez has utilizado aplicaciones como Google Authenticator que te permiten agregar un paso más de autenticación para aplicaciones y servicios, entonces ya conoces el concepto de TOTP MFA. La autenticación multi-factor, o de doble factor, es uno de los apoyos más importantes para garantizar la seguridad de acceso a aplicaciones y servicios. Así, tendremos la garantía de que la persona que quiera accede, sea legítima y sin fines maliciosos.

Ahora, repasemos estas siglas. MFA responde a Multi-Factor Authentication (Autenticación Multi-Factor). Consiste en requerir autenticación adicional, además de introducir nuestros datos habituales de usuario y contraseña. Es un aliado a la hora de mitigar ataques y vulneraciones a diversos tipos de cuentas, ya que los pasos de autenticación que se añadan se ubican en el último lugar antes de poder acceder a las cuentas.

Un punto interesante de MFA es que, cada paso que se añada funciona de manera independiente. Si por alguna razón, alguno de los pasos es vulnerado, no afectará a los demás. Esto hace que un ciberatacante tenga más dificultades a la hora de vulnerar cuentas.

TOTP y su comparación con otros métodos MFA

Ahora bien, TOTP quiere decir Time-Based One-Time Password. Es una variante de la autenticación multi-factor que funciona gracias a un código que se genera de forma aleatoria. Este último actúa como un token (ficha) de autenticación. Los códigos se generan mediante aplicaciones, como la conocida Google Authenticator y cambian después de un corto período de tiempo. Si un atacante desea vulnerar accesos tuyos con MFA integrado, debería contar también con tu móvil u otros dispositivos que hayas autorizado. Esto es así porque los códigos se generan en dichos dispositivos para que así se tenga certeza de que el acceso a la aplicación o servicio tiene origen legítimo. A pesar de que el tiempo de validez de los códigos generados por TOTP MFA son bastante cortos, es considerado como un método bastante fiable.

totp-metodo-de-autenticacion-multi-factor

Comparemos, por ejemplo, con un método muy conocido. El de envío de SMS. Este se caracteriza por la generación del código aleatorio fuera del dispositivo, en vez de que sea creado por el móvil mismo mediante una app de autenticador. Una gran vulnerabilidad es que el mensaje que llegas a recibir, podría provenir de un atacante. Ya que el mismo puede alterar el origen de envío de esos mensajes de texto. Esto es más peligroso aún considerando que los destinatarios de dichos mensajes no son conocidos por nosotros, en muchos casos. Incluso, siendo conocidos los destinatarios, los SMS y sus métodos de envío son muy vulnerables.

Otra forma de poner en marcha un método de autenticación multi-factor es valerse de las notificaciones push del móvil. Esto facilita la visibilidad por parte del usuario a la hora de realizar los pasos de la autenticación. Una ventaja importante es que el usuario recibe la notificación push con datos importantes como la locación y la hora en que se deseó tener acceso. Esto es importante para determinar si tal usuario podría ser víctima de un ataque. Sin embargo, tiene coste adicional el poder desarrollarlo e implementarlo. Si no es posible o no se desea pagar por este método de autenticación, TOTP está disponible de forma gratuita.

Por último, también tenemos un método de autenticación multi-factor que es el biométrico, y es que actualmente los smartphones incorporan lectores de huella y también de iris, por lo que podríamos utilizar estos datos biométricos para acceder a los diferentes servicios. Por ejemplo, la popular aplicación Latch nos permite iniciar sesión rápidamente con nuestra huella en el smartphone, para posteriormente ver el código TOTP que ha generado automáticamente, de esta forma, estaremos añadiendo una capa más de seguridad al sistema, aunque en el caso de Latch, también podríamos iniciar sesión con el típico usuario y contraseña para acceder a todos los TOTP guardados en la nube.