Expertos recomiendan el uso del doble factor de autenticación para redes sociales y smartphones

Fecha:

Comparte:

Hoy es el Día Mundial de la contraseña

Las contraseñas son la llave a la información digital. Por eso, durante años se habló de la importancia de protegerlas, dónde almacenarlas y buenas prácticas para crear contraseñas fuertes y seguras, evitando cometer alguno de los errores más comunes que puedan comprometerla.

Sin embargo, por más cuidado que se tenga, es posible que las contraseñas puedan ser expuestas en una filtración de información.

“Este tipo de acontecimientos es cada vez más frecuente. Tan solo en lo que va del año se han filtrado más de 1000 millones de cuentas provenientes de diferentes incidentes de seguridad, entre los que se destaca la reciente publicación de datos de 533 millones de usuarios de Facebook.”, comenta Cecilia Pastorino, investigadora de Seguridad Informática del Laboratorio de ESET Latinoamérica.

La contraseña no es la única forma de autenticarse frente a un sistema. De hecho, existen tres formas diferentes de hacerlo:

  • A través de algo que sabemos, como la clásica contraseña, una palabra o pregunta secreta, etc.
  • A través de algo que tenemos, como una tarjeta física, un certificado digital en un pendrive, un token físico o digital, un smartphone, etc.
  • A través de algo que somos, es decir, a través de datos biométricos como la huella digital, el iris, el reconocimiento facial, etc.

En el proceso de autenticación tradicional se utiliza solo una de estas tres formas, generalmente la contraseña. La verificación en dos pasos -o multifactor- propone combinar dos métodos de autenticación de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la información.

La gran mayoría de los sistemas actuales aplican este principio para brindar una capa extra de protección a las cuentas de sus usuarios, combinando la contraseña (algo que sabes) con un token digital o código de acceso temporal que se recibe o generas en el teléfono (algo que se tiene).

Es decir que, tras introducir la contraseña habitual, se pedirá un código que se recibirá por SMS o a través de una app en el smartphone.

De esta forma, si un atacante obtuviese una contraseña -ya sea porque se ha sido víctima de un engaño o bien porque se ha filtrado en una brecha- no podrá finalizar la autenticación si no tiene acceso al teléfono donde recibir el código temporal.

Dependiendo del sistema o servicio donde se configure la autenticación en dos pasos, variará la forma en que se debe utilizar el smartphone para generar el código de acceso.

La mayoría de los servicios piden ingresar el número de teléfono en el cual se va a recibir un SMS para confirmar la configuración y luego cada vez que se inicie sesión.

Otra opción es asociar la cuenta con una app de autenticación, como Google Authenticator, Authy o ESET Secure Authentication. Estas aplicaciones se vinculan con el servicio a autenticar y funcionan como tokens digitales generando códigos aleatorios cada 1 minuto.

En algunos casos no se utiliza un código de acceso, sino que el usuario recibe un mensaje con una solicitud de autorización en su teléfono, la cual debe aceptar colocando además su huella digital.

En este caso, se aprovecha también el lector de huella de los teléfonos para utilizar las 3 formas de autenticación, ya que además de la contraseña y el teléfono el usuario debe verificar su huella.

A continuación, ESET comparte una lista con el paso a paso de cómo configurar la autenticación en dos pasos para algunos de los servicios más populares: Google, Yahoo, Microsoft (Live, Outlook, Hotmail, etc.), Facebook, Instagram, Twitter, Twitch y Tiktok.

Los servicios de mensajería también pueden configurarse con la verificación en dos pasos: WhatsApp, Telegram, Signal e incluso muchos herramientas para realizar videoconferencias o juegos online incluyen  la misma, como es el caso de Zoom o Fortnite.

Se demostró que la autenticación en dos pasos es la manera más efectiva para evitar el secuestro de las cuentas; sin embargo, muchos usuarios -e incluso empresas– no lo implementan por desconocimiento o falta de conciencia sobre los riesgos a los que están expuestos. Por lo tanto, si bien activar este mecanismo de seguridad es opcional, se debería considerar activarlo siempre para estar más protegidos y de esta manera no depender solamente de una contraseña.”, concluye Cecilia Pastorino, de ESET.

Para contactarnos escribe a nuestro correo editorial [email protected]
Recibe la actualización diaria de noticias a través de nuestro Grupo WhatsApp 
Twitter | Instagram

━ más como esto

En fotos: Cristo Redentor de Río se iluminó con la bandera de Venezuela en homenaje a las víctimas de los terremotos

El Cristo Redentor de Río de Janeiro, símbolo mundial de fraternidad y la imagen más representativa de Brasil, se iluminó este jueves con una...

Sistema Patria inicia registro especial para canalizar ayuda a viviendas afectadas por sismos

El Sistema Patria activó desde el jueves 2 de julio un registro especial para conocer el nivel de daño que sufrieron las viviendas de...

Ministerio Público imputó tres delitos a funcionarios del CICPC detenidos en La Guaira por hurtar dólares

Los cuatro funcionarios del Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC) que fueron expulsados de la institución por hurtar dólares en la zona...

Gustavo Duque propone «apadrinamiento» de privados para recuperar edificios en Chacao

El alcalde del municipio Chacao, Gustavo Duque, anunció un plan junto a la empresa privada e inversores para recuperar los edificios impactados por los...

Bloomberg: Aumentó el rechazo a Delcy Rodríguez en junio por respuesta ante los terremotos en Venezuela

La mandataria Delcy Rodríguez enfrenta un creciente costo político tras los dos terremotos de la semana pasada: casi la mitad de los venezolanos considera...