Quizas conozcas la autenticación en dos factores, pero hay un paso crucial que probablemente aún te falta dar.
En este punto, espero que sepas que la autenticación de dos factores (2FA) es una necesidad absoluta para mantenerse seguro en Internet. Al configurar tus cuentas para que requieran un código adicional al momento de iniciar sesión, te proteges del constante y creciente azote en el robo de información.
Si bien es cierto que la verificación en dos factores es importante, hay una buena manera de hacerlo, pero existe una mejor forma de lograrlo. La mayoría de servicios en línea lo intentan enviando mensjaes de texto con un código de verificación, pero esto no es tan infalibe como se podría creer.
2FA es esencial y debes activarlo.
Cuando accedes a Twitter o Facebook y escribes debidamente tu contraseña, estás realizando algo que podría describirse como autenticación de un factor. De alguna manera estás demostrando que eres quien dices ser introduciendo una clave secreta que, teóricamente, solo tú debes saber: tu contraseña. Aunque si alguna vez te han pirateado, sabes que no siempre es así.
Con la autenticación de dos factores, estás agregando una complicación adicional blindando tus accesos. “Dicho de forma sencilla es poner una segunda capa adicional de seguridad”. “Así las apllicaciones se aseguran de que la persona que intenta ingresar no es solo un robot”.
Un segundo factor puede ser múltiples cosas. Puede ser algo que verifique que eres tú, como una huella digital o el escaneo de retina. O puede ser algo que poseas, como una clave física. En el caso de 2FA basado en SMS, demuestras que estas en poseción de tú teléfono al proporcionar el código “especial” que se te envía.
Los mensajes de texto están lejos de ser seguros.
“La mayoría de la gente usa SMS hoy porque no requiere descargar nada adicional”. “Pero los SMS son susceptibles a ataques de intermediario“.
La estafa funciona así: tengo tu contraseña y quiero entrar en tu cuenta, pero tienes activada la 2FA basada en SMS. ¿Ahora que? Bueno, averiguo tu número de teléfono y proveedor de telefonía, llamo a la línea de soporte fingiendo ser tú, les digo que perdí mi teléfono y que necesitan cambiar el número por uno nuevo. Es una técnica conocida como “intercambio de SIM”.
¿Suena descabellado? Absolutamente no lo es. “El año pasado ocurrió un caso de muy alto perfi”. “El director ejecutivo de Twitter, Jack Dorsey, fue pirateado, su cuenta de Twitter fue pirateada porque sus códigos 2FA se enviaban por SMS“.
¿Crees que estás a salvo solo porque no eres una persona pública? Pues tampoco. Los mensajes SMS son inseguros por la naturaleza misma de la red a la que se envían. Un equipo cuasi legal especializado, conocido por ser ampliamente utilizado por las fuerzas de seguridad, puede obtener textos de forma masiva. “Eso ni siquiera requiere de ingeniería social o ‘intercambios de SIM’ a los que son propensos los ataques de alto perfil”.
Las aplicaciones de autenticación son más seguras y funcionarán sin Internet ni servicio.
En lugar de enviarte un mensaje secreto que luego debes enviar de regreso, las aplicaciones de autenticación funcionan generando dos códigos coincidentes, uno en Twitter o Instagram o en los servidores de Gmail y uno en su teléfono. Al usar un número secreto que la aplicación y el servicio compartieron cuando se configuró 2FA por primera vez, cierta información disponible públicamente como la hora del día y un algoritmo matemático, tanto la aplicación como el servicio pueden generar de forma independiente un código idéntico sin necesidad de comunicarse entre la app y los servicios donde tienes tus cuentas. De esta forma el código no puede ser interceptado porque se crea en tú teléfono y no enviado a el.
Y ese no es el único beneficio. “Ni siquiera importa si tú dispositivo está sin señal”. “Porque en realidad no se envía nada, por lo tanto la información no queda expuesta”.
Las aplicaciones de autenticación también son mejores que los SMS.
Hay una gran cantidad de aplicaciones de autenticación que funcionan de acuerdo con este principio básico, incluido Google Authenticator, Microsoft Authenticator. Pero hay algunos factores que distinguen a Authy. El primero, y el que me atrajo hacia él en primera instancia, es que es independiente de cualquier plataforma o empresa grande de tecnología.
El único enfoque de esta aplicación es la autenticación, esto les da la ventaja para innovar mucho más rápido. Además tienen una gran comunidad de desarrolladores que son tremendos fans y aliados.
Hay una razón para usar Authy es que puedes tener una copia de seguridad de tu cuenta. Un riesgo con 2FA es que si pierde su teléfono, puede quedar bloqueado permanentemente de las cuentas que están vinculadas a él.
Como resultado, Authy ofrece agrupar todas sus cuentas, respaldarlas en la nube y protegerlas con una única contraseña segura. De esa manera, si pierde o cambia su teléfono, no se quedará sin posibiliades de volver a ingresar a sus cuentas.