Hace años parecía que usar los SMS como sistema de verificación en dos pasos (2FA, Two-Factor Authentication) era ideal. Cómoda, fácil de usar y ciertamente conveniente. Y luego llegaron los problemas de seguridad: hackear el sistema era factible, y eso planteó la necesidad de acudir a otras alternativas.
Así es como las aplicaciones de autenticación comenzaron a ganar fuerza. Google Authenticator, Microsoft Authenticator o Authy están entre las más conocidas, y desde luego son una alternativa más segura y fiable que los SMS. Sin embargo no son perfectas, y lo demuestra Google Authenticator.
Al fin llegan las copias de seguridad de Authenticator
¿Por qué? Pues porque esta semana Google anunciaba algo interesante: su aplicación, Google Authenticator, se actualizaba por partida doble. En primer lugar cambiaba el logo, que adoptaba un formato mucho más colorido y un diseño en línea con el resto de sus aplicaciones y servicios.
En segundo, y mucho más importante, Google ofrecía al fin la capacidad de hacer una copia de seguridad de nuestros códigos "one-time" (también conocidos como one-time passwords u OTPs) a nuestra cuenta de Google.
Parece un cambio menor, pero en realidad era algo muy demandado por los usuarios. La propia Google lo reconocía en su comunicado oficial:
Uno de los principales comentarios que hemos recibido de los usuarios a lo largo de los años ha sido la complejidad de la pérdida o el robo de los dispositivos que tenían instalado Google Authenticator. Dado que los códigos de un solo uso de Authenticator solo se almacenaban en un único dispositivo, la pérdida de ese dispositivo significaba que los usuarios perdían la posibilidad de iniciar sesión en cualquier servicio en el que hubieran configurado la 2FA con Authenticator.
Así es. Quien usaba Authenticator en su dispositivo y perdió el móvil (o se le rompió) sabe bien la pesadilla que eso suponía. A no ser que hubieras guardado el código QR generado durante una exportación —y tenías que haber sido muy previsor— estabas perdido. Había otra opción: hacer una exportación a un viejo móvil que luego guardaras por si ocurría lo peor. Un auténtico desastre del que se lamentaban quienes lo habían sufrido.
Esta opción al fin soluciona el problema. Google explica en su web de soporte actualizada cómo para activarla basta con iniciar sesión en tu cuenta de Google en Google Authenticator.
Al hacerlo los códigos se sincronizan con tu cuenta y se podrán restablecer en cualquier dispositivo que uses con esa cuenta de Google. Incluso "puedes transferir manualmente tus códigos con otro dispositivo, incluso si no has iniciado sesión en una cuenta de Google", añaden. Si aprovechas esa opción, eso sí, conviene que lo hagas de la forma adecuada, como explican en 9to5Google.
"Si tienes Google Authenticator configurado en varios dispositivos, ten cuidado al actualizar a la nueva versión y activar la sincronización. Al sincronizar, Google no reconocerá códigos idénticos ni los fusionará automáticamente. Como resultado, podrías acabar con muchos duplicados.
Para evitarlo, primero configura la sincronización en tu dispositivo principal y luego elimina cualquier otra instancia de la aplicación Google Authenticator. De este modo, cuando vuelvas a instalar la aplicación actualizada en los dispositivos secundarios, sólo se sincronizará desde tu dispositivo principal y no mostrará duplicados".
Pero no todo es de color de rosa en Google Authenticator
El cambio es sin duda muy bienvenido, y es curioso que Google haya tardado la friolera de 13 años —Authenticator se lanzó en 2010— para añadirlo cuando otras alternativas como Authy ya lo tenían. Aquí esta última opción tiene una ventaja interesante más: una forma de permitir o impedir que múltiples dispositivos se usen para usar con una cuenta, lo que añade un extra de seguridad.
No sabemos si Google acabará ofreciendo también esa mejora, pero lo que sí que hace falta es algo que rápidamente notaron los expertos en ciberseguridad: la sincronización de los datos de Authenticator se hace en texto plano, sin cifrar, algo que entre otros comentaron los expertos en ciberseguridad de Mysk.
Precisamente eso introduce un problema de seguridad del que afortunadamente Google está muy al tanto. Christiaan Brand, uno de los responsables del servicio, comentaba en Twitter cómo están trabajando en el cifrado de extremo a extremo (E2EE, End-to-End Encryption).
Aún así, Brand añadía que aplicar E2EE tiene "el coste de permitir a los usuarios quedar bloqueados de sus propios datos sin recuperación". No hay una fecha estimada para la llegada de ese cifrado, lo que hace que los usuarios tengan dos opciones: usarla tal cual sin ese cifrado de extremo a extremo, o simplemente usar Google Authenticator como lo hacían, sin iniciar sesión en su cuenta de Google desde la app.
En mi opinión resulta mucho más recomendable lo primero porque ciertamente esta solución evita una de las grandes limitaciones de Google Authenticator. Alternativas como Microsoft Authenticator o Authy son desde luego destacables, pero ya hemos hablado de que hay una opción aún mejor: los tokens de seguridad como Yubikey, dispositivos físicos que hacen aún más difícil que algún ciberatacante pueda lograr acceso a nuestros sistemas y datos.
Eso, claro introduce más incomodidad a los usuarios, pero hasta que llegue ese futuro passwordless que nos prometen tecnologías como las passkeys, seguiremos teniendo que convivir con estos pequeños grandes inconvenientes de nuestro día a día digital.
Ver 7 comentarios