Blog

En los últimos años hemos sido testigos de múltiples robos de información donde más de 2.000.000.000 de usuarios directa o indirectamente han sido afectados con sus datos robados o publicados (nombres, correos, contraseñas, etc) y muy posiblemente estés entre ellos con buscar tu correo en esta web: https://haveibeenpwned.com/

Dropbox, 500px, Adobe, etc. Sea el tamaño o la empresa que sea, muchas de ellas han sufrido un robo en los últimos años y ese robo significa que tus datos han sido capturados y solo una cosa podría haber ayudado, la autentificación en 2 Factores pero ¿Qué es la autentificación en 2 factores?

La autentificación en 2 factores es una segunda capa además de la contraseña que puede ser de diferentes formas:

  • Un código de verificación único que se envía a un número de teléfono o dirección de correo electrónico.
  • La respuesta a una pregunta de seguridad, como el nombre de tu madre, de la primera mascota o el lugar donde naciste.
  • Una contraseña de un solo uso (TOTP) basada en el tiempo que es generada por una aplicación de autenticación, como Clave de la Seguridad Social, Authy o DuoMobile
  • Un dispositivo físico, como Yubikey , que se puede conectar a tu dispositivo
  • Sistema biométrico como una huella digital o un escáner de iris (no común).
  • Conexión con un dispositivo con bluetooth reconocido (manos libres del coche, smartwatch, etc)

La mayoría de estos métodos se basan en verificar tu identidad verificando si posees un token designado, es decir, su teléfono móvil o su dispositivo físico. Los demás prueban su identidad en función de algo que sabe (como la pregunta de seguridad) o de tus rasgos físicos.

A medida que 2FA se convierte en el estándar de seguridad cibernética, las organizaciones en línea facilitan la configuración. La mayoría de los sitios permiten configurar su 2FA escaneando un código QR con una de las aplicaciones generadoras de código mencionadas anteriormente. La mayoría de las plataformas también le ofrecen códigos de recuperación o respaldo en caso de que pierdas tus medios de entregar su segundo factor de autenticación, su teléfono o su dispositivo, para no tener que restablecer la cuenta.

De todos modos, de todos los mencionados hay dos que no son nada aconsejables y su seguridad es muy cuestionable como es la verificación a través de un código recibido por SMS o el uso de dispositivos como un reloj inteligente dado que en caso de robo físico ya tienen la mitad de tu identidad digital.

En cuanto al SMS, es un protocolo tan inseguro como débil como pudo descubrir Reddit o el propio fundador de Twitter (cuya red social usa precisamente este sistema de verificación) donde, tanto con ingeniería social como a través de robo o duplicado de SIM es posible recibir fácilmente el código de verificación.

Otro que puede ser realmente débil es el de las preguntas personales de “Cómo se llamaba tu madre” pues la respuesta puede llegar a ser sencilla con echar un vistazo a la biografía o información personal que podamos tener publicada en nuestras redes sociales.

Lo más recomendable es usar tanto un dispositivo de seguridad como es el caso de Yubikey (que no está implantado en muchos sitios) o el uso de contraseñas temporales a través de aplicaciones como Google Authenticator, Authy o DuoMobile

Deja un comentario