Hoy es el Día Mundial de la contraseña
Las contraseñas son la llave a la información digital. Por eso, durante años se habló de la importancia de protegerlas, dónde almacenarlas y buenas prácticas para crear contraseñas fuertes y seguras, evitando cometer alguno de los errores más comunes que puedan comprometerla.
Sin embargo, por más cuidado que se tenga, es posible que las contraseñas puedan ser expuestas en una filtración de información.
“Este tipo de acontecimientos es cada vez más frecuente. Tan solo en lo que va del año se han filtrado más de 1000 millones de cuentas provenientes de diferentes incidentes de seguridad, entre los que se destaca la reciente publicación de datos de 533 millones de usuarios de Facebook.”, comenta Cecilia Pastorino, investigadora de Seguridad Informática del Laboratorio de ESET Latinoamérica.
La contraseña no es la única forma de autenticarse frente a un sistema. De hecho, existen tres formas diferentes de hacerlo:
- A través de algo que sabemos, como la clásica contraseña, una palabra o pregunta secreta, etc.
- A través de algo que tenemos, como una tarjeta física, un certificado digital en un pendrive, un token físico o digital, un smartphone, etc.
- A través de algo que somos, es decir, a través de datos biométricos como la huella digital, el iris, el reconocimiento facial, etc.
En el proceso de autenticación tradicional se utiliza solo una de estas tres formas, generalmente la contraseña. La verificación en dos pasos -o multifactor- propone combinar dos métodos de autenticación de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la información.
La gran mayoría de los sistemas actuales aplican este principio para brindar una capa extra de protección a las cuentas de sus usuarios, combinando la contraseña (algo que sabes) con un token digital o código de acceso temporal que se recibe o generas en el teléfono (algo que se tiene).
Es decir que, tras introducir la contraseña habitual, se pedirá un código que se recibirá por SMS o a través de una app en el smartphone.
De esta forma, si un atacante obtuviese una contraseña -ya sea porque se ha sido víctima de un engaño o bien porque se ha filtrado en una brecha- no podrá finalizar la autenticación si no tiene acceso al teléfono donde recibir el código temporal.
Dependiendo del sistema o servicio donde se configure la autenticación en dos pasos, variará la forma en que se debe utilizar el smartphone para generar el código de acceso.
La mayoría de los servicios piden ingresar el número de teléfono en el cual se va a recibir un SMS para confirmar la configuración y luego cada vez que se inicie sesión.
Otra opción es asociar la cuenta con una app de autenticación, como Google Authenticator, Authy o ESET Secure Authentication. Estas aplicaciones se vinculan con el servicio a autenticar y funcionan como tokens digitales generando códigos aleatorios cada 1 minuto.
En algunos casos no se utiliza un código de acceso, sino que el usuario recibe un mensaje con una solicitud de autorización en su teléfono, la cual debe aceptar colocando además su huella digital.
En este caso, se aprovecha también el lector de huella de los teléfonos para utilizar las 3 formas de autenticación, ya que además de la contraseña y el teléfono el usuario debe verificar su huella.
A continuación, ESET comparte una lista con el paso a paso de cómo configurar la autenticación en dos pasos para algunos de los servicios más populares: Google, Yahoo, Microsoft (Live, Outlook, Hotmail, etc.), Facebook, Instagram, Twitter, Twitch y Tiktok.
Los servicios de mensajería también pueden configurarse con la verificación en dos pasos: WhatsApp, Telegram, Signal e incluso muchos herramientas para realizar videoconferencias o juegos online incluyen la misma, como es el caso de Zoom o Fortnite.
“Se demostró que la autenticación en dos pasos es la manera más efectiva para evitar el secuestro de las cuentas; sin embargo, muchos usuarios -e incluso empresas– no lo implementan por desconocimiento o falta de conciencia sobre los riesgos a los que están expuestos. Por lo tanto, si bien activar este mecanismo de seguridad es opcional, se debería considerar activarlo siempre para estar más protegidos y de esta manera no depender solamente de una contraseña.”, concluye Cecilia Pastorino, de ESET.
