1. Casa
  2. Computación

¿Sirve realmente la autenticación de dos factores o no tanto?

Por

Cuando se introdujo por primera vez la autenticación de dos factores, revolucionó la seguridad del dispositivo y ayudó a que el robo de identidad fuera mucho más difícil, a un ligero costo de pequeños inconvenientes agregados a los inicios de sesión.

Pero no es perfecto, ni ha resuelto todos nuestros problemas de piratería y robo de datos. Algunas noticias recientes han proporcionado más contexto sobre cómo los hackers han estado eludiendo la autenticación de dos factores y erosionando parte de nuestra confianza en ella.

¿Qué es exactamente la autenticación de dos factores?

La autenticación de dos factores agrega una capa adicional de seguridad al proceso de inicio de sesión para dispositivos y servicios. Anteriormente, los inicios de sesión tenían un solo factor para la autenticación, por lo general, una contraseña o un inicio de sesión biométrico como un escaneo de huellas dactilares o Face ID, ocasionalmente con la adición de preguntas de seguridad. Eso proporcionó cierta seguridad, pero estaba lejos de ser perfecto, especialmente con contraseñas débiles o contraseñas autocompletadas (o si las bases de datos de inicio de sesión son pirateadas y esa información comienza a aparecer en la web oscura).

Recommended Videos

La autenticación de dos factores aborda estos problemas agregando un segundo factor, otra cosa que una persona tiene que hacer para garantizar que realmente son ellos y que tienen autoridad para acceder. Por lo general, eso significa que se le envía un código a través de otro canal, como recibir un mensaje de texto o correo electrónico del servicio, que luego debe ingresar.

Algunos usan códigos sensibles al tiempo (TOTP, Time-Based One Time Password), y otros usan códigos únicos asociados con un dispositivo específico (HOTP, HMAC-based One Time Password). Ciertas versiones comerciales pueden incluso usar claves físicas adicionales que debe tener a mano.

La función de seguridad se ha vuelto tan común que probablemente esté acostumbrado a ver mensajes como «Le hemos enviado un correo electrónico con un código seguro para ingresar, verifique su filtro de spam si no lo ha recibido». Es más común para los dispositivos nuevos, y aunque lleva un poco de tiempo, es un gran salto en la seguridad en comparación con los métodos de un solo factor. Pero hay algunos defectos.

Eso suena bastante seguro. ¿Cuál es el problema?

Recientemente salió un informe de la compañía de ciberseguridad Sophos que detalló una nueva y sorprendente forma en que los piratas informáticos se saltan la autenticación de dos factores: las cookies. Los malos actores han sido «robo de cookies», lo que les da acceso a prácticamente cualquier tipo de navegador, servicio web, cuenta de correo electrónico o incluso archivo.

¿Cómo obtienen estos ciberdelincuentes estas cookies? Bueno, Sophos señala que la botnet Emotet es una de esas piezas de malware que roban cookies y que se dirige a los datos en los navegadores Google Chrome. Las personas también pueden comprar cookies robadas a través de mercados clandestinos, que se hizo famoso en el reciente caso de EA, donde los detalles de inicio de sesión terminaron en un mercado llamado Genesis. El resultado fueron 780 gigabytes de datos robados que se utilizaron para tratar de extorsionar a la empresa.

Si bien ese es un caso de alto perfil, el método subyacente está ahí fuera, y muestra que la autenticación de dos factores está lejos de ser una bala de plata. Más allá del robo de galletas, hay una serie de otros problemas que se han identificado a lo largo de los años:

  • Si un hacker se ha apoderado de su nombre de usuario o contraseña para un servicio, es posible que tenga acceso a su correo electrónico (especialmente si usa la misma contraseña) o número de teléfono. Esto es especialmente problemático para la autenticación de dos factores basada en SMS / texto, porque los números de teléfono son fáciles de encontrar y se pueden usar para copiar su teléfono (entre otros trucos) y recibir el código de texto. Se necesita más trabajo, pero un hacker decidido todavía tiene un camino claro hacia adelante.
  • Las aplicaciones separadas para la autenticación de dos factores, como Google Auth o Duo, son mucho más seguras, pero las tasas de adopción son muy bajas. Las personas tienden a no querer descargar otra aplicación solo por motivos de seguridad para un solo servicio, y a las organizaciones les resulta mucho más fácil simplemente preguntar «¿Correo electrónico o texto?» en lugar de requerir que los clientes descarguen una aplicación de terceros. En otras palabras, los mejores tipos de autenticación de dos factores no se están utilizando realmente.
  • A veces, las contraseñas son demasiado fáciles de restablecer. Los ladrones de identidad pueden recopilar suficiente información sobre una cuenta para llamar al servicio de atención al cliente o encontrar otras formas de solicitar una nueva contraseña. Esto a menudo elude cualquier autenticación de dos factores involucrada y, cuando funciona, permite a los ladrones el acceso directo a la cuenta.
  • Las formas más débiles de autenticación de dos factores ofrecen poca protección contra los estados-nación. Los gobiernos tienen herramientas que pueden contrarrestar fácilmente la autenticación de dos factores, incluido el monitoreo de mensajes SMS, la coerción de los operadores inalámbricos o la interceptación de códigos de autenticación de otras maneras. Eso no es una buena noticia para aquellos que quieren formas de mantener sus datos privados de regímenes más totalitarios.
  • Muchos esquemas de robo de datos evitan por completo la autenticación de dos factores al centrarse en engañar a los humanos. Basta con mirar todos los intentos de phishing que pretenden ser de bancos, agencias gubernamentales, proveedores de Internet, etc., pidiendo información importante de la cuenta. Estos mensajes de phishing pueden parecer muy reales y pueden involucrar algo como: «Necesitamos su código de autenticación de nuestra parte para que también podamos confirmar que usted es el titular de la cuenta» u otros trucos para obtener códigos.

