La autenticación de dos o más factores es una forma de aumentar la ciberseguridad. Cuando se utiliza correctamente, puede reducir los riesgos cibernéticos, pero no protege contra el propio comportamiento negligente. Explicamos cómo funciona la autenticación de dos factores, cuándo merece la pena utilizarla y cuáles son sus limitaciones.
¿Cómo protege la autenticación de dos factores?
La autenticación de dos factores es una verificación de identidad en varias etapas para las cuentas de usuario, que consiste en dos factores: por ejemplo, una contraseña y otro factor, como una característica biométrica -por ejemplo, huella dactilar o reconocimiento facial- o un PIN creado por separado. Al iniciar la sesión, esta última se envía por separado, ya sea en forma de SMS o en una aplicación de seguridad en el smartphone, y debe introducirse además de la contraseña. El uso de este factor adicional aumenta en gran medida la seguridad de las contraseñas. Si se combinan más de dos factores, se denomina autenticación multifactorial.
¿Por qué utilizamos la autenticación de dos factores?
Hoy en día, introducir sólo la contraseña ya no es lo suficientemente seguro. Las contraseñas pueden caer fácilmente en manos equivocadas, por ejemplo, al comprometer los datos de acceso durante los ciberataques. Aquí es donde entra en juego la mayor ventaja de la autenticación de dos factores: añadir otro factor al proceso de autenticación crea una barrera adicional que vale su peso en oro en caso de ciberataque. Los ciberdelincuentes también tendrían que estar en posesión del segundo factor para poder penetrar en un sistema. Cuantos más pasos haya que dar, más difícil será para los hackers criminales hacerse con los datos de acceso. Con la autenticación de dos factores, se pueden descartar muchos escenarios de amenaza, especialmente en relación con el robo de identidad.
¿Cuáles son las formas más comunes de autenticación de dos factores?
- Token SMS: Esta variante es el tipo más conocido de autenticación de dos factores. En este caso, se genera un código aleatorio al iniciar la sesión en el respectivo servicio en línea y se envía al smartphone del usuario a través de un SMS.
- Correo electrónico: La autenticación por correo electrónico también se utiliza con frecuencia: Al iniciar sesión en un servicio en línea, el proveedor correspondiente envía por correo electrónico un código de varios dígitos después de introducir el nombre de usuario y la contraseña. La autenticación por correo electrónico es particularmente popular porque no se requiere ningún hardware o software adicional.
- TAN / OTP: Con el TAN (número de transacción) o el OTP (contraseña de un solo uso), se transmite al usuario un código numérico único o una contraseña única como segundo factor, ya sea a través del hardware en forma de generador de TAN o como software a través de una app autentificadora. Las contraseñas se basan en el tiempo o en los eventos y se generan una y otra vez. En este caso, las variantes de autenticación basadas en hardware se consideran actualmente las más seguras.
- Tarjetas inteligentes: las tarjetas inteligentes se utilizan en entornos Windows de alta seguridad y pueden utilizarse para iniciar sesión en la cuenta de Windows, en una VPN de la empresa o también para las firmas de correo electrónico o el cifrado del disco duro. La tarjeta inteligente tiene el tamaño de una tarjeta de crédito y está equipada con un chip que almacena un certificado digital encriptado que sólo puede desbloquearse mediante un PIN. También en este caso, el factor físico se considera una ganancia especial en cuanto a la seguridad de las contraseñas.
- Autenticación biométrica: Con esta variante, se incluyen características biométricas como la huella dactilar o el rostro en el proceso de autenticación. Esto es sencillo, rápido y se considera muy seguro debido a la unicidad de los datos. Es más difícil para los actores de las amenazas de la red replicar la huella dactilar o el escáner de reconocimiento facial de una persona.
- Ficha criptográfica: La ficha criptográfica almacena una clave criptográfica privada. La autenticación en este caso se realiza enviando una solicitud al token.
En los casos en que la autenticación de dos factores es especialmente útil
La autenticación de dos factores ya es obligatoria para los pagos en línea a través de la banca online, las tarjetas de crédito o PayPal desde el 15 de marzo de 2021. Google la introdujo para todas las cuentas de sus servicios a finales de 2021 y se espera que otras empresas sigan su ejemplo. En cuanto a la seguridad de las contraseñas, Perseus aconseja utilizar la autenticación de dos o múltiples factores siempre que sea posible, por ejemplo:
- Al identificar las redes sociales, la nube o las cuentas de los usuarios: Utilice una aplicación Authenticator para generar contraseñas de un solo uso, por ejemplo de Google, Microsoft, Apple, o envíe el TAN por SMS.
- Con la función en línea del DNI: el nuevo DNI está equipado con un chip y, por tanto, también puede utilizarse en línea para los trámites administrativos, para comprobar la legitimidad con los proveedores de servicios financieros o para asuntos comerciales. Además de la autenticación a través de un PIN, tiene lugar una autenticación cifrada adicional de extremo a extremo con el respectivo proveedor de servicios.
