Los ciberdelincuentes están a la que salta. Los casos de phishing y ransomware no paran de crecer, y los usuarios finales cada estamos más expuestos a que nos roben datos e incluso dinero. Las contraseñas no suelen bastar, pero afortunadamente hace tiempo apareció un sistema para aumentar la seguridad de nuestras cuentas: la autenticación en dos pasos o 2FA.
Google ha sido una de las grandes defensoras de este sistema, y ahora está comenzando a forzar su uso: comenzarán a hacerlo con 150 millones de usuarios, y aunque eso pueda resultar molesto para muchos de ellos, lo hacen por nuestro bien. De hecho hay quien piensa —quien suscribe, por ejemplo— que la autenticación en dos pasos debería ser obligatoria en muchos servicios.
¿Qué es 2FA?
A estas alturas la mayoría de nuestros lectores ya conocen bien este sistema de autenticación multifactor. Es en realidad una versión derivada de esos sistemas, y en la autenticación de dos pasos o dos factores (se usan ambos acrónimos, 2SV - Two Step Verification y 2FA - Two Factor Authentication) se obliga a presentar dos o más evidencias de que eres quien dices ser.
Para entrar en tu cuenta con 2FA habrá ahora dos pasos: en el primero se pide el usuario y contraseña, como siempre. En el segundo tendrás que introducir un código o PIN que te llegará al móvil por SMS o a la aplicación de autenticación que elijas, como Google Authenticator.
Normalmente hay tres grandes factores que se manejan en estos sistemas:
- Algo que sabes: por ejemplo una contraseña o un PIN.
- Algo que tienes: como una tarjeta de coordenadas.
- Algo que eres: como tu huella dactilar.
El ejemplo más claro de un sistema de autenticación en dos pasos es el del cajero del banco, que obliga a que 1) introduzcas la tarjeta de crédito (o la acerques al lector con tecnología contactless), que es algo que tienes, y luego 2) que introduzcas tu PIN, que es algo que sabes.
Hay otros factores que pueden entrar en juego en este ámbito como la localización —si no estás en cierto área no se te permite logarte— o la fecha y hora en la que intentas el acceso, pero los tres factores comentados son los más utilizados.
La vida es mejor (o al menos, más segura) con 2FA
Al usar 2FA añades otra capa de seguridad entre tus datos y un potencial atacante. La idea es similar a la que uno plantea en su casa cuando pone una alarma y algún sistema de seguridad: el cerrojo de la puerta sería la contraseña, y lo demás que pones para protegerla es una capa de seguridad adicional.
Como siempre, hay un delicado equilibrio entre seguridad y comodidad. Uno no pone en su casa sistemas de seguridad con escáneres de retina y códigos de 20 dígitos, porque eso haría bastante incómodo entrar y salir de forma frecuente. Lo normal es usar simplemente un PIN de 4 dígitos para desconectar o conectar la alarma y hacer que esa capa de seguridad sea fácil de usar.
Con la autenticación en dos pasos ocurre lo mismo: ese equilibrio se intenta conseguir, y aunque obviamente requiere más esfuerzo por parte del usuario ("¿cómo, ya no me vale solo con meter la contraseña? ¡qué rollo!"), la seguridad adicional que se gana es notable.
Los métodos para implementar 2FA también son ya conocidos desde hace tiempo, y se basan en mensajes de verificación que suelen llegar vía SMS, vía email, vía token de seguridad o vía una aplicación de autenticación como Google Authenticator. Es aún mejor y más cómodo a la larga utilizar llaves de seguridad como las de Yubikey o las Titan de Google, pero eso implica un coste económico, mientras que los SMS o las apps de autenticaci´n del móvil son gratuitos.
En el pasado se ha visto cómo los SMS son cada vez más vulnerables, lo que los hace aceptables, pero no ideales. Hoy en día es mucho más recomendable usar alguna aplicación de autenticación como la citada Google Authenticator u otras como Microsoft Authenticator o Authy.
Es cierto que los sistemas 2FA no son infalibles: hay técnicas de phishing o incluso ataques de fuerza bruta que pueden comprometerlos, pero en general logran sobre todo ponerle las cosas más difíciles a los ciberdelincuentes. Es como la célebre analogía del coche. Si un caco va a robar un coche, irá normalmente a los fáciles, y entre uno sin barra antirrobo del volante y otro que sí la tiene elegirá el primero.
Por qué lo que está haciendo Google es buena idea
En el mes de mayo Google avisó de su intención de comenzar a implantar sistemas 2FA de forma obligatoria en ciertas cuentas. Ayer se supo que el plan es de momento hacerlo para al menos unos 150 millones de cuentas de Google antes de que acabe 2021.
