CERT-PY
Auntenticación Doble Factor

Es posible que más de una vez nos hayamos preguntado si mientras estamos accediendo a nuestro servicio de banca online, este es seguro o por el contrario estamos siendo espiados de alguna manera. Para esta pregunta, tenemos la respuesta: Autenticación de doble factor

El uso de la dupla usuario/contraseña en el uso de sistemas informáticos es algo a lo que estamos acostumbrados, lleva tanto tiempo entre nosotros que ya no se le presta la debida atención. Esto hace que los ciberdelincuentes centren sus esfuerzos en obtener contraseñas de acceso a sitios críticos, aprovechando que hemos bajado la guardia.

Actualmente, según diversos estudios, casi el 80% de los ciberataques se centran en el uso de contraseñas inseguras, de hecho se estima que una gran parte de las contraseñas que circulan por la red podrían ser descifradas por un atacante en un tiempo que va desde tan solo unos segundos hasta unas 2 horas.

Con estas cifras, deberíamos plantearnos seriamente al menos 2 cosas:

  • Utilizar sistemas de autenticación complementarios
  • Uso de contraseñas robustas

De las contraseñas robustas ya hemos hablado anteriormente, siendo una de las primeras barreras defensivas contra los ataques de los ciberdelincuentes, pero centrémonos en los sistemas de autenticación complementarios.

Aparte de usuario y contraseña, actualmente una gran mayoría de sitios ya ofrecen la llamada “Autenticación de doble factor”.

¿En qué consiste?

Podríamos definirla como el proceso de seguridad por el cual un usuario debe confirmar su identidad de al menos 2 maneras diferentes. Este método de identificación segura se basa en autenticar a una persona por varios métodos que pueden ser usados simultáneamente:

  • Algo que Sabes: Implica información conocida solo por el usuario, como una contraseña o un PIN.
  • Algo que Tienes: Involucra posesiones físicas del usuario, como un generador de claves o una tarjeta de coordenadas.
  • Algo que Eres: Se relaciona con características biométricas únicas del usuario, como la huella dactilar o el reconocimiento facial.

A medida que añadimos capas, mejoramos la seguridad, haciendo que sea más difícil para un atacante hacerse con información sensible. Hablamos de la autenticación de múltiples factores.

¿Qué debemos proteger con la Autenticación Doble Factor?

Por lo general todos aquellos servicios o herramientas que tengan acceso a información sensible, como cuentas de correo, banca online, acceso a redes sociales, sitios web o portales de agencias de viajes o reservas online, archivos en la nube y en general, cualquier plataforma que usemos donde figure información sensible que pueda resultar comprometida.

¿Cómo se utiliza?

Existen diferentes formas de llevar a cabo la autenticación de doble factor, algunas de las más usuales pueden ser:

  • Uso de memorias autenticadoras USB, apps generadoras de códigos de seguridad temporales.
  • Datos concretos que solo conozcamos nosotros, como el PIN o la respuesta a pregunta de seguridad.
  • Medidas biométricas, como el uso de huella dactilar, reconocimiento facial, de voz, etc…

Por lo general, actualmente la mayoría de proveedores de cuentas de correo ya permiten activar esta opción en sus ajustes, aun así, existen diversas aplicaciones que ofrecen el servicio de autenticación en 2 pasos y son en su mayoría gratuitas. Estas aplicaciones permiten generar códigos para poder acceder a distintos servicios.

Por otro lado, el uso de memorias USB destinadas a la autenticación también es útil, ya que se trata de dispositivos específicos para esta función a los que además el atacante debería tener acceso físico. Existen en el mercado diversos fabricantes de este tipo de medios válidos para ordenadores, teléfonos móviles y tablets.

Autenticación de doble factor Vs Verificación en dos pasos.

Es frecuente confundir estos 2 sistemas por su parecido, pero la gran diferencia es que, por lo general, en la verificación en 2 pasos se envía un código de seguridad por SMS que puede ser interceptado. El mensaje SMS no cumple los requisitos de seguridad de la autenticación de doble factor, ya que no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es, sino algo que envían.

Actualmente se encuentra desaconsejado su uso ya que un tercero podría suplantar al remitente enviando mensajes enfocados a obtener información (o incluso si alguien tiene acceso al dispositivo, le será fácil ver el código de verificación y acceder al servicio).

Ejemplo de ingeniería social para obtener el código de verificación enviado por SMS:

“Recientemente hemos recibido un intento sospechoso de inicio de sesión en su cuenta de correo X, desde la dirección IP: X, ubicación: X, si no has intentado iniciar sesión desde esa ubicación y quieres bloquear la cuenta temporalmente, responde a este mensaje con el código de 6 dígitos que recibirás en breve…

Por el contrario, en la autenticación multifactor haría falta verificar mediante huella dactilar, reconocimiento facial u otros medios físicos que realmente somos la persona autorizada a acceder. Esto no garantiza totalmente la seguridad, pero hace más difícil para un atacante tomar el control, además los códigos generados por la app son temporales y de duración lo suficientemente corta para poder evitar ataques aunque cayese en sus manos.

En una empresa u organización

Implementar la autenticación de doble factor en los equipos y cuentas de acceso organizacional es una estrategia altamente efectiva para prevenir ataques a información sensible que podrían comprometer los datos de la empresa u organización. Esta medida no solo limita el acceso de los empleados a información crítica mediante dispositivos específicos de la organización, sino que también fomenta una mayor conciencia sobre la importancia de seguir prácticas de seguridad sólidas. Esta concientización, sin duda, fortalecerá la seguridad en toda la organización.

La activación de la autenticación de doble factor (2FA) juega un papel crucial en la salvaguarda de nuestras cuentas en línea. Un ejemplo destacado es la herramienta Google Authenticator, proporcionada por Google, que se revela como una herramienta fundamental para fortificar la seguridad de nuestras cuentas. Además, existen diversas herramientas generadoras de códigos de verificación que contribuyen significativamente a este esfuerzo de protección. Aquí te dejamos el paso a paso de como utilizar la herramienta Google Autenticator.

Esta medida de seguridad adicional es esencial porque, en caso de que tu contraseña sea comprometida, el acceso no autorizado aún se encuentra impedido sin la segunda forma de autenticación. La 2FA actúa como un escudo protector contra el robo de identidad, ataques de phishing y acceso no autorizado a cuentas sensibles.

A partir de este momento, garantizar el acceso a servicios en línea que contienen información sensible se vuelve no solo más sencillo, sino también significativamente más seguro, gracias a la implementación de esta medida de seguridad adicional.

Copyright © 2024