- Para asuntos fiscales: La agencia tributaria online ELSTER permite resolver los asuntos financieros completamente sin papel. El registro sólo es posible con un certificado de software protegido por contraseña o con la función de identificación en línea.
Limitaciones de la autenticación de dos factores
En el trabajo diario, cuando las cosas tienen que suceder rápidamente y no hay tiempo para muchas cosas, la autenticación de dos factores puede percibirse como una carga adicional. Sin embargo, puede evitar un daño enorme. Las empresas deben conocer las ventajas, informarse sobre las diferentes opciones de la autenticación de dos factores y decidirse por la variante adecuada. El uso de la autenticación de dos factores -en qué forma y en qué medida- debe especificarse en una política de la empresa y todos los empleados deben ser informados y formados en consecuencia. Al final, están en juego datos importantes de su empresa.
Aunque la autenticación de dos factores se recomienda para aumentar la seguridad de muchas aplicaciones, no puede evitar todos los incidentes:
- La variante más popular es también la más vulnerable: el token de los SMS puede ser intervenido a través de los llamados ataques de intercambio si los ciberdelincuentes consiguen engañar al proveedor de telefonía móvil y trasladar el número de teléfono de la víctima a una tarjeta SIM.
- Si la cuenta de correo electrónico es tomada por actores de amenazas de la red, un código de 2 factores puede ser leído sin mucho esfuerzo. Además, esta variante de autenticación no es realmente una autenticación de dos factores, ya que muchos usuarios procesan sus correos electrónicos tanto desde el smartphone como desde el ordenador. Si un dispositivo está infectado con malware, los atacantes pueden leer todos los correos electrónicos y pulsar los códigos correspondientes.
- La suplantación de identidad es el mayor problema con el TAN o la contraseña de un solo uso. Es posible crear un sitio web de phishing engañosamente real que transmita los datos de inicio de sesión, como la contraseña y el código generado por una aplicación de autenticación, para iniciar sesión en el servicio real. Al mismo tiempo, los ciberdelincuentes se registran y pueden hacerse pasar por la persona comprometida sin que el servicio utilizado note la diferencia. Otra desventaja de las aplicaciones de autenticación es que puede no ser fácil conseguir los códigos que necesitas si pierdes tu teléfono.
No existe una protección del 100%, pero hay formas de minimizar el riesgo. Sobre todo, el comportamiento responsable y el cumplimiento de las normas de seguridad por parte de todos y cada uno de los individuos son los requisitos básicos para evitar incidentes cibernéticos:
- Actualizaciones: A menudo, el software obsoleto, los programas sin licencia de sitios de descarga gratuita o los enlaces o sitios web visitados al azar, son la causa de un incidente cibernético. Este comportamiento en línea, es el equivalente cibernético de conducir un coche en un acantilado a 200km/h: llevar el cinturón de seguridad o la autenticación de dos factores no ayudará al final. La instalación de nuevas actualizaciones, especialmente las de seguridad de los sistemas operativos o el uso de contraseñas seguras, son ya un primer paso para evitar incidentes cibernéticos.
- Higiene de las contraseñas: Cuanto menos probable sea que su contraseña pueda ser adivinada o calculada, más segura será. Y cuanto más segura sea su contraseña, más seguros serán los datos, los correos electrónicos, los ordenadores, las redes corporativas, etc. que protege. En la seguridad de las contraseñas influyen varios factores. Entre otros, por la singularidad, la longitud, la complejidad, la abstracción y el secreto de la respectiva contraseña.
- Copias de seguridad: los discos duros, los ordenadores, los servidores y los sistemas completos pueden quedar inutilizados por defectos técnicos o por ciberataques, como la instalación de programas maliciosos. Las copias de seguridad te permiten crear copias de seguridad de tus datos. Pueden utilizarse para restaurar contenidos perdidos o destruidos e incluso sistemas enteros. Puede leer más sobre este tema en nuestra entrada del blog «Sin copia de seguridad, no hay piedad».
- Vigilancia: agudice su ojo crítico ante los correos electrónicos con remitentes desconocidos. No haga clic en ningún enlace ni abra ningún archivo adjunto. Hacer clic en el enlace de un correo electrónico de phishing es una de las puertas de entrada más comunes para los ciberdelincuentes.
- Sensibilización de los empleados: Conciencie a sus empleados de los peligros de la red. Los ciberataques son uno de los mayores riesgos empresariales. Una formación adecuada en forma de aprendizaje electrónico y de simulacros de suplantación de identidad imparte conocimientos básicos y sensibiliza de forma duradera.
Sólo si se siguen estas reglas básicas de seguridad, la autenticación de dos factores puede ser eficaz y, si se utiliza correctamente, proteger las cuentas y los datos del acceso no autorizado. La autenticación de dos factores es una importante herramienta de seguridad que ofrece una protección eficaz contra el acceso no autorizado a los propios datos y debería formar parte de una estrategia global de ciberseguridad. Los que la utilizan van sobre seguro, sin peros.