Blog

¿Qué es la autenticación de dos factores (2FA)? – Parte 2

Contenidos

Las mejores formas de autenticación de dos factores

Algunos gastos, además, puede ayudar a las notificaciones push en lugar de un código, en el que en lugar de pedirle que escriba manualmente un código, la web le envía una notificación al teléfono móvil, y pulsa un botón para aprobar el inicio de sesión. A veces, este paso te pide que emparejes un código entre tu teléfono y tu ordenador, como puedes haber hecho con los dispositivos Bluetooth; al mismo tiempo, en otros casos, te sugiere una opción para aprobar o denegar el inicio de sesión. Comparativamente, las notificaciones push son más fáciles de usar que TOTP.

Muchas páginas web, como Google o Facebook, solicitan la segunda capa cuando se inicia sesión desde nuevos gadgets (o en un navegador excepcional), por lo que no es necesario hacerlo cada vez. Incluso se utilizan aplicaciones móviles de autenticación para permitir un inicio de sesión seguro para la autenticación de dos factores.

El Instituto Nacional de Estándares y Tecnología (NIST) recomienda la autenticación de dos factores. David Temoshok en el NIST abogó por el uso de la autenticación de dos factores para «algo que está haciendo frente a los datos personales, la recopilación de datos privados, o el mantenimiento de los datos privados.» Deberías permitir la autenticación de dos cosas en tu supervisor de contraseñas, correo electrónico, cualquier servicio de copia de seguridad en la nube que utilices, bancos, perfiles de redes sociales, aplicaciones de chat y cualquier aplicación, junto con tus estadísticas de fitness y salud.

Riesgos asociados con 2FA

2FA también tiene algunos peligros. En una entrevista por email, Stuart Schechter mencionó que al perder tu móvil, podrías perder la admisión a la app de autenticación de 2 factores. Para recuperar tu aplicación 2FA y volver a entrar en ella, debes guardar los códigos de copia de seguridad de forma segura. Al habilitar la autenticación de dos factores, debes tener en cuenta la recuperación de la cuenta. Si no lo tienes en cuenta, podrías quedar bloqueado permanentemente de cualquier cuenta en la que permitas la autenticación de dos factores.

Aunque la autenticación de dos factores puede proteger contra intentos de phishing más básicos. Una web proxy que parezca una página web de inicio de sesión puede robarte la contraseña. La autenticación de dos factores sigue siendo propensa a intentos de phishing más avanzados. Por ejemplo, alguien puede replicar una página web y engañarte para que introduzcas tu nombre de usuario, contraseña y token de autenticación de dos factores.

A diferencia del robo de contraseñas, un atacante necesita hacerse con un segundo token del programa de software de autenticación en tiempo real para que sea útil. No hay muchos datos que respalden este tipo de intentos de phishing. Sin embargo, el Centro de Denuncias de Delitos en Internet del FBI adquirió 25.344 informes de phishing en 2017. El FBI advierte sobre los peligros de cada herramienta de intercambio de SIM y phishing, pero la autenticación -2FA sigue siendo efectiva para proteger. Debe enviar reseñas de intentos de phishing a la FTC, pero debido a que el público en general no lo hace, es difícil comprender con qué frecuencia ocurren tales intentos de phishing.

Por qué las contraseñas se consideran malas, pero siguen siendo populares

¿Cómo y por qué se volvieron inseguras las contraseñas? Según los registros, en 1961, el MIT (Instituto Tecnológico de Massachusetts) desarrolló el Sistema de Tiempo Compartido Compatible (CTSS) para garantizar que todos los estudiantes tuvieran las mismas oportunidades de utilizar los ordenadores. Para ello, se exigió a todos los estudiantes universitarios que iniciaran sesión con una contraseña única. En un par de semanas, muchos estudiantes encontraron la forma de piratear el sistema, adivinar e imprimir las contraseñas de otros estudiantes y asegurarse más tiempo de uso del portátil utilizando las contraseñas de otros usuarios.

Todos los nombres de usuario y contraseñas elegidos por los alumnos eran diferentes, pero el hecho era que se trataba de una forma popular de autenticación. Los alumnos eran capaces de piratear el sistema para ampliar su acceso. La idea de tener una contraseña era dificultar su adivinación. Se descubrió que las contraseñas no son una forma de autenticación infalible por las siguientes razones.

