La autenticación de doble factor agrega una capa de seguridad ante posibles robos de contraseñas
El País/México
De las redes sociales a las aplicaciones móviles de los bancos, de salud o de los gimnasios. En muchas ocasiones, las contraseñas son lo único que se interpone entre los ciberdelincuentes y los datos personales, sanitarios y financieros que los usuarios almacenan en decenas de apps. La autenticación de doble factor es una forma sencilla de agregar una capa adicional de seguridad a las cuentas. EL PAÍS pone a prueba algunas aplicaciones, como Authy o Google Authenticator, que utilizan esta técnica para evitar que terceros accedan a información personal.
Para acceder a la cuenta de una app o un servicio, normalmente basta con introducir un correo electrónico y una contraseña. La autenticación de doble factor consiste en añadir un paso adicional al proceso. El objetivo es confirmar que el usuario es quien dice ser. Muchas aplicaciones como Facebook, Twitter o LinkedIn permiten activar la doble autenticación fácilmente. Al hacerlo, ofrecen varias alternativas. Una de las más populares es enviar un código al móvil por mensaje de texto.
Sin embargo, el Instituto Nacional de Ciberseguridad de España (INCIBE) subraya que este método puede resultar inseguro. Si el usuario tiene las notificaciones activadas en la pantalla de bloqueo del móvil, cualquiera podría ver la contraseña que recibe por SMS. Además, según la empresa especializada en ciberseguridad Kaspersky, este tipo de mensajes podría ser interceptado por un troyano (un software malicioso) oculto en el móvil. “Empleando tácticas ocultas como la persuasión o el soborno, los ciberdelincuentes pueden hacerse con una nueva tarjeta SIM con el número de la víctima en cualquier tienda de teléfonos móviles”, señala la empresa. Si esto ocurriera, los mensajes irían a esta tarjeta y el teléfono de la víctima se desconectaría de la red.
Aunque recibir un SMS con un código adicional es mejor que no tomar ninguna medida, hay alternativas más seguras. Gran parte de las redes sociales y otros servicios permiten usar una aplicación de autenticación de terceros descargada en el móvil. Uno de los puntos fuertes de este tipo de apps, frente a los mensajes de texto, es que permiten recibir una clave incluso cuando se carece de conexión a internet y de cobertura.
Authy
Entre las aplicaciones más completas se encuentra Authy, disponible tanto en la Play Store, donde acumula más de 10 millones de descargas, como en la App Store. Esta plataforma, que permite la sincronización de las cuentas en la nube, es compatible con múltiples servicios: de Facebook a Slack, pasando por Uber, LinkedIn, Pinterest, Discord o Snapchat. En su página web, la compañía explica cómo se puede activar la doble autenticación en todas estas aplicaciones.
Este periódico ha probado a hacerlo con Instagram. El primer paso sería entrar en el apartado de configuración de la app. Después habría que pulsar en “seguridad” y en “autenticación en dos pasos”. Este método, según explican los desarrolladores de la aplicación, “protege tu cuenta con un código que se te solicita cuando inicias sesión en un dispositivo que no reconocemos”. Para empezar a usar una aplicación de autenticación, Instagram ofrece una clave: tras copiarla, hay que abrir la app Authy (previamente descargada), pulsar en “agregar cuenta”, elegir “ingresar la llave manualmente” y pegar la clave.
Después, es posible escoger el nombre de la cuenta y el logo de la red social. En algunos casos, el proceso es más sencillo. Por ejemplo, para vincular Facebook, bastaría con abrir Authy y escanear con el móvil un código QR en el ordenador. Una vez realizados estos pasos, al iniciar sesión en Instagram o Facebook en un dispositivo desconocido, además de introducir el nombre de usuario y la contraseña, se pedirá un código que genera Authy de forma automática y expira a los 30 segundos.
Google Authenticator
Otra alternativa es Google Authenticator, que ha sido descargada más de 100 millones de veces de la Play Store y también se puede conseguir en la App Store. La aplicación funciona de manera similar. Al probar a activar la autenticación de doble factor en Twitter desde el ordenador, el primer paso sería entrar en “configuración y privacidad”. Después habría que pulsar en “seguridad y acceso a la cuenta”, “seguridad” y “autenticación en dos pasos”.
Al elegir la opción “app de autentificación” e introducir la contraseña del usuario en la red social, Twitter genera un código QR. Bastaría con abrir Google Authenticator y escanearlo con la cámara del móvil. Si no es posible hacerlo, también se puede vincular la cuenta a esta app copiando y pegando una clave. “Una vez que hayas configurado la verificación en dos pasos, podrás iniciar sesión en tu cuenta utilizando algo que sabes, como tu contraseña, y algo que tienes, como tu teléfono”, señala la compañía de Mountain View.
Microsoft Authenticator
Entre las alternativas más populares del mercado, también se encuentra Microsoft Authenticator, que ha sido descargada más de 50 millones de veces en la Play Store y se encuentra entre las apps más populares de productividad en la App Store. Al igual que Authy y Google Authenticator, permite vincular diferentes cuentas —como las de LinkedIn, GitHub, Amazon, Dropbox, Google y Facebook— escaneando un código QR o escribiendo una clave de forma manual. La aplicación, que tiene un diseño minimalista, es fácil de utilizar y permite realizar una copia de seguridad en la nube. Los códigos expiran después de 30 segundos y es posible elegir que de primeras estén ocultos y solo aparezcan al pulsar en la cuenta en cuestión.
Este tipo de aplicaciones resulta útil teniendo en cuenta que, según el Instituto Nacional de Ciberseguridad de España, “una gran parte de las contraseñas que circulan por la red podrían ser descifradas por un atacante en un tiempo que va desde tan solo unos segundos hasta unas dos horas”. Además de apostar por credenciales robustas, algo para lo que los gestores de contraseñas pueden resultar especialmente útiles, el organismo aconseja activar la autenticación de doble factor en todas aquellas plataformas en las que figure información sensible, como las redes sociales, el correo electrónico, las plataformas de viajes o la banca online.
