¿Qué es la autenticación de dos factores?

Hace poco escribíamos comentando las palabras de un pez gordo de Symantec que comentaba que los antivirus estaban muertos; Pues también se está leyendo últimamente bastante que las contraseñas están muertas y que no sirven. ¿Entonces la autenticación con usuario y contraseña ya no sirve? ¿por qué?

¿Cuál es el problema con la autenticación con usuario y contraseña?

El principal problema no es la contraseña en sí, sino nuestra frágil memoria: Olvidadizonuestra mente no es capaz de recordar tantas combinaciones de usuario y contraseña como sería deseable para asegurarnos un alto nivel de seguridad. Por esta razón la mayoría de nosotros, o bien termina reutilizando estas contraseñas en nuestros diferentes servicios y Apps, o bien tiene como mucho 3 ó 4 variaciones o reutilizando fechas de nacimiento, aniversarios de boda, etc.

 

 

¿Por qué es importante no repetir los pares usuario/contraseña?

Básicamente porque si en alguno de los servicios donde los estamos usando, se produce una brecha de seguridad y llegan a robar las credenciales, como probablemente estemos usando las mimas credenciales en otros sitios web o en otras aplicaciones, estos delincuentes podrán obtener acceso a estas cuentas por nosotros. ¿Y qué importancia tiene? – Pues puede tenerla, y mucha, sobre todo si logran entrar a por ejemplo nuestra cuenta iTunes (donde habrá asociada una tarjeta de crédito), o a nuestro email, o Facebook, dónde podrían empaparse de nuestra identidad: saber quiénes somos, con quién nos relacionamos, a qué nos dedicamos, etc. para posteriormente hacerse pasar por nosotros, y gastar dinero y que paguemos nosotros.

Esto no sólo ha ocurrido en el pasado reciente, sino que continúa ocurriendo en la actualidad a pesar de las innumerables medidas de seguridad e inversión que realizan sitios como Google, eBay, Amazon, etc. Ahí están los famosos casos de Sony, Adobe, etc.

Ya: pero eso sólo pasa a grandes empresas o gente importante

Error típico: pensar que lo malo solo sucede a los demás. Hace apenas un mes, nos llama una persona y nos cuenta que han sido víctimas de un robo. Unos 5,000€ de su cuenta de ahorros que habían transferidos haciéndose pasar por él (lo que se conoce como robo de identidad). No habían hackeado su banca electrónica, ni aparentemente habían gastado dinero con su tarjeta de crédito, pero habían conseguido que un empleado de su sucursal bancaria hiciera por él una transferencia urgente. No sabía cómo había podido ocurrir y lo cierto es que no tenemos la certeza absoluta, pero tras investigar su equipo, su móvil y su tablet, ver que estaban limpias de malware tras escanear hasta con 3 de los mejores motores antimalware del mercado el equipo y de analizar con ProcessExplorer los procesos en su máquina, determinamos que estaba limpio.

Tras tirar del hilo lo que había ocurrido es que habían capturado en un Hotspot WiFi –supuestamente de un aeropuerto, pero ¿realmente era un Hotspot legítimo?- sus credenciales de correo electrónico; Con ellas, en lugar de dedicarse a buscar Spam se habían empapado de su vida, de sus negocios y habían visto una forma de robarle haciéndose pasar por él, a través del email y del teléfono. Y les funcionó.

Os aconsejo ver, si tenéis un poco de tiempo este capítulo de MundoHacker, en el que se explican muchas vulnerabilidades de las redes WiFi y por qué hay que tener cuidado con ellas:


 

Volviendo al problema: ¿Es suficiente por tanto tener un usuario y una contraseña?

Evidentemente, a la vista está que no. Aunque seamos capaces de anotar en una libreta cada usuario y contraseña de cada servicio de Internet que usemos, y que todas ellas sean lo suficientemente distitntas como para que cuando nos hackeen una de ellas, esto no suponga que tenemos comprometidos los demás servicios web, la realidad, es que no basta. Porque si de alguna sofisticada manera son capaces de obtenerlas, ya se pueden hacer pasar por nosotros cómodamente.

¿Por dónde pasa la solución entonces?

No hay una única solución. Quizás una combinación de varias sea lo más factible:

  1. Usar un gestor de contraseñas: como 1Password, Keepass, etc.
  2. Usar una autenticación de doble factor: Google Authenticator, Authy, SMS o Latch

1Password

Continuará

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *