Protege tus cuentas con 2FA antes de que te arrepientas

Fondo de fotografía creado por Pixabay

Millones de usuarios tenemos las cuentas expuestas en Internet y corremos el riesgo de convertirnos en víctimas de un robo de contraseñas. En la actualidad, ya no es suficiente usar con una contraseña difícil de adivinar, utilizar una diferente para cada cuenta o cambiarla cada mes.

Los hackers avanzan a pasos agigantados y han llegado, incluso, a robar contraseñas en el mismo momento en el que son introducidas, a través de virus. Los ataques de phishing también se han sofisticado mucho y cada vez es más fácil caer en un engaño.

Para aumentar la seguridad de las cuentas que manejamos online, es necesario establecer otra capa de protección. ¿Cómo lo hacemos? Con 2FA, la autenticación de dos factores.

¿Qué es 2FA?

2FA es la abreviatura utilizada para referirse a la “autenticación de dos factores”. Se trata de demostrar que somos propietarios de una cuenta a través de dos factores que lo evidencien.

Por ejemplo, un PIN recibido en el teléfono móvil, un link enviado al propio correo, una huella digital, una llave USB y el reconocimiento facial son algunos de los factores que sirven para verificar que somos los dueños de una cuenta.

Este método de verificación en dos pasos para controlar el acceso a una cuenta, suele utilizar dos elementos o factores clave: algo que se sabe (password) con algo que se posee físicamente (una llave USB, app en móvil, SMS en el móvil...).

Tipos de protección 2FA

Los métodos de 2FA más habituales utilizan una contraseña y uno de los canales más cotidianos para la mayoría de los usuarios como son los mensajes de texto, el correo electrónico, o un dispositivo externo TOTP.

El factor del mensaje de texto a través del móvil consiste en enviar un SMS con seis dígitos al número de teléfono registrado como propietario de la cuenta. También se puede enviar un correo electrónico a la dirección asociada a la cuenta con un código. Otra técnica muy frecuente es un pin de seis números que genera dinámicamente una aplicación especial como Google Authenticator en el teléfono móvil en propiedad del usuario.

Algunas app están usando las huellas dactilares para registrar y verificar el acceso a las cuentas. Otra forma de verificación “imposible” de hackear y usada en apps de banca digital principalmente.

En todos estos casos el objetivo final es verificar que somos los verdaderos propietarios de las cuentas introduciendo el código generado que suele permanecer activo durante unos pocos minutos o segundos.

Sin embargo, de estas tres vías de verificación nos quedamos con las aplicaciones TOTP, dado que el correo electrónico puede estar pirateado y en el caso del SMS la SIM ha podido ser duplicada.

Las aplicaciones TOTP más populares que se pueden consultar, descargar y utilizar son: Authy, LastPass Authenticator, Microsoft Authenticator y Google Authenticator.

Mención aparte, y en puesto número uno por seguridad, recomendamos siempre las USB Security Keys con las que trabajamos en Índole Digital para proteger el acceso a nuestras cuentas y la confidencialidad de los datos de nuestros partners y clientes. Estas llaves de seguridad se introducen en un puerto USB del ordenador donde iniciamos la sesión y son, hasta el momento, imposible de hackear. Para que un hacker entre en una cuenta de Índole debe robar la contraseña (cosa que puede ser fácil) y al mismo tiempo, la llave física que cada uno tenemos en nuestra posesión (cosa casi imposible).

Cuentas que se pueden proteger con 2FA

A continuación exponemos las cuentas más populares en las que puede habilitarse 2FA:

• Google: admite muchos métodos 2FA, entre ellos las USB Keys.

• Twitter: es de las cuentas que con mayor frecuencia están comprometidas en Internet.

• Facebook: se trata de una de las cuentas más atractivas para los hackers dado que recoge los datos de más de dos millones de personas.

• Instagram.

• Amazon: dispone de varios métodos de pago avanzados y es, por lo tanto, un gran objetivo para los ladrones de contraseñas.

• Reddit

• Microsoft (Xbox)

• Estación de juegos: los estafadores también están pendientes de los jugadores. En el caso de Sony solo se admiten los mensajes de texto como método 2FA.

• Nintendo: la empresa recomienda habilitar Google Authenticator para generar códigos TOTP y bloquear el acceso de piratas en sus sistemas Switch, Wii o sus aplicaciones móviles.

• Administrador de contraseñas: habilitar 2FA para el propio administrador de contraseñas (1Password, LastPass o Dashlane) no es ninguna locura, más bien todo lo contrario porque es el guardián de todas ellas.

• Cuentas bancarias: todo tu dinero puede ser robado si no proteges adecuadamente tanto tus cuentas bancarias como las tarjetas de crédito o los servicios de negociación de acciones. Al tratarse de ser el escenario perfecto para los ataques de phishing, muchas compañías bancarias ya disponen de sus propias verificaciones en dos posas por defecto.

En todas estas cuentas el procedimiento para instalar 2FA es diferente, si bien cada una de ellas pone a disposición del usuario una guía de ayuda con todos los pasos a seguir.

Los altavoces inteligentes también son hackeados

Google Nest obliga a activar 2FA desde que el pasado mes de enero saliera a la luz un incidente, relacionado con la privacidad, que había tenido lugar a través de un dispositivo de Xiaomi.

Se trata del caso de un usuario de Xiaomi que aseguró haber visto la casa de un extraño cuando estaba utilizando Google Nest Hub. Xiaomi argumentó que se trató de un error a la hora de actualizar el sistema y Google decidió deshabilitar el acceso a estos dispositivos como medida preventiva.Con la activación obligatoria del 2FA, Google Nest quiere ahorrarse sustos como los que se puede llevar Alexa, expuesta a ser hackeada a través de ataques de audio (consulta este  artículo de Digital Trends si quieres saber más información).

USB Security Keys contra el phishing

En Índole Digital ofrecemos un servicio de asesoramiento en el que explicamos a nuestros partners la importancia de mantener protegidas sus cuentas y contraseñas. Por todas sus ventajas, nuestra recomendación es siempre que se adquieran y configuren USB Security Keys para proteger los accesos a las cuentas de cada trabajador con acceso a información sensible.

Se trata de una de las principales medidas de seguridad existentes contra los hackers. Principales características:

• Autentificación fuerte.

• Sin contraseña: clave de seguridad de hardware (el protocolo FIDO2 es compatible con el autenticador de dos factores y combate el problema de las contraseñas débiles).

• Fácil, rápido y fiable: este sistema de autentificación es sencillo de usar para los usuarios y muy intuitivo (basta con introducirlo en el ordenador vía USB y tocar para firmar). 

• Reduce los riesgos: la probabilidad de sufrir un incidente con nuestras contraseñas se reduce un 99%.

• Seguro: se fabrica en Estados Unidos y Suecia y se empaqueta para que no pueda ser manipulado.

• Líder de la industria: las principales empresas tecnológicas del mundo lo utilizan dada su confianza y capacidad.