Blog

¿Qué es la autenticación de dos factores (2FA)? – Parte 1

Contenidos

Como pasamos tanto tiempo en Internet, no es de extrañar que nuestras cuentas digitales se hayan convertido en objetivo de los delincuentes. Incluso después de que muchos hayan implantado programas de seguridad y prevención, no se ha producido ningún descenso o cambio significativo en los intentos de pirateo. Las violaciones de datos con éxito están aumentando. De hecho, según estudios y noticias recientes, es bastante evidente que los piratas informáticos se han vuelto intrépidos y atacan a todos, ya sean organismos gubernamentales, empresas, pequeñas empresas o particulares.

Una solución fiable a estos ataques es la «Authenticator App», que ayuda a proteger las cuentas online. 2FA, o autenticación de dos factores, se ha convertido en una importante medida de seguridad para proteger nuestras cuentas e información en línea en el mundo digital. Se trata de un sistema que requiere dos formas de identificación para iniciar sesión en una cuenta. Generalmente, la forma más común de identificación de cualquier usuario es su nombre de usuario y contraseña. La mayoría de los usuarios ignoran el segundo nivel de autenticación y lo dejan desactivado. En la mayoría de los casos, el segundo nivel de identificación es un token físico o un identificador biométrico como una huella dactilar. 2FA es una importante medida de seguridad, que hace mucho más difícil a los atacantes acceder a nuestras cuentas e información personal. Aunque un atacante conozca nuestra contraseña, seguirá necesitando nuestra segunda forma de identificación para iniciar sesión. 2FA no garantiza una solución al 100% del problema, pero es una de las medidas de seguridad más eficaces que todo el mundo debería utilizar.

¿Qué es la autenticación de dos factores o 2FA?

La autenticación de dos factores, comúnmente llamada 2FA, permite a las empresas añadir un nivel extra de seguridad a las cuentas de los usuarios. Para evitar que comprometan su acceso a hackers o ciberataques.

La autenticación de dos factores (2FA) es una importante medida de seguridad que utiliza dos factores diferentes para verificar tu identidad antes de concederte acceso a una cuenta o sistema. El primer factor es algo que tu conoces, como una contraseña o un PIN. El segundo factor es algo que tienes, como un smartphone o un token de seguridad.

La autenticación 2FA es más segura que la tradicional basada en contraseñas, porque requiere dos datos distintos para verificar la identidad. Incluso si un factor se ve comprometido. El atacante seguirá necesitando el otro para acceder a tu cuenta.

La 2FA es una medida de seguridad importante para las cuentas online, y recomendamos utilizarla siempre que esté disponible.

¿Por qué las aplicaciones requieren mayor seguridad con 2FA o autenticación de dos factores?

En los últimos años, hemos sido testigos de un enorme aumento en la variedad de páginas web que pierden los datos privados de sus usuarios. Y a medida que la ciberdelincuencia se vuelve más vanguardista, las organizaciones descubren que sus antiguas estructuras de seguridad no son rival para las amenazas y ataques de última generación. A veces son fáciles errores humanos los que las han dejado al descubierto. Todo tipo de empresas -internacionales, pequeños grupos, startups o incluso organizaciones sin ánimo de lucro- pueden sufrir intensas pérdidas financieras y de reputación.

Para los compradores, las secuelas de un hackeo selectivo o de un robo de identidad pueden ser devastadoras. La información robada se convierte a menudo en tarjetas falsas y se utiliza para comprar artículos de forma anónima sin ser rastreado. Esto puede dañar la calificación crediticia del afectado. Además, pueden vaciar por completo la cuenta bancaria y la criptomoneda en un solo día. En 2016, los informes revelaron que 15,4 millones de personas habían sufrido un enorme revés financiero de 16.000 millones, lo que causó una inmensa cantidad de angustia y dificultades a los afectados.

Las páginas web y las aplicaciones tienen que ofrecer una protección más estricta. Los usuarios deben acostumbrarse a defenderse con 2FA y una contraseña segura. Para muchos, ese mayor nivel de seguridad es la autenticación de dos factores.

¿Cómo funciona la autenticación de dos factores (2FA)?

He aquí cómo funciona el 2FA. Con la autenticación de dos factores activada en una cuenta de Internet, inicias sesión como de costumbre junto con tu nombre de usuario y contraseña. Ese es el componente uno. A continuación, la web te pide un código de seguridad. Ese es el componente dos. Este código también puede estar disponible en un mensaje de texto, en un correo electrónico, como un token de programa de software recuperado de una aplicación de autenticación de elementos, o como un token de hardware de una herramienta física (más sobre esto más adelante). La verificación por mensaje de texto se recomienda como último recurso. Sin embargo, es mejor que nada, debido a la facilidad de intercambio de SIM (mientras que una persona utiliza la ingeniería social para obtener su número de teléfono asignado a una nueva SIM para interceptar sus tokens SMS). La verificación por correo electrónico puede ser cómoda, pero mejor cuando tienes una autenticación robusta de dos factores en esa cuenta de correo electrónico.

