Si estás familiarizado con el mundo de Internet, seguro has oído hablar mucho en los últimos tiempos de la autenticación en dos pasos o 2FA de sus siglas en inglés (Two Factor Authentication). Se trata de un método de seguridad con el que se solicita un doble factor de verificación para acceder a determinadas cuentas. Su uso se ha popularizado mucho en los últimos tiempos, también provocado por la PSD2 (Payment Services Directive), la nueva Directiva Europea que regula los servicios de pagos electrónicos.
Contents
Qué es la autenticación en dos pasos
La 2FA o doble factor de verificación, también es conocida cómo autenticación en dos pasos, pero en todos los casos hablamos de lo mismo, una medida de seguridad con la que evitamos que cualquier usuario sin autorización pueda acceder a la cuenta de turno y modificar los datos u operar sin consentimiento. De ahí la importancia de activar esta opción siempre que sea posible.
De esta forma, este sistema lo único que hace es verificar que eres el propio de esa cuenta y qué quieres acceder a dicha cuenta. Esto es importante, especialmente cuando se llevan a cabo filtraciones de datos o cuando utilizas contraseñas poco seguras. En este sentido, recomendamos encarecidamente que antes de continuar revises este artículo sobre cómo establecer contraseñas seguras.
¿Cómo funciona la autenticación en dos pasos en los servicios online?
El funcionamiento del sistema de doble verificación (2FA) es muy sencillo, una vez lo tenemos activado en la cuenta, al introducir nuestras credenciales de forma correcta, esta nos pedirá un segundo paso de verificación. El sistema más utilizado es el envío de SMS al móvil asociado a la cuenta, así, los posibles hackers, además de adivinar la contraseña de la cuenta deberían tener acceso a nuestro teléfono móvil. No obstante, existen otro métodos de verificación que veremos a continuación cómo aplicaciones especificaciones de verificación, las llamadas de teléfono o las llaves de seguridad, entre otras.
Qué tan segura es la 2FA
La 2FA o doble verificación, aumenta la seguridad de nuestras cuentas de forma exponencial. Debemos tener en cuenta que la base de este sistema es unir algo que sabes con algo que tienes. Es decir, algo que sabemos son las credenciales de acceso a la cuenta en cuestión, no obstante, cómo se ha podido ver en diferentes ocasiones, estas credenciales pueden filtrarse, por lo que mantener este sistema único de verificación es muy arriesgado. Así, el sistema de doble autenticación, lo que hace es añadir un elemento que tengamos sólo nosotros, cómo puede ser un teléfono móvil, un token físico o una llave de seguridad, de esta forma, si alguien consigue averiguar nuestra contraseña, también debería hacerse con ese elemento físico, algo menos probable. Por tanto, podemos afirmar que la 2FA es mucho más segura que el método de verificación único y tradicional.
Tipos métodos de verificación
Cómo hemos comentado anteriormente, no existe un sólo método de verificación, sino que hay diferentes opciones para solicitar ese segundo paso. Veamos los principales.
- Verificación por SMS. Es el método más extendido. Consiste en el envío de un SMS con un código de acceso temporal a tu teléfono móvil una vez introducidas correctamente las credenciales de acceso a la cuenta. Se trata de un método limpio y rápido que no requiere instalar más Apps engorrosas. Eso sí, en caso de robo de la SIM tus cuentas podrían llegar a ser vulnerables.
- Correo electrónico. Igual que en el caso anterior, al introducir usuario y contraseña de forma correcta, se te solicitará un nuevo código que habrán enviado por correo electrónico. El único peligro es dejar la sesión de correo abierta en sistemas ajenos, de ahí la importancia de cerrar siempre la sesión de correo.
- Pregunta de seguridad. En este caso, una vez has introducido la contraseña correctamente, deberás responder una pregunta adicional de seguridad, la respuesta a la cual la habrás configurado en el momento de abrirte la cuenta. Es, quizás, el sistema menos seguro ya que hay preguntas que son muy sencillas de adivinar, especialmente para aquellos que te conocen muy bien.
- Aplicaciones de autenticación. Tras introducir correctamente usuario y contraseña, el sistema te preguntará por una contraseña temporal que se habrá generado en la aplicación de autenticación que hayas configurado previamente. Es el método más seguro y menos agresivo, ya que no es necesario facilitar tu número de teléfono. Más adelante os mostramos algunas de estas aplicaciones más a fondo.
- Códigos en la propia App. Algunas aplicaciones tienen la opción de generar un código dentro de la propia App móvil, por lo que siempre que intentes acceder desde un nuevo dispositivo te solicitará dicho código. Este método es interesante, ya que es similar al de las aplicaciones de autenticación pero sin necesidad de instalar más aplicaciones adicionales.
