Primeros pasos con 2FA

[18/05/2022] Millones de cuentas en línea se ven comprometidas todos los días. Las listas de contraseñas se comercializan en la dark web, y los delincuentes usan procesos automatizados para probarlas en muchas cuentas y servicios. Los sofisticados ataques de phishing intentan engañarle para que proporcione su contraseña (o la información necesaria para restablecerla) haciéndose pasar por servicios legítimos o atención al cliente.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Obviamente, la mejor defensa contra este tipo de cosas es tener una contraseña diferente, segura y difícil de adivinar para cada cuenta que posee. Un buen administrador de contraseñas como 1Password, LastPass o Dashlane es una parte clave para administrar eso.

¡Pero las buenas contraseñas no son suficientes! Usted necesita otra capa de protección. Necesita 2FA.

Aquí le mostramos cómo empezar.

¿Qué es 2FA?

La autenticación de dos factores (generalmente abreviada 2FA) es una forma de demostrar que usted es realmente el propietario de una cuenta en particular, al proporcionar dos factores de evidencia. Un factor es un conocimiento -su contraseña o PIN, por ejemplo. Otro factor puede ser la posesión de un objeto en particular -un teléfono que recibe mensajes de texto enviados a un número determinado, una llave USB o acceso a una dirección de correo electrónico. Un tercer factor puede ser la herencia -algo específico de su ser, como su huella dactilar o un escáner de retina.

Considere la puerta de entrada a su casa. Si puede abrirla con solo una clave, eso es autenticación de un factor; solo debe poseer la llave de su casa. Si tuviera que abrir su puerta con una llave física e ingresar un pin de cuatro dígitos en una cerradura electrónica, eso sería autenticación de dos factores (la llave que posee y el pin que conoce). ¡Instalar un sistema de alarma es básicamente agregar 2FA a su casa!

Algunas empresas llaman a este tipo de seguridad MFA (autenticación de factores múltiples) o verificación en dos pasos. Si bien estos términos son técnicamente un poco diferentes a 2FA, para la mayoría de las aplicaciones de consumo son más o menos lo mismo.

En otras palabras, 2FA protege su cuenta haciéndole proporcionar algo que sabe (su contraseña o PIN) junto con algo que posee (su smartphone o una clave física), o algo que usted es (su huella digital o un escaneo facial detallado). Es una forma de asegurarse de que, si alguien roba o adivina su contraseña, aún no podrá acceder a su cuenta.

Una vez más para enfatizar: 2FA es una forma de asegurarse de que alguien que robe, adivine o acceda a su contraseña de alguna manera no pueda ingresar a su cuenta. ¡Esto lo convierte en una protección fundamental!

¿SMS, correo electrónico o aplicación?

La gran mayoría de los métodos 2FA para las cuentas de los consumidores cotidianos consistirán en su contraseña (o PIN) habitual junto con uno de los otros tres métodos de prueba:

• Correo electrónico: Cuando intente iniciar sesión, el servicio enviará un correo electrónico que contiene un código corto a la dirección ya asociada con su cuenta. El código solo se puede usar por un tiempo limitado. Usted revisa su correo electrónico, ingresa el código y accede a su cuenta.
• Mensaje de texto: El servicio envía un mensaje de texto SMS al número de teléfono que tiene registrado para usted, que contiene un código (generalmente un número de seis dígitos). El código solo es válido durante unos minutos.
• Aplicación TOTP: Una aplicación especial en su smartphone genera una TOTP (contraseña de un solo uso basada en el tiempo) basada en una cadena secreta única compartida con el servicio. La contraseña (generalmente una cadena de seis números) solo es válida durante 30 segundos a un minuto, después de lo cual se genera otro código.

De estos métodos, el enfoque de la aplicación TOTP es el mejor. Una sola aplicación 2FA buena se puede usar para muchos servicios a la vez, y es más segura que recibir códigos en su correo electrónico (si el inicio de sesión de su correo electrónico es el que ha sido hackeado, ¡está en problemas!) o a través de SMS (un proceso llamado SIM-jacking puede permitir a los estafadores transferir su número de teléfono a una nueva tarjeta SIM e interceptar sus mensajes de texto).

Las aplicaciones TOTP no son tan convenientes como los mensajes de texto. Debe cargar una aplicación en su teléfono, abrirla y verificar los códigos cada vez que inicie sesión desde una computadora, navegador o dispositivo nuevo. Pero es la mejor combinación de comodidad, ubicuidad y seguridad, por lo que es el método que recomendamos. Nuestra aplicación TOTP favorita es Authy, pero también debe consultar LastPass Authenticator, Microsoft Authenticator y Google Authenticator.

Desafortunadamente, algunos sitios y servicios solo ofrecen 2FA a través de correo electrónico o SMS. Si ese es el caso, ¡tome lo que pueda conseguir! Todavía es mucho más seguro que no habilitar 2FA en absoluto.

¿Qué pasa con las llaves de hardware?

