Las continuas amenazas de seguridad a las que nos vemos expuestos en nuestro uso de servicios online ha hecho que el tradicional binomio usuario/contraseña para autenticarnos en ellos no sea suficiente. La autenticación en dos pasos llegó para asegurar esas transacciones, pero este mecanismo no es infalible.
De hecho el sistema más popular para completar ese proceso de verificación de identidad es el envío de un mensaje SMS, pero como explican los expertos, este sistema no está exento de problemas de seguridad. Afortunadamente hay otras alternativas: te descubrimos las más destacadas.
Los SMS son (mucho) mejor que nada
Aunque como veremos a continuación los sistemas de verificación en dos pasos que dependen de los mensajes SMS no son la panacea, son mucho mejores que no activar esa verificación en dos pasos.
La razón es simple: cuando no usas uno de estos sistemas, si alguien quiere robarte tus datos "solo" necesitará recabar tu usuario y contraseña. Con la autenticación en dos pasos basada en SMS, necesitará tu usuario, tu contraseña y acceder a tus mensajes de texto para poder suplantar tu identidad.
Es lo que hacen los ciberatacantes con técnicas como la llamada 'intercambio de SIM' (SIM swap) en la cual alguien logra los datos necesarios para hacerse pasar por ti y, con algo de ingeniería social, lograr que tu operadora móvil redirija tu número de móvil a otro. Hace tiempo que este tipo de técnicas se usan en países como el Reino Unido, donde un ciberatacante logró datos bancarios de su víctima a través de técnicas de phishing para luego utilizarlos para lograr redirigir su número a otro bajo su control. A partir de ahí el acceso a sus cuentas fue factible.
Tampoco ayuda el saber que los mensajes SMS se pueden interceptar gracias a que entre otras cosas el sistema de conexión SS7 en el que se basan las comunicaciones móviles es vulnerable a ciertos ataques, y gracias a ello es posible capturar esos mensajes y que el ciberatacante suplante nuestra identidad para lograr acceso a esos servicios protegidos con verificación en dos pasos vía SMS.
Google Authenticator, una gran opción
Para evitar ese tipo de amenazas lo ideal es evitar que alguien pueda "engañar" a nuestra compañía telefónica, y ahí es donde entran servicios como Google Authenticator (Google Play, App Store), cuya aplicación móvil es una excelente alternativa para este tipo de escenarios.
Hay otras muy similares como Authy (Google Play, App Store) que incluso ofrecen aún más opciones (es compatible con Google Authenticator, por ejemplo), y en ambos casos la idea es la misma: la aplicación genera un código en nuestro dispositivo cada pocos segundos, y ese "token" es el que sirve para iniciar sesión en el servicio que hayamos configurado con este sistema de verificación en dos pasos.
No todos los servicios que permiten la verificación en dos pasos son compatibles con estos sistemas y nos relegan a los SMS, pero cada vez más ofrecen este sistema que mejora de forma notable la seguridad de nuestras cuentas.
Nuestra recomendación, desde luego, es que siempre uséis este método aunque se limite a los mensajes SMS. Teniendo en cuenta que los robos masivos de contraseñas están a la orden del día, esa capa extra de seguridad os hará respirar (un poco) más tranquilos ante este tipo de amenazas.
Vía | HowtoGeek
En Xataka | Así funciona la tecnología con la que Google quiere matar las contraseñas, Trust Score
Ver 8 comentarios
8 comentarios
Julio Alonso
Mejor que el authenticator o que la app de Google es usar una llave USB de seguridad: https://security.googleblog.com/2014/10/strengthening-2-step-verification-with.html. Entre otras cosas comprueba que estés conectándote a la url correcta y que no sea una falsa que se hace pasar por ella.
apertotes
El tema de la seguridad online va a tener que dar un salto en algún momento. Las típicas recomendaciones de toda la vida (no repetir contraseñas en distintos servicios, no usar contraseñas simples, etc.) ya no sirven para nada. No se puede pedir a la gente que recuerde 15 contraseñas distintas y menos aún respetando las condiciones que ponen en muchos sitios (mayúsculas y minúsculas, más de 6 dígitos, menos de 10 caracteres, con números, etc.).
Cada vez tenemos cosas más importantes protegidas por contraseñas cada vez más difíciles de recordar.
Espero que la seguridad biométrica se muestre lo suficientemente fiable, porque no veo otra salida a día de hoy.
Flycow
Google Authenticator NO. No solo que no requiere contraseña de acceso, sino que como pierdas el móvil pierdes todo. Es mucho mejor Authy, que no solo permite proteger con huella dactilar sino que también permite sincronizar con la nube.
Nacho
Si tienes un dispositivo iOS y usas un segundo factor de autenticación, en este caso SMS, una buena protección es que no se previsualicen las notificaciones de los SMS con el dispositivo bloqueado. Es sencilla pero muy útil.
bahamuth
Lamentándolo mucho si alguien quiere obtener tus datos los va a obtener de una forma u otra, por mucho que nos protejamos la tecnología de la seguridad siempre está un paso por detrás de los hakers más expertos.
Porque ? pues muy fácil se protege de amenazas conocidas es decir ataques ya hechos anteriormente, pero y qué pasa con nuevas técnicas? Ahun no han parcheado los antivirus y las protecciones porq simplemente no las conocen. Tal es el caso de Movistar como un código muy fácil de proteger como poner una url que te redirige a una web ya lo solucionaba y con toda la seguridad informática que tienen como los atacaron y tuvo tantas implicaciones.
La mejor forma de protegerse es lo que no está en internet si no quieres que te hakeen una foto pues no la subas a internet quédatela para ti y tus amigos y ya olvídate del Facebook o por lo menos no pongas toda tu vida en el como hace mucha gente, el Twitter lo mismo no pongas todo lo que haces y mantén una privacidad tú mismo sin depender de un sistema que te proteja porq tarde o temprano fallara
Ahora con esto de las nubes donde se está subiendo todo hasta las grandes empresas están migrando a trabajar con estos sistemas Dios ampare a los afectados cuando venga un haker y haga un ataque y tenga éxito