¿Debo seguir usando la autenticación de dos factores?

Absolutamente. De hecho, debe revisar sus servicios y dispositivos y habilitar la autenticación de dos factores donde esté disponible. Ofrece una seguridad significativamente mejor contra problemas como el robo de identidad que un simple nombre de usuario y contraseña.

Incluso la autenticación de dos factores basada en SMS es mucho mejor que ninguna. De hecho, el Instituto Nacional de Estándares y Tecnología una vez recomendó no usar SMS en la autenticación de dos factores, pero luego lo revirtió al año siguiente porque, a pesar de los defectos, todavía valía la pena tenerlo.

Cuando sea posible, elija un método de autenticación que no esté conectado a los mensajes de texto y tendrá una mejor forma de seguridad. Además, mantenga sus contraseñas seguras y use un administrador de contraseñas para generarlas para iniciar sesión si puede.

¿Cómo se puede mejorar la autenticación de dos factores?

Alejarse de la autenticación basada en SMS es el gran proyecto actual. Es posible que la autenticación de dos factores haga la transición a un puñado de aplicaciones de terceros como Duo, que eliminan muchas de las debilidades asociadas con el proceso. Y más campos de alto riesgo pasarán a MFA, o autenticación multifactor, que agrega un tercer requisito, como una huella digital o preguntas de seguridad adicionales.

Pero la mejor manera de eliminar los problemas con la autenticación de dos factores es introducir un aspecto físico basado en hardware. Las empresas y las agencias gubernamentales ya están empezando a exigir eso para ciertos niveles de acceso. En un futuro cercano, existe una buena posibilidad de que todos tengamos tarjetas de autenticación personalizadas en nuestras billeteras, listas para deslizar nuestros dispositivos al iniciar sesión en los servicios. Puede sonar extraño ahora, pero con el fuerte aumento de los ataques de ciberseguridad, podría terminar siendo la solución más elegante.

Recomendaciones del editor

Topics
Diego Bastarrica
News Editor
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Cómo borrar un disco duro en PC o Mac y proteger tus datos

Si crees que con “eliminar” en tu computadora todos tus archivos por medio de la Papelera de Reciclaje será suficiente para que nadie pueda tener acceso a tu información personal o laboral, estás equivocado. Es por ello que aquí te explicaremos cómo borrar un disco duro en PC o Mac adecuadamente. Si no lo haces, alguien más podría ver tus carpetas personales.
Te va a interesar:

Cómo instalar un SSD por ti mismo y acelerar tu laptop
Sin rastro: cómo destruir un disco duro
Cómo liberar espacio en el disco duro con Windows 10

Leer más
¿Cuánto duran los MacBooks? Cuándo tendrás que volver a comprar uno

Luke Larsen / Digital Trends
No hay duda de que las mejores MacBooks de Apple tienen una reputación de calidad duradera, pero ¿qué tipo de longevidad puedes esperar obtener de una? ¿Y cuánto tiempo seguirá dando soporte Apple a tu portátil? Por último, ¿cuáles son las diferencias entre el MacBook Air y el MacBook Pro?

Sin duda, estas son preguntas importantes a tener en cuenta al comprar una nueva MacBook o incluso al considerar una actualización. Aquí tienes todo lo que sabes sobre la longevidad de tu MacBook.
Vida útil del hardware de MacBook
Bram Naus / Unsplash
Uno de los factores más importantes en la vida útil de una MacBook es inmediatamente obvio cuando ves una por primera vez: su construcción de aluminio. A diferencia de algunos rivales que construyen sus computadoras portátiles con resmas de plástico, el marco totalmente metálico de una MacBook la hace increíblemente resistente y duradera. Es probable que otros componentes fallen mucho antes de que el chasis se desgaste.

Leer más
¿Qué es mejor: Dell Latitude o Inspiron?

Una de las mejores marcas de computadoras portátiles es Dell, por lo que elegir su próxima actualización de computadora portátil de su catálogo es una gran idea. Pero, ¿cómo diferenciar entre las diferentes gamas? XPS es increíble, pero también vale la pena considerar los Latitude e Inspirons más asequibles.

Algunos de los mejores modelos se encuentran definitivamente entre los mejores portátiles Dell que puedes comprar en 2024, así que echemos un vistazo a estas dos gamas icónicas para ver cuál es la mejor para ti: Dell Latitude o Dell Inspiron.
Diseño
Dell.com
Tanto las laptops Inspiron como las Latitude ofrecen una variedad de tamaños de dispositivos para elegir, pero las Inspirons ofrecen más opciones de tamaño en general. Las laptops Latitude vienen en tres tamaños: 13 pulgadas, 14 pulgadas y 15 pulgadas. Inspiron permite a los clientes elegir entre cinco opciones, desde 13 pulgadas hasta 17 pulgadas. Las laptops Inspiron más recientes solo vienen en dos estilos: laptops tradicionales o 2 en 1. La línea Latitude ofrece un poco más de variedad. Puede obtener uno de tres estilos: una PC desmontable estilo tableta, una concha o un 2 en 1.

Leer más