Llegamos a ustedes gracias a:



Reportajes y análisis

Introducción a 2FA: Asegure sus cuentas antes de que sea tarde

[01/03/2020] Millones cuentas en línea de usuarios se ven comprometidas todos los días. Las listas de contraseñas se comercializan en la web oscura, y los malos actores usan procesos automatizados para probarlas contra muchas cuentas y servicios. Los ataques de phishing sofisticados intentan engañar a uno para que revele su contraseña (o la información necesaria para restablecerla) haciéndose pasar por servicios legítimos o atención al cliente.

Obviamente, la mejor defensa contra este tipo de cosas es tener una contraseña diferente, fuerte y difícil de adivinar para cada cuenta que posea. Un buen administrador de contraseñas como 1Password, LastPass, o Dashlane es un componente clave en el manejo de esta situación.

¡Pero las buenas contraseñas no son suficientes! No pasa un mes sin otro informe de millones de contraseñas potencialmente comprometidas, y una computadora infectada con un virus puede simplemente mirar las contraseñas a medida que las ingresa. Necesita otra capa de protección. Necesita 2FA. Aquí le mostramos cómo comenzar.

¿Qué es 2FA?

La autenticación de dos factores (generalmente abreviada a 2FA) es una forma de demostrar que en realidad es el propietario de una cuenta en particular al proporcionar dos "factores" de evidencia. Un factor es un pedazo de conocimiento: su contraseña o PIN, por ejemplo. Otro factor puede ser la posesión de un objeto en particular: un teléfono que recibe mensajes de texto enviados a un determinado número, un llavero USB o acceso a una dirección de correo electrónico. Otro factor puede algo inherente a usted, como su huella digital o un escaneo retiniano.

En otras palabras, 2FA asegura su cuenta al hacerle proporcionar algo que sabe (su contraseña o PIN) junto con algo que posee (su teléfono inteligente, huella digital o una clave física) o algo que es (su huella digital o un escaneo facial detallado).

Considere la puerta de entrada a su casa. Si puede abrirla con solo una clave, esa es la autenticación de un factor; solo debe poseer ese objeto específico. Si tuviera que abrir su puerta con una llave física y marcar un pin de cuatro dígitos en una cerradura electrónica, eso sería una autenticación de dos factores.

Algunas compañías llaman a este tipo de seguridad MFA (autenticación multifactor) o verificación en dos pasos. Si bien estos términos son un poco diferentes a 2FA, para la mayoría de las aplicaciones de consumo significan esencialmente lo mismo.

¿SMS, correo electrónico o aplicación?

La gran mayoría de los métodos 2FA para los tipos de cuentas cotidianas que tienen los consumidores será su contraseña o PIN habitual, junto con uno de los otros tres métodos de prueba:

  • Correo electrónico: Cuando intente iniciar sesión, el servicio enviará un correo electrónico con un código corto a la dirección de correo ya asociada a su cuenta. El código solo se puede usar por un tiempo limitado. Verifique su correo electrónico, escriba el código y acceda a su cuenta.
  • Mensaje de texto: El servicio envía un mensaje de texto SMS con un código (generalmente un número de seis dígitos) al número de teléfono que tiene registrado. El código solo sirve por unos minutos.
  • Aplicación TOTP: Una aplicación especial en su smartphone genera un TOTP (Time-based One Time Password) basado en una cadena secreta única compartida con el servicio. La contraseña (generalmente una cadena de seis números) solo es válida de 30 segundos a un minuto, y después se genera otro código.
Apps como Authy generan códigos de un solo uso para muchos sitios y servicios.

De estos métodos, el enfoque de la aplicación TOTP es el mejor. Se puede usar una sola aplicación de código 2FA para muchos servicios a la vez, y es más seguro que códigos enviados a su correo electrónico (si el acceso a su correo electrónico es lo que ha sido hackeado, ¡está en problemas!) O por SMS (un proceso llamado SIM-jacking puede permitir a los estafadores transferir su número de teléfono a una nueva tarjeta SIM e interceptar sus mensajes de texto).

Las aplicaciones TOTP no son tan convenientes como los mensajes de texto. Debe cargar una aplicación en su teléfono, abrirla y verificar los códigos cada vez que inicie sesión desde una computadora, navegador o dispositivo nuevo. Pero es la mejor combinación de conveniencia, ubicuidad y seguridad, por lo que es el método que recomendamos. Nuestra aplicación TOTP favorita es Authy, pero también debería revisar LastPass Authenticator, Microsoft Authenticator, y Google Authenticator.

