A inicios de 2017, Google hizo obligatorio el uso de llaves de seguridad, o 'Security Keys', para todos y cada uno de sus 85.000 empleados. Ahora, la compañía menciona que gracias a esto, en todo este tiempo ninguno de sus trabajadores ha sido víctima de 'phishing', es decir, tanto su información personal como la que manejan de la empresa se ha mantenido segura.
Hoy día, el uso de los métodos de autenticación de dos factores (2FA) son casi un requisito indispensable para hacer uso de servicios online. Pues Google decidió llevar esto a un paso adelante, ya que estas 'Security Keys' hacen que la seguridad dependa de dos factores: algo que la persona se sabe de memoria y algo que posee físicamente.
'Security Keys'
El 'phishing' se ha vuelto un problema grave para las compañías, ya que son la puerta de acceso más débil para obtener datos e información confidencial de las empresas. Por ello, ahora se pide que los métodos de seguridad sean también más sofisticados.
En la actualidad, los métodos 2FA se basan ya sea en SMSs o llamadas, aunque también tenemos aquellos que utilizan aplicaciones para generar un token vía software, como Google Authenticator o Authy. El problema aquí es que esto métodos son digitales y, según Google, esto hace que sean vulnerables y no tan seguro como pensamos, ya que hoy día es posible interceptar estos mensajes, "clonar" la SIM Card o bien, crackear las aplicaciones generadoras de tokens.
Ante esto, Google adoptó desde inicios de 2017 las 'Security Keys', que son dispositivos USB que parten de los 20 dólares y que están disponibles en una amplia variedad de formatos, que van desde USB-A, USB-C, NFC y hasta para dispositivos móviles. Yubico es la compañía más popular para este tipo de dispositivos, los cuales están disponibles ya sea desde su sitio web, o en tiendas como Amazon.
Este dispositivo es, literalmente, una llave para acceder nuestros servicios en línea y se basa en el método de autenticación multifactor conocido como 'Universal 2nd Factor' (U2F), que hace que el usuario pueda completar el proceso de inicio de sesión insertando el dispositivo USB y presionando un botón en el mismo dispositivo. La ventaja es que funciona sin necesidad de ningún controlador o software especial.
Sin embargo, hasta el momento no todos los servicios online han adoptado este método U2F, por lo que aquí sólo tenemos a Dropbox, Facebook, Github y, obviamente, todos los servicios de Google. Un punto importante, y que ha ocasionado un incremento en su adopción, es que este método también ya es compatible con plataformas de administración de contraseñas, como Dashlane, Keepass, LastPass y Duo Security, lo que hace que sea viable mientras más compañías lo implementan en sus servicios.
Actualmente, U2F es compatible con navegadores Chrome, Firefox y Opera, dejando fuera a Edge de Microsoft y Safari de Apple. Aunque hay que mencionar que U2F no está habilitado por defecto en los navegadores, por lo que se requiere que el usuario lo active de forma manual.
En 2016, Google encontró que la autenticación de dos factores basada en aplicaciones o mensajes de texto, también conocida como "contraseña de un solo uso", tenía una tasa media de fallos del 3%, mientras que U2F, o el uso de 'Security Key', tenía una tasa de fallos de 0%, lo que fue determinante para su adopción a inicios de 2017 y que a día se mantiene como su método de seguridad principal.
En Genbeta | Por qué no debes confiar en la autenticación en dos pasos a través de SMS
Ver 26 comentarios