Un dispositivo de llave de hardware es probablemente el medio más seguro para bloquear su cuenta. Alguien tendría que robarle físicamente el llavero de hardware para poder entrar.

La mejor opción para los usuarios de Mac e iPhone es probablemente YubiKey 5Ci, que tiene conexiones tanto para USB-C como Lightning y soporta una amplia gama de protocolos y servicios de seguridad. ¿La baja? ¡Son 70 dólares por una sola llave! Existen algunas opciones más baratas, pero de cualquier forma que lo mire, es otra cosa física que debe tener con usted en todo momento, o de lo contrario no podrá acceder a sus cuentas.

Y si lo pierde (¡es diminuto!), debe pasar por todos los servicios para los que lo habilitó y usar cualquier método de autenticación secundario que tengan para recuperar el acceso a su cuenta.

Las llaves de hardware son excelentes si así lo desea, pero aún creemos que la mejor combinación de seguridad, costo y facilidad de uso es una aplicación TOTP.

Cómo proteger cuentas populares con 2FA

El proceso para habilitar 2FA es un poco diferente para cada cuenta y servicio que pueda tener. Una simple búsqueda en Google le ayudará a encontrar algunas instrucciones, pero hemos compilado una lista útil de las cuentas de Internet más populares aquí, con enlaces a sus páginas de ayuda que describen cómo habilitar 2FA.

• Google: Google soporta muchos métodos 2FA diferentes y tiene un sitio útil que describe cómo funciona todo.
• Twitter: Twitter es una de las cuentas más frecuentes y públicamente comprometidas en Internet. Aquí se explica cómo habilitar 2FA en su cuenta.
• Facebook: Con más de dos mil millones de personas en Facebook, es un objetivo enorme para los hackers. Este artículo de ayuda le muestra cómo configurar 2FA.
• Instagram: Instagram tiene una página de ayuda para 2FA, que le indica cómo configurarlo en su cuenta.
• Amazon: Es probable que su cuenta de Amazon tenga métodos de pago asociados, y es un gran objetivo para los ladrones que buscan comprar cosas con su dinero. Esta página de ayuda muestra cómo habilitar la verificación en dos pasos.
• Reddit: Como todas las principales cuentas de redes sociales, debe proteger su cuenta de Reddit con 2FA. Aquí está la página de ayuda que describe cómo hacerlo.
• Microsoft (Xbox): Puede tener su propia cuenta de Microsoft, o una para el trabajo, o ambas. Si tiene una cuenta de Xbox, es una cuenta de Microsoft y es un gran objetivo para los estafadores y hackers. Aquí está la página describiendo cómo habilitar 2FA para sus cuentas de Microsoft.
• PlayStation: Los jugadores de PlayStation también querrán proteger su cuenta con 2FA. Desafortunadamente, Sony solo soporta mensajes de texto como su método 2FA. Pero es mucho mejor que nada.
• Nintendo: Una cuenta de Nintendo se puede usar en un sistema Switch o Wii, pero también en algunas aplicaciones móviles de Nintendo. Al igual que con todas las cuentas de juegos, deberá habilitar 2FA para bloquearla. Nintendo le indica usar Google Authenticator para los códigos TOTP, pero hemos usado otras aplicaciones sin problemas.
• Administradores de contraseñas: Un administrador de contraseñas es el guardián de todas sus contraseñas. ¿Cómo no habilitar 2FA en él? Cada administrador de contraseñas tiene sus propias instrucciones sobre cómo habilitar 2FA, pero aquí están las páginas de ayuda para: 1Password, LastPass, y Dashlane.
• Cuentas bancarias: Si alguien obtiene acceso a su cuenta bancaria en línea, básicamente puede tomar todo su dinero. Estaría loco si no asegurara esas cuentas con 2FA. Hay demasiados bancos, cooperativas de crédito e instituciones financieras para enumerarlos todos aquí. Solo asegúrese de tener habilitado 2FA para cada lugar en el que almacene o pida prestado dinero. No se olvide de las cuentas de tarjetas de crédito y los servicios de compraventa de acciones. Afortunadamente, muchos bancos habilitan 2FA de forma predeterminada en estos días, al menos por correo electrónico o mensaje de texto. Pero algunos ofrecen opciones más seguras que tal vez quiera explorar.

Basado en el artículo de Jason Cross (MacWorld) y editado por CIO Perú

Puede ver también:

• Cómo elegir una solución MFA y 8 productos de autenticación multifactor
• Cómo saber si su contraseña ha sido robada
• Introducción a Google Password Manager
• Las mejores herramientas para el SSO
• 3 pasos para hacer que la administración de contraseñas sea más fácil
• Qué hacer cuando le roban la laptop (y cómo prepararse para ello)
• 10 formas de aprovechar al máximo su gestor de contraseñas
• Los mejores gestores de contraseñas gratuitos
• 10 herramientas de seguridad que todos los empleados remotos deberían tener
• 8 amenazas a la seguridad móvil que debería tomar en serio
• Cifrado de archivos: Comparación de los 3 mejores programas