Razones comunes por las que las contraseñas no son fiables

  • Mala memoria: Según el análisis de las contraseñas filtradas de más de 1.400 millones de usuarios. Había contraseñas fáciles de adivinar, y no se hizo ningún intento de asegurarlas. Algunos ejemplos son los siguientes: «123456», «111111», «222222″, «333333″, «012345», «123456789», «asdfgh», «qwerty», y la más sencilla era «password». Como puedes imaginar, hay unas cuantas combinaciones de teclas que cualquiera puede intentar para descifrar una contraseña. Otra cosa que se podría deducir es que la única razón para crear una contraseña así era que el usuario quería algo fácil de recordar.
  • Múltiples cuentas y múltiples contraseñas: Tener varias cuentas en el mismo sitio o en sitios diferentes con el mismo nombre de usuario. La práctica más común es utilizar posteriormente las mismas contraseñas en muchas páginas web y aplicaciones móviles. Es lo que se conoce como reciclaje de contraseñas. ¿Adivinas por qué los piratas informáticos adoran la moda del reciclaje de contraseñas, ya que el software de pirateo tarda pocos intentos en comprobar un montón de credenciales robadas frente a los intentos de iniciar sesión en una nueva web? Las credenciales recicladas son las que los usuarios utilizan siempre en todas partes. Hay muchas posibilidades de que las mismas credenciales faciliten el acceso a algún otro sitio.
  • Aparece la fatiga: Para protegerse, muchos usuarios crean contraseñas alfanuméricas complejas, más difíciles de descifrar para los atacantes. Es una buena idea, ya que la solidez de las contraseñas aumenta con el uso de contraseñas más fuertes y seguras y la combinación de caracteres especiales y números. Pero a medida que aparecen frecuentes brechas a diario en la dark web, donde se publican las credenciales personales y únicas de los usuarios. Muchos usuarios se rinden y vuelven a utilizar las contraseñas más sencillas para varias cuentas.

¿Por qué las contraseñas no son suficientes para la seguridad?

La contraseña es la forma más común de autenticación. Pero nunca nos damos cuenta de que las contraseñas tienen muchas obligaciones, como:

  • Contraseñas débiles: Los hackers pueden descifrar contraseñas fáciles en segundos. La mayoría de la gente usa contraseñas fáciles de recordar como «12345678» o «password». Son tan fáciles de descifrar que hasta un niño podría hacerlo.
  • Phishing: El phishing consiste en que alguien se hace pasar por ti para robarte tu identidad y las credenciales de tu cuenta. Un ejemplo de phishing sería que alguien te enviara un correo electrónico pidiéndote que actualices tu contraseña. Un correo de este tipo puede contener un archivo adjunto o un enlace que parezca provenir de su banco u otra institución importante.
  • Fuerza bruta: Los ataques de fuerza bruta prueban todas las combinaciones posibles de letras y números hasta encontrar una que funcione. Los hackers pueden probar millones de combinaciones aunque utilices una contraseña segura. Este proceso es demasiado lento para ellos, pero si lo requieren, pueden esperar automatizando el proceso.

La autenticación de dos factores ofrece mayor seguridad en webs y aplicaciones móviles. Las contraseñas son una mala forma de asegurar tus cuentas online. Las contraseñas no son una forma fiable de mantener segura tu información online. Porque cualquiera que te conozca puede adivinar y robar fácilmente tu contraseña. La autenticación de dos factores (2FA) es el mejor método para mantener seguras tus cuentas online. La 2FA añade una capa extra de seguridad al requerir que introduzcas dos datos diferentes. Se trata de una contraseña y un código o algo a lo que sólo tú sabes o puedes acceder, como un número de teléfono. Sólo podrás acceder a tu cuenta tras la verificación OTP.

Contraseña fuerte y dos factores, una gran combinación

Una de las preocupaciones de seguridad más comunes es que tu contraseña no es lo suficientemente fuerte. Pero esto es un mito.

Escribir las contraseñas en un trozo de papel o en un libro es el mayor problema. Como no son expertos en seguridad, utilizan palabras clave comunes o fechas de nacimiento como contraseñas. Si tienes una contraseña que conoce otra persona, ya no es segura. Por eso debes utilizar la autenticación de dos factores (2FA). Es una capa adicional de protección que significa que sólo tú puedes acceder a tu cuenta.

Estarás mucho más seguro si tienes una contraseña segura y utilizas la autenticación de doble factor (2FA). En comparación con alguien que utiliza una contraseña débil y desactiva la 2FA. Pero incluso si lo haces todo bien, sigue siendo posible que los piratas informáticos roben tu identidad. Las contraseñas débiles pueden ser pirateadas con sólo adivinarlas. También pueden revelar sus contraseñas si están en un trozo de papel o se envían por correo electrónico.

Los piratas informáticos que acceden a la cuenta del usuario pueden utilizar esa información para acceder a otras cuentas y sitios. Está muy extendido que puedan acceder a tus cuentas bancarias y páginas de comercio electrónico para hacer daño. Además, cuando los usuarios comparten sus contraseñas con amigos o familiares. Su información personal corre peligro porque cualquiera puede acceder a esas cuentas. Por ello, se recomienda integrar aplicaciones de autenticación móvil como Google Authenticator o Authy by Twilio en el desarrollo de páginas web y aplicaciones móviles.

Por qué todo el mundo debería utilizar dos factores o 2FA

Según un informe publicado, los dispositivos robados o perdidos se reutilizan como fuentes de contraseñas. Por tanto, las contraseñas seguras guardadas en dispositivos son la principal causa de filtración de datos. Así pues, las contraseñas siguen siendo la forma principal (o más sencilla) que tienen muchas empresas de salvaguardar a sus clientes. La mejor parte de la ciberdelincuencia en las noticias es que la conciencia 2FA está aumentando, y los usuarios están preocupados al compartir sus datos, incluso con las grandes corporaciones con las que tratan. Por lo tanto, las empresas se ven obligadas a adoptar la autenticación de dos factores además de las contraseñas seguras, y así las empresas han mejorado su seguridad.

Artículos destacados

From offline to online.

Comparte tus ideas con nosotros