Con las aplicaciones de autenticación de dos factores de las que hablamos aquí, el código de inicio de sesión es un «token suave o tierno», una contraseña de un solo uso basada en el tiempo (TOTP). La aplicación genera esos códigos utilizando un algoritmo asignado a tu herramienta mientras instalas la aplicación, y cada código dura 30 o 60 segundos. De esta forma, sólo tu dispositivo físico tiene los códigos, lo que los hace más fáciles que los códigos de mensajes de texto o de correo electrónico.

Debes habilitar la doble autenticación para tu gestor de contraseñas, correo electrónico, ofertas de copia de seguridad en la nube cuando operas, bancos, perfiles de redes sociales, aplicaciones de chat y cualquier aplicación con tus datos de fitness.

¿A quién debería preocuparle la autenticación de dos factores o 2FA?

La respuesta es TODOS. Siempre estás en riesgo si haces algo online, ya sea ir de compras, usar las redes sociales o realizar operaciones bancarias. Necesitas utilizar la autenticación de dos factores para proteger tus cuentas online. Como su nombre indica, dos capas o una segunda capa de protección, se conoce como autenticación de dos factores o 2FA. Como proporciona una segunda capa de seguridad, garantiza la dificultad para que una persona ajena obtenga la información de acceso.

Ejemplos comunes de autenticación de dos factores

El primer lugar común donde todos utilizamos la autenticación de dos factores es al retirar dinero de tu cuenta bancaria con una tarjeta de débito. En este caso se utiliza un código PIN único de 4 o 6 dígitos y una tarjeta de débito física para retirar efectivo. Otro ejemplo es una app, donde el primer nivel de seguridad es tu contraseña y el segundo elemento es tu móvil.

El acceso a aplicaciones móviles y cuentas online con OTP o contraseña de un solo uso (One Time Password) enviada por SMS o mensaje de texto. Las OTP compartidas son aleatorias de 4 ó 6 dígitos y difíciles de adivinar. El tiempo de uso oscila entre 30-60 segundos. Por lo tanto, junto con tus credenciales de inicio de sesión, debes verificar tu número de teléfono o correo electrónico introduciendo la OTP para la verificación.

Los pasaportes se utilizan para verificar la identidad durante los viajes internacionales. El segundo nivel de verificación consiste en confirmar que tu eres ciudadano del país que expide el pasaporte. Para la verificación se suelen utilizar huellas dactilares o escáneres de retina.

Cómo ayuda el 2FA en la autenticación

El 2FA es una capa adicional de protección que garantiza que el usuario que desea acceder a una cuenta web es la misma persona que dice ser. En primer lugar, el usuario introduce su nombre de usuario y una contraseña segura. A continuación, en lugar de obtener el derecho de entrada a sus datos, deberá verificarlos adicionalmente proporcionando más información complementaria. Este segundo conjunto de información debe proceder de una de las siguientes categorías:

Tipos de 2FA o Autenticación de dos factores

Cuando tienes 2FA para páginas web y aplicaciones móviles, te estás protegiendo de un posible compromiso fácil, incluso si alguien tiene acceso a tu primer nivel de credenciales. Si pierdes tu móvil y alguien tiene tu contraseña. La posibilidad de que otra persona tenga tu método de autenticación 2FA es muy baja. En general, viéndolo desde otra perspectiva, si un usuario utiliza 2FA correctamente, las páginas web y las aplicaciones móviles pueden estar más seguras de la identificación del consumidor y permitirle el acceso a su cuenta.

Algo que los usuarios saben: Tiene que ser información de identificación no pública, como un PIN único, una contraseña única y segura, respuestas personales seleccionadas por el usuario y compartidas para «preguntas secretas», o combinaciones únicas de varias teclas.

Sólo tu tienes algo que un usuario podría tener física o lógicamente en su posesión, por ejemplo, una tarjeta de débito o crédito, un teléfono o un dispositivo de hardware token como Duo.

Algo que tú tienes: Esta es una forma superior de autenticación 2FA, ya que incluye verificación de segundo nivel con autenticación biométrica como mapeo de huellas dactilares, reconocimiento de voz, reconocimiento facial y escáner de retina.

Tipos de 2FA

Hoy en día se utilizan varias formas de autenticación de segundo nivel; algunas pueden ser comparativamente más fuertes o más complicadas que otras. Sin embargo, todas ofrecen siempre mucha más precaución y protección que el uso exclusivo de contraseñas. A continuación se enumeran los tipos más comunes de 2FA.

