Porqué se debe activar el doble factor autenticación cada vez que se pueda.

¿Que es el 2FA?

Viene de sus siglas en inglés "Second Factor Authentication", que traducido sería algo como "Segundo Factor de Autenticación".

Hay muchos sitios que lo explican esto mejor que yo pero básicamente es una segunda capa verificación después de haberte autenticado. Esto se basa en los siguientes principios:

• *Lo que sabes*: Por ejemplo una contraseña, un pin, una pregunta de seguridad, etc.
• *Lo que tienes*: Por ejemplo un teléfono móvil o una llave de seguridad USB.
• *Lo que eres*: Por ejemplo algo biométrico como tu huella digital, rostro, retina, etc.

Estos tres principios se suelen combinar entre sí. Yo personalmente, por obvias razones de privacidad, recomiendo evitar en lo posible el tercer principio.

Normalmente el primer factor de autenticación se basa en el primer principio, por ejemplo cuando ingresas a un sitio web generalmente se suele usar un usuario y contraseña.

El segundo factor, o mas factores, suelen basarse en los otros dos principios.

Luego tenemos el caso de alguna cuentas donde habilitan el segundo factor por defecto. Por ejemplo, cuando ingresas a una cuenta de Gmail, es usual recibir una notificación en tu celular Android donde te pregunta si eres tú quien realmente está accediendo a esa cuenta de Gmail, eso se basa en el principio de "lo que tienes".

Algunas cuentas no te habilitan el segundo factor por defecto y es ahí donde es el porqué escribo esta entrada, siempre que puedan habiliten el segundo factor porque esto puede servir para evitar muchos dolores de cabezas.

Introducción

Como se ha visto he ido sacando cada semana una serie de entradas sobre ciberseguridad básica, la idea es transmitir mis experiencias en el lenguaje mas claro posible para las personas que no son técnicos en estos temas.

[Ciberseguridad básica para gente no técnica - Introducción]

En la última entrada traté sobre la importancia de hacer una buena gestión de cuentas, sobre todo las que no se usan por un montón de tiempo. También conté una anécdota de como lograron tomar mi cuenta de "Crunchyroll" en aquel momento, solo entren a [Experiencia personal] para ver la historia completa.

La primera pregunta que me hago es:

¿Que pasaría si yo hubiera configurado un segundo factor de autenticación en mi cuenta de Crunchyroll?

La cosa probablemente hubiera sido muy diferente, porque el atacante no hubiera podido entrar sino que tendría que esperar a que yo le diera autorización de entrada desde otro dispositivo.

En esta entrada explicaré que son los múltiples factores de autenticación y porqué es importante configurarlos.

Ciberseguridad básica para gente no técnica - Introducción

Experiencia personal

Las contraseñas por si solas no son suficientes

Es verdad que he escrito múltiples veces sobre usar contraseñas seguras y no reusar las contraseñas. Lamentablemente en el mundo real esto no pasa, y el segundo factor de autenticación ayuda un montón. Siempre será mejor ponerle las cosas difíciles a los atacantes combinando todo: contraseña fuerte + evitar repetir la misma contraseña + 2FA.

Igual a pesar de todo esto siempre habrá un momento donde por cuestiones de prisa volvamos a reutilizar una contraseña antigua en otro sitio, el tener 2FA dificulta un poco mas las cosas a los atacantes.

Solo con habilitar el 2FA ya estás haciendo un montón. Según los expertos alrededor del 100% de los ataques de bots automatizados, 99% de ataques de phishing y 60% de ataques selectivos son bloqueados mediante el uso de la autenticación de dos factores.

Consejos

Si la cuenta lo permite combina múltiples factores.

Hay un error muy común y es que la gente suele poner solamente un método de segundo factor, por lo general es el móvil. Esto, en mi opinión, debería evitarse. Esto en parte es culpa de algunas cuentas que solo permiten configurar un solo factor, pero en las cuentas que permitan varios traten de configurar varios. Cuando se configura solamente un dispositivo hay un riesgo de perder tu cuenta en algunos casos. Imagina que configuras el 2FA el móvil y te roban el móvil, algunas cuentas simplemente no te dejarán recuperarlas por esto.

Algunos métodos de 2FA

• OTP: Del inglés "One Time Password" que significa "Contraseña de un solo uso". Aplicaciones como [freeotp+] pueden cumplir esta tarea, otras aplicaciones mas conocidas como Google Authenticator se basan en el mismo principio. Simplemente generan una contraseña aleatoria cada x tiempo y cuando haces login, te pide el código e ingresarlo.

• Llave USB: Este es mi favorito, pero no todas las cuentas permiten configurarlo. Si optas por este método recomiendo mirar las Nitrokeys: [https://www.nitrokey.com/]. Cuando ingresas tu usuario y contraseña la cuenta te solicitará que ingreses la llave USB y toques el botón. He aquí un pantallazo:

[file:img/codeberg_example.png]

Las llaves de Nitrokey también permiten otras cosas, como OTP pero aquí intento simplificarlo lo máximo posible.

• SMS: El menos recomendado ya que está demostrado por ser bastante inseguro. Algunas cuentas solo permiten este método, entre nada y esto es preferible esto.
• Pin: Te pide que ingreses un pin y se basa en el principio "lo que sabes". Un ejemplo de este uso es WhatsApp, este te enviará un SMS de verificación pero adicionalmente Whatsapp te preguntará por un segundo pin. Esta medida evita clonación de cuentas. Que por cierto si usan WhatsApp, recomiendo mucho activar esto, tengo dos casos de personas cercanas que han sido víctimas de clonación.
• Notificaciones "push": Es el ejemplo de Gmail que mencioné anteriormente. Te envía una notificación y solo debes presionar "si" o "no" para proceder o denegar el acceso.

Si la cuenta lo permite, siempre combina métodos. Por ejemplo:

• Dos llaves USB. En caso de que se pierda una, tienes otra de resguardo.
• Llave USB + OTP. El móvil casi siempre está disponible y si no tienes la llave puedes entrar con el celular.
• Llave USB + Pin.

Como dije antes, algunas cuentas no te permiten configurar mas opciones, ahí no hay nada que hacer y en mi opinión es mal diseño de las cuentas. Pero esta recomendación es para evitar que te quedes sin cuenta, porque en algunos casos es una pesadilla intentar recuperarlas.

Algunas cuentas simplemente son peores y no lo soportan, otras cuentas te envían un correo electrónico con un pin de un solo uso, esto sigue siendo mejor que nada. Pero si el caso es el segundo, recomiendo asegurar su cuenta de correo.

freeotp+

https://www.nitrokey.com/

file:img/codeberg_example.png

Usa el sentido común

Si te llega una solicitud y NO eres tú quien ingresas a la cuenta simplemente recházala. Suena obvio, pero mucha gente cae en esto. Si te llegan múltiples solicitudes y las rechazas, lo mas probable es que tu cuenta haya sido vulnerada y te toque cambiar la contraseña inmediatamente.

Conclusiones

Esta entrada se me hizo un poco mas larga de lo habitual pero espero que hay sido de utilidad.

Activar el segundo factor de autenticación en todas las cuentas que puedas no es la solución definitiva a todos los problemas pero en el mundo en que vivimos se torna necesario tener una capa extra de seguridad que puede evitar que nuestras cuentas sean vulneradas. Es importante asegurarse de que al habilitar el 2FA no te quedes bloqueado por lo que recomiendo habilitar varios métodos.