La medida ya está comenzando a ser implementada, y eso hace que algunos usuarios se encuentren perdidos cuando de repente Google les informe de que va a activar el servicio en sus cuentas. En realidad usar 2FA es muy sencillo, pero ciertamente requiere un pequeño esfuerzo adicional por parte del usuario, que tendrá que introducir el PIN que ha recibido por SMS o por una aplicación como Google Authenticator.
Google avisará a los elegidos pare despliegue con un correo siete días antes de que se active la verificación/autenticación en dos pasos en sus cuentas, lo que permite que los usuarios se preparen y puedan ir consultando cómo funciona el sistema, algo que por ejemplo explicamos en Xataka —tenéis nuestro tema de Xataka Basics enlazado más arriba— pero que también Google explica en su documentación de ayuda.
La idea de Google puede resultar incómoda para algunos usuarios, pero es, en cierto sentido, un mal necesario. Ni siquiera eso: es una incomodidad necesaria. Una que hará que el acceso a nuestras cuentas de Gmail y otros servicios de Google esté mucho más a salvo.
Teniendo en cuenta cómo están las cosas en materia de ciberseguridad, con robos masivos de datos que permiten a los ciberdelincuentes conseguir las contraseñas de millones de usuarios en decenas de servicios, puede que lo que ha hecho Google al forzar la autenticación en dos pasos se convierta en tendencia.
Eso sería una buena noticia para nuestros datos y nuestras finanzas, y aunque ciertamente no es del todo necesario en servicios menos sensibles y que usamos de forma más ocasional, hay plataformas en las que efectivamente este tipo de decisiones son, creo, acertadas.
Ver 46 comentarios
46 comentarios
carlosbrolo
Ayer llegó mi cuñada llorando a la casa. Le habían robado su bolso en donde llevaba sus tarjetas, su celular y otras cosas más.
Desde casa no pudo ingresar a su cuenta google a la opción de "where is my phone" para bloquearlo y borrar sus datos ya que el 2FA enviaba un pin al celular (el cual había sido robado) y por lo mismo no se pudo bloquear el dispositivo y tampoco borrar sus datos a distancia.
Así como plantean que es una mejora en seguridad, vulnera a las personas cuando se les es robado su dispositivo, bloqueando toda forma de poder ingresar a las cuentas y recuperar las mismas.
Usuario desactivado
En el momento que me obliguen a usar la autentificación en dos pasos borro todas mis cuentas de google. Ya he borrado varias cuentas que dependen de google y ahora le toca a esta.
godofmario2
Bonita forma de obtener más datos de los usuarios.
Bien jugado Google
hardgo1239
Que grave tener que estar forzado a validar todo, si alguien no lo configura es porque NO lo necesita
manolomalocalvo1
Si la gente ni sabe su contraseña de Google, como esperan que sean capaz de realizar ese paso extra?
tfd
El problema con esto es tener que depender del número de teléfono.
La Aplicación está muy bien en la teoría pero en la práctica no funciona como debe, a poco que cambies de movil, lo pierdas o te lo roben pierdes el acceso a la cuenta y esto es un marrón importante.
Orbayo
Y así es como nos obligan a darles también nuestro número de teléfono. Sabiendo nuestro historial de navegación lo relacionan con el nñumero de teléfono y nuestros datos cruzados valen más. Ya somos carne de cañón para que nos llamen con mierdas de ofertas o lo que sea. ¿¿Y si tienes varias cuentas porque es importante compartimentar??
togepix
Es mas segura.
Pero también mas coñazo.
Padres abuelos y demás, con lio asegurado
manuelcr
Es genial hasta que pierdes el móvil, o haces un factory reset porque no va bien y descubres que Google Authenticator ya no te valida.
iraes
La pregunta ¿Permitirá Google sistemas 2FA que no sean el suyo?
Sr Kenobi
Como app de autenticación prefiero andOTP a las nombradas, ya no por ser open source, te permite exportar la configuración a otros smartphones para luego importarlo, con ello te libras del dolor de cabeza cuando cambias de móvil y tener que rehacer todo el 2FA en cada sitio que lo tengas configurado.
Dav B.
Con la excusa de la seguridad es más fácil conseguir datos y complicarle la vida a la gente.
Ya lo hicieron los aeropuertos primero. Luego los bancos...
¿Quieren más seguridad? Entonces necesitan más control...
jubete
Es una gran idea si vives pegado al móvil...