Desafortunadamente, algunos sitios y servicios solo ofrecen 2FA a través de correo electrónico o SMS. Si ese es el caso, ¡tómelo! Sigue siendo mucho más seguro que no habilitar 2FA en absoluto.

as llaves de hardware como YubiKey son rápidas y seguras, pero no son baratas. Y se suma a la lista de cosas por cargar a todos lados.
2FA, seguridad
¿Qué pasa con las llaves de hardware?

Una llave de seguridad de hardware es probablemente el medio más seguro para bloquear su cuenta. Alguien tendría que robarle físicamente el llavero de hardware para poder entrar.

La mejor opción para los usuarios de Mac y iPhone es probablemente el YubiKey 5Ci, que tiene conexiones para USB-C y Lightning, y soporte para una amplia gama de protocolos de seguridad y servicios. ¿El lado negativo? ¡Son 70 dólares por una sola llave! Existen algunas opciones más baratas, pero, de cualquier forma, es otra cosa física que deberá cargar en todo momento, de lo contrario no podrá ingresar a sus cuentas.

Y si lo pierde (¡es muy pequeño!), debe pasar por todos los servicios en los que lo habilitó, y usar cualquier método de autenticación secundario que tengan para recuperar el acceso a su cuenta.

Las llaves de hardware son excelentes si le interesan, pero aún creemos que la mejor mezcla de seguridad, costo y facilidad de uso es una aplicación TOTP.

Cómo proteger cuentas populares con 2FA

El proceso para habilitar 2FA es un poco diferente para cada cuenta y servicio. Una simple búsqueda en Google le ayudará a encontrar algunas instrucciones, pero hemos compilado una lista útil de las cuentas de Internet más populares aquí, con enlaces a las páginas de ayuda que describen cómo habilitar 2FA.

  • Google: Google admite muchos métodos 2FA diferentes y tiene un sitio útil que describe cómo funciona todo.
  • Twitter: Twitter es una de las cuentas comprometidas con mayor frecuencia (y públicamente) en Internet. Aquí le mostramos cómo habilitar 2FA en su cuenta.
  • Facebook: Con más de dos mil millones de personas en Facebook, es un objetivo importante para los hackers. Este artículo de ayuda muestra cómo configurar 2FA.
  • Instagram: Instagram tiene una página de ayuda para 2FA que le indica cómo configurarlo en su cuenta.
  • Amazon: Es probable que su cuenta de Amazon tenga métodos de pago asociados, y es un gran objetivo para los ladrones que buscan comprar cosas con su dinero. Esta página de ayuda muestra cómo habilitar la verificación en dos pasos.
  • Reddit: Al igual que todas las principales cuentas de redes sociales, debe proteger su cuenta de Reddit con 2FA. Aquí está la página de ayuda que describe cómo hacerlo.
  • Microsoft (Xbox): Es posible que tenga su propia cuenta de Microsoft, o una para trabajar, o ambas. Si tiene una cuenta Xbox, esa es una cuenta de Microsoft, y es un gran objetivo para estafadores y hackers. Aquí está la página que describe cómo habilitar 2FA para sus cuentas de Microsoft.
  • PlayStation: Los jugadores de PlayStation también querrán asegurar su cuenta con 2FA. Sony, desafortunadamente, solo admite mensajes de texto como su método 2FA. Pero es mucho mejor que nada.
  • Nintendo: Una cuenta Nintendo puede usarse en un sistema Switch o Wii, pero también en algunas apps móviles de Nintendo. Al igual que con todas las cuentas de juego, usted querrá habilitar 2FA para bloquearla. Nintendo le dice que use Google Authenticator para los códigos TOTP, pero lo hemos probado con otras aplicaciones y funciona muy bien.
  • Administradores de contraseñas: Un administrador de contraseñas es el guardián de todas sus contraseñas. ¿Cómo podría no habilitar 2FA? Cada administrador de contraseñas tiene sus propias instrucciones sobre cómo habilitar 2FA, pero aquí están las páginas de ayuda para: 1Password, LastPass, y Dashlane.
  • Cuentas bancarias: Si alguien obtiene acceso a su cuenta bancaria en línea, básicamente puede llevarse su dinero. Sería una locura no asegurar esas cuentas con 2FA.

Hay demasiados bancos, cooperativas de crédito e instituciones financieras para enumerarlas a todas aquí. Solo asegúrese de tener 2FA habilitado para cada lugar en el que almacene o pida dinero prestado. No se olvide, también, de las cuentas de tarjetas de crédito y los servicios de negociación de acciones.

Por suerte, muchos bancos actualmente habilitan 2FA por defecto, al menos por correo electrónico o mensaje de texto. Pero algunos ofrecen opciones más seguras que posiblemente querrá explorar.