También disponible en inglés.
Las contraseñas son la frágil barrera que previene los potenciales accesos no deseados a tus cuentas en plataformas digitales. En lo que se refiere a la protección de cuentas, la autenticación de dos factores es una de las defensas más efectivas disponibles en la actualidad.
La autenticación de dos factores (2FA, para resumir) fortalece tu seguridad al iniciar sesión solicitando información adicional, es un segundo elemento más allá de tu contraseña. Ese segundo dato es usualmente un código temporal entregado por un dispositivo que posees, como tu teléfono. Pero también puede ser algo de tu cuerpo, como tu huella dactilar.
También es posible que hayas oído hablar de esta medida de seguridad por otros nombres (autenticación multifactorial, verificación en dos pasos, etc). En esta guía nos quedaremos con 2FA.
¿Por qué deberías usar 2FA?
Cuando ocurren filtraciones de contraseñas a gran escala — y esto ocurre a menudo — las credenciales son usualmente vendidas o intercambiadas en mercados en línea y foros de piratería. Algunos atacantes acceden a cuentas por entretenimiento y otros por un incentivo económico. Generalmente, no hay una razón personal para ello. Sin embargo, en circunstancias excepcionales, los atacantes tienen un grupo o personas específicas en su punto de mira.
Las cuentas de correo suelen ser lo más valioso para los atacantes. ¿Por qué? Porque usas tu cuenta de correo para recuperar el acceso a otras cuentas en internet.
Aquí hay algunos ejemplos de cómo pueden piratear tus cuentas:
- Los atacantes adivinarán contraseñas cortas o predecibles.
- Luego de filtraciones de contraseñas a gran escala, los atacantes usarán secuencias de comandos automatizadas para intentar iniciar sesiones en varios sitios web con las mismas credenciales comprometidas. Esto te puede afectar si usas la misma contraseña en más de una cuenta.
- Los atacantes crearán páginas falsas de phishing para engañarte y hacer que entregues tus contraseñas. ¿Cómo? Usualmente enviarán un correo electrónico que simule venir de una fuente confiable (por ejemplo, Instagram), redirigiéndote a una página de inicio de sesión similar o idéntica a la del sitio web real, pero en este caso el sitio es falso y está bajo su control. Por esto, es sumamente importante prestar atención a la dirección de correo electrónico del remitente, así como a la URL y sobre todo al dominio del sitio web de la página de inicio de sesión.
- También hay casos de phishing dirigido contra personas u organizaciones específicas. A esto se le conoce como “spear phishing” en inglés (o pesca con arpón). Generalmente, el atacante hará su tarea previa, recopilando información que esté disponible de forma pública (por ejemplo, en redes sociales o registros públicos) para tener una buena excusa de envío del correo de phishing. Puede que intente hacerse pasar por un amigo o colega y dirigirte hacia una página de inicio de sesión creada por ellos. Aquí puedes leer como el Washington Post fue atacado con phishing en 2013.
Estos son ataques comunes que afectan a todos los servicios de correo electrónico. Para prevenirlo, activa la autenticación de dos factores en todas las cuentas que te lo permitan, pero especialmente en tus cuentas de correo electrónico. Comprueba si tu servicio o sitio web favorito es compatible con la 2FA en 2fa.directory (solo en inglés).
Métodos de 2FA
Existen algunos métodos sencillos y ampliamente compatibles para implementar 2FA en tus cuentas. No existe una forma “correcta” de uso y cada uno tiene consideraciones únicas en cuanto a seguridad y conveniencia.
Una buena opción: Mensajes de texto (SMS)
La mayoría de los servicios te permiten usar la mensajería de texto convencional como método de 2FA. Cuando te registras para iniciar una sesión en la que necesitas una contraseña, recibirás un código por mensaje de texto a tu teléfono móvil que te permitirá confirmar tu acceso.
La mensajería SMS es una forma sencilla de acceder a la 2FA, pero solo es tan confiable como lo es la red telefónica. Por ejemplo, si pierdes acceso a la red o viajas fuera del país, es posible que no puedas recibir mensajes SMS.
Para la mayoría de las personas, la 2FA basada en mensajería SMS es mucho más segura que solo usar una contraseña. Pero debido a que la infraestructura telefónica tiene sus propias vulnerabilidades, especialmente en contextos represivos, no es el método más seguro.
Una de las potenciales vulnerabilidades de la 2FA basada en mensajería SMS es el secuestro de SIM (SIM jacking, en inglés), donde el atacante busca engañar a la empresa de telefonía móvil para secuestrar tu número de teléfono y tener acceso a los mensajes SMS que te envíen.
https://web.archive.org/web/20230602230921/https://twitter.com/padaguan/status/1378562892581199872
https://web.archive.org/web/20230602231335/https://twitter.com/padaguan/status/1378562895970193409
Si bien esto puede parecer aterrador, es importante recordar que el pirata se ve obligado a esforzarse mucho más que si simplemente tuviera que ingresar tu contraseña.
Una mejor opción: Aplicaciones de autenticación
Comparadas con la 2FA basada en la mensajería SMS, las aplicaciones de autenticación son un poco más convenientes y mucho más seguras. Algunos servicios te permiten recibir un código temporal de inicio de sesión desde una aplicación móvil. Existen varias opciones gratuitas entre las que puedes elegir, como Google Authenticator, Authy, Duo Mobile y otras.
Algunos servicios y sitios web te permiten configurar múltiples aplicaciones de autenticación en la misma cuenta, lo que puede ser muy útil para obtener códigos de inicio de sesión cuando varias personas necesitan acceso. Las aplicaciones de autenticación también son convenientes porque funcionan aunque no tengas acceso a tu red telefónica (por ejemplo, durante viajes internacionales).