- Llaves de seguridad. Algunas cuentas permiten la opción de generar llaves de seguridad USB, NFC o Bluetooth. Su funcionamiento es similar al de una llave del coche o de casa, ya que te permitirá introducirla en el dispositivo de turno y validar tu identidad para iniciar sesión. Puede tratarse del método más seguro , pero deberás vigilar no perder la llave, sino tendrás muchos problemas para acceder.
- Biometría. Sistema de verificación que cada vez coge más fuerza, ya que verifica tu identidad a través del reconocimiento facial o de la huella dactilar. Es muy común en dispositivos móviles cómo smartphones o tablets.
- Códigos de recuperación. Un sistema con componente más tradicional, ya que consiste en generar un código de recuperación y anotarlo o imprimirlo en un lugar seguro. Su principal problemática es que necesitas saber en todo caso dónde lo tienes anotado, ya que suelen ser códigos muy largos.
Aplicaciones de autenticación en dos pasos (2FA)
A continuación os dejamos con una lista de algunas de las aplicaciones de 2FA y, aunque no son todas las que existen, si se trata de las más utilizadas en la actualidad.
Google Authenticator
Se trata de una App de la familia Google, lo que ya otorga cierta confianza. Además, es compatible tanto con iOS cómo Android en teléfonos móviles y tabletas.
En este caso, lo que te permite es almacenar un token TOTP (de sus siglas en inglés Time-Based One-Time Password) de 6 dígitos en tu teléfono móvil que podrás copiar y pegar. Este código cambia automáticamente cada 30 segundos, optimizando la privacidad y evitando que nadie pueda utilizarlo de forma simultánea. Es compatible con todo tipo de servicios como redes sociales, tiendas online, … El único inconveniente que le vemos es que guarda la información de forma local, por lo que no se sincroniza en la nube. De esta forma, existe un riesgo si decides restaurar tu smartphone, ya que perderás el acceso y deberás volver a reactivarlo.
Microsoft Authenticator
Microsoft es otra de las grandes tecnológicas que dispone de su propia app de verificación. Está disponible en las tiendas de Android (Play Store) e iOS (App Store), o bien descargándola desde su tienda oficial, ya que es gratuita. Funciona exactamente igual que Google Authenticador, otorgando un código de 6 dígitos que caduca a los 30 segundos y el acceso a la app debe hacerse vía reconocimiento facial o mediante huella dactilar para aumentar la seguridad.
Authy
A pesar de no contar con una gran marca detrás, se ha hecho un hueco en las aplicaciones de verificación en dos pasos más utilizadas. Se trata de una aplicación gratuita y compatible con los principales sistemas operativos, cómo Android e iOS. Otra de sus grandes ventajas es que es multiplataforma, por lo que también se puede usar en navegadores cómo Chrome o Brave, en Windows o en MacOS, lo que le otorga un valor añadido respecto a la competencia. Desde su página web tenemos ejemplos de aplicaciones que aceptan Authy cómo método de 2FA, entre los que podemos ver plataformas de criptomonedas cómo CoinLoan, servicios de Google, aplicaciones de VPN cómo NordVPN, videojuegos cómo Fortnite o el software Arduino. Aquí podéis ver una comparativa con Google Authenticator.
LastPass Authenticator
LasPass Authenticator es una función del gestor de contraseñas LastPass, lo que ofrece un valor añadido a sus usuarios y permite la posibilidad de no tener que descargar aplicaciones de autenticación adicionales. Además, ofrece una experiencia de verificación con una sola pulsación que no ofrece ninguna otra app de 2FA. El funcionamiento es idéntico al de las aplicaciones anteriores, admitiendo códigos de acceso generados de 6 dígitos, códigos SMS o notificaciones push.
Latch
Es una app ideada y desarrollada por ElevenPaths, el equipo de ciberseguridad de Teléfonica Tech. Cuenta con versión para usuarios y para empresas, y aparte de otorgar el código de verificación, Latch permite apagar tus servicios online si no estás conectado. Por explicarnos mejor, Latch es cómo un cerrojo digital, que protege tus redes sociales, tarjetas de crédito o banca online. En una de sus principales integraciones, cómo puedes ver en el siguiente vídeo, es con WordPress.
Ventajas e inconvenientes de la autenticación en dos pasos
Cómo todo en la vida, existen pros y contras de utilizar el sistema de doble verificación 2FA, aquí os dejamos los más destacados.
Mayor seguridad
Puede evitar ciberataques
Acceso más complicado a nuestros datos personales
Instalación de aplicaciones adicionales
Dependencia del dispositivo dónde se recibe el código
Mayores problemas en caso de restaurar la aplicación o el acceso al sistema de verificación adicional