Tokens de hardware como 2FA

Los tokens de hardware son pequeños dispositivos similares a llaves. Generalmente conocido como fob, es como una pequeña memoria USB. El llavero muestra un nuevo código numérico aleatorio cada 30 segundos. Por lo tanto, cuando un usuario introduce su credencial de acceso, tiene que introducir el código aleatorio generado en el llavero. Este código aleatorio mostrado es el código 2FA. La introducción del 2FA mediante hardware en la página web o en una aplicación móvil permite restringir el acceso. Otras variantes de tokens de hardware también generan periódicamente un código 2FA aleatorio cuando se conectan a un puerto USB o funcionan con pilas.

Aunque, en principio, parecen seguros, tienen algunas limitaciones. Para las empresas, la distribución de estos dispositivos es un asunto caro, y la probabilidad de que los clientes los pierdan también es alta, ya que son bastante pequeños. Además, como son dispositivos autónomos, un programador inteligente puede descodificar la lógica y piratearlos fácilmente. Por lo tanto, estos tokens de hardware no son completamente seguros.

SMS Mensajes de texto cortos y basados totalmente en la voz 2FA

Las contraseñas de un solo uso (OTP) se utilizan generalmente como método 2FA. Estas OTP se envían por SMS al teléfono del usuario. Se conocen comúnmente como SMS OTP. La OTP se envía directamente al smartphone del usuario. Por lo tanto, después de recibir un nombre de usuario con una contraseña, la página web envía a la persona un código de acceso único (OTP) a través de un mensaje de texto SMS. Al igual que en el caso del token de hardware, el usuario debe volver a utilizar la OTP antes de entrar en la aplicación. Del mismo modo, la 2FA basada principalmente en la voz llama mecánicamente a un consumidor y verbalmente puede proporcionar el código 2FA. Se suele utilizar donde los smartphones no están muy extendidos. O cuando el proveedor de datos móviles no está a la altura.

Es adecuado cuando el riesgo es bajo. Utilizar la autenticación por OTP SMS o llamadas de voz puede ser ideal. Pero cuando la web va a guardar tu información privada, en tal caso, un nivel de 2FA no será suficiente. Los SMS son la forma más sencilla de autenticar a los clientes. Debido a esto, muchas empresas han empezado a mejorar su seguridad pasando de utilizar SMS como 2FA.

Tokens de software como 2FA

La forma más famosa de autenticación de 2 factores es utilizar una contraseña de un solo uso basada en el tiempo y generada por software. La contraseña de un solo uso basada en el tiempo (TOTP) es un sencillo programa de software que genera una contraseña de un solo uso (OTP) utilizando la hora actual como fuente de unicidad. Esto es TOTP o «smooth token».

Authy by Twillio es la mejor aplicación de autenticación de dos factores y ofrece una solución API basada en la nube. Siempre es aconsejable integrar su solución en lugar de construir tu seguridad para páginas web y aplicaciones móviles. Hay muchas otras aplicaciones de autenticación populares disponibles para su integración.

En primer lugar, los consumidores deben descargar la aplicación gratuita 2FA authenticator en sus dispositivos móviles u ordenadores portátiles. Después, pueden utilizar la aplicación 2FA con cualquier página web que admita este tipo de autenticación. Durante el inicio de sesión, el usuario introduce primero un nombre de usuario y una contraseña, y después el código aleatorio que se muestra en la aplicación. Esto es similar a los tokens de hardware; el smooth-token suele ser válido durante 60 segundos o menos. Como el segundo nivel de código se genera ahora en el dispositivo y se utiliza en el mismo, los smooth-tokens eliminan el riesgo de intentos de pirateo. De este modo se supera el problema que presentaban las OTP de transporte de SMS o voz.

Como tales, las soluciones 2FA están disponibles en ordenadores de sobremesa, portátiles, teléfonos o incluso wearables y dispositivos y soportan el trabajo online y offline. El segundo nivel de autenticación del cliente es posible online u offline muy fácilmente.

Notificaciones push

En lugar de depender de la recepción del token 2FA. Las notificaciones push ayudan a pensar de forma proactiva cuando se implementan en páginas web y aplicaciones móviles. Ahora, cada vez que la web o la aplicación móvil detecta una intrusión o un intento de inicio de sesión desconocido, genera proactivamente una notificación push de que hay un intento de acceso en curso. El usuario del dispositivo tiene que aprobar o denegar el permiso con un toque o un clic. Este sistema es de autenticación sin contraseña y no requiere introducir códigos manualmente ni ninguna otra forma de intervención.

Gracias a esta conexión, el proveedor de 2FA y la notificación push de la herramienta eliminan todas las posibilidades de suplantación de identidad o acceso no autorizado. Es más eficaz cuando los dispositivos están conectados online. Y falla en zonas donde la conectividad de datos y el uso de dispositivos inteligentes son bajos. Pero cuando se aplica, es la mejor opción, ya que es una forma de seguridad fácil de usar.

Artículos destacados

From offline to online.

Comparte tus ideas con nosotros