Además, a diferencia de la mensajería SMS, las aplicaciones de autenticación no pueden ser interceptadas en la red telefónica, convirtiéndolas en una opción más segura. Siempre que sea posible, considera usar una aplicación de autenticación en lugar de los mensajes SMS.
Sin embargo, al igual que las contraseñas pueden ser ingresadas en un sitio web fraudulento para robar tus credenciales de inicio de sesión, los códigos de autenticación también pueden ser ingresados en un sitio web falso o incluso obtenidos mediante técnicas de ingeniería social. Así que podemos hacer algo más seguro aún.
La mejor opción: Llaves de seguridad físicas
Actualmente, las llaves de seguridad son una de las formas más seguras y eficientes de 2FA. Una llave de seguridad es un dispositivo físico USB que puedes usar para autenticar el acceso a tu cuenta.
YubiKey es una de las opciones una de las opciones más populares y sus llaves comienzan a partir de $25.
Cuando se te solicite que proporciones tus credenciales de 2FA al iniciar una sesión, en vez de escribir un código, simplemente conectas tu llave de seguridad y presionas el botón físico con el cual vienen equipadas. Eso es todo. Las llaves de seguridad son bastante resistentes ante ataques de phishing, convirtiéndolas en una de las mejores opciones disponibles. A diferencia de la 2FA basada en códigos, los sitios de phishing no tienen una forma sencilla de interceptar la información de llaves de seguridad.
El mayor problema con las llaves de seguridad físicas es que, tan pronto pruebes una, querrás usarlas en todas tus cuentas. Y aún no son tan compatibles como las aplicaciones de autenticación. Pero el estándar está cobrando fuerza en la mayoría de grandes plataformas y ya pueden ser utilizadas para iniciar sesión en Google, Facebook, Twitter, Dropbox y otros servicios. Además, son compatibles con la mayoría de los navegadores más populares.
Así que, para resumir, aquí están nuestras tres opciones:
Usa cualquier método que esté disponible y sea conveniente para ti. Pero también ten en cuenta que dependiendo de tu contexto y análisis de riesgo, es recomendable que, siempre que sea posible, consideres utilizar una aplicación de autenticación o llaves de seguridad.
Activemos la 2FA
La 2FA se puede configurar en minutos. Por ejemplo, veamos cómo hacerlo en una cuenta de Gmail.
Primero, ve a la página de ajustes.
Ícono de cuenta (en la esquina superior derecha) > Administrar tu cuenta de Google > Seguridad > Acceso a Google > Verificación en 2 pasos > Comenzar
Primero debes registrar el dispositivo. Escribe tu número de teléfono. Recibirás un código de confirmación en tu móvil que debes ingresar en la página de registro. Si prefieres no usar tu número de teléfono y 2FA basada en la mensajería SMS, podrás eliminarlo después.
Luego de registrar tu dispositivo, ya puedes usar 2FA a través de la mensajería SMS.
Aplicaciones de autenticación
Para utilizar 2FA de forma más segura, activemos una aplicación de autenticación.
Primero, ve a la tienda de aplicaciones de Google o Apple y descarga una aplicación de autenticación, como Google Authenticator, Authy o Duo Mobile.
En la página de verificación en dos pasos, baja hasta “App del Autenticador”, selecciónala y presiona “Configurar un autenticador”. Para agregar una nueva cuenta a la aplicación, se te solicitará que escanees un código QR que aparecerá en tu pantalla. Escanéalo desde la aplicación con la cámara de tu teléfono. Luego de que aparezca el código en la aplicación, escríbelo en la página de configuración de tu cuenta.
Si tienes una aplicación de autenticación, no necesitarás usar el método basado en la mensajería SMS.
Llaves de seguridad
Una vez que compras tu llave de seguridad, como una YubiKey, es muy fácil configurarla.
Baja hasta el indicativo de “Llave de seguridad”, selecciónala y presiona “Agregar llave de seguridad”. Cuando se solicite, conecta la llave y presiona el botón con el cual vienen equipadas.
Luego, puedes asignar un nombre a la llave que acabas de registrar. Al iniciar sesión, en vez de escribir un código de 2FA, ahora puedes simplemente conectar y presionar el botón de tu llave.
Algunas laptops (por ejemplo, las Macbook 2016 y modelos más recientes) solo tienen puertos USB Tipo C (USB-C). Si no puedes usar puerto USB 2.0 o 3.0 tradicional, aún puedes usar llaves de seguridad con un adaptador USB-C compatible. Otra opción, aunque un poco más costosa, es comprar Yubikeys de Tipo C.
¡Estás listo! Empieza a usarla y ten en cuenta estos consejos
Si ya tienes una aplicación de autenticación o una llave de seguridad configurada, es probable que no necesites 2FA basada en la mensajería SMS. Si no es necesario, considera borrar tu número de teléfono.
Baja hasta “Mensaje de texto o de voz”, selecciónalo, presiona el ícono de la papelera y luego en “Quitar”.
Por último, incluso si perdemos nuestra llave de seguridad y aplicación de autenticación, aún podemos evitar perder el acceso a nuestras cuentas usando códigos de respaldo. Baja hasta la sección “Códigos de copia de seguridad”, selecciónalo y presiona “Obtener códigos de respaldo”.
Aparecerán una serie de códigos numéricos. Imprímelos, ya que si alguna vez pierdes el acceso a tus otros métodos de 2FA, necesitarás uno de estos códigos para poder ingresar a tu cuenta. Mantén estos códigos en un lugar seguro al que puedas acceder.
No te detengas aquí, además de activar 2FA implementa buenos hábitos para tener contraseñas seguras para mantener tus cuentas a salvo. ¿Quieres aprender más? Lee nuestra guía para elegir un gestor de contraseñas.