Cómo funciona y por qué usarlo en cuentas personales y laborales
¿Qué es la autenticación de dos factores (2FA)?
La autenticación de dos factores es una medida de seguridad adicional que, junto a la contraseña, ayuda a proteger tu cuenta.
Cuando inicias sesión en una cuenta, además de ingresar tu contraseña, se te pedirá un código o dato adicional que debes obtener o que se envía a tu teléfono cada vez que alguien intente acceder a tu cuenta desde un nuevo dispositivo.
El objetivo es evitar que alguien ingrese a tu cuenta aun teniendo acceso a tu contraseña.
Recuerda que la contraseña conforma el primer factor de autenticación ya que es la medida más básica de seguridad de cualquier cuenta, es un dato que el usuario sabe. Mientras que el código o dato adicional, es un segundo factor de autenticación ya que es un objeto físico que el usuario tiene, por ejemplo, su teléfono (el código adicional se envía a su teléfono).
Por esto también, la autenticación de dos factores también es llamada “verificación en dos pasos” o “doble factor de autenticación”.
¿Cómo funciona la autenticación de dos factores?
La autenticación de dos factores es una medida de seguridad que se activa directamente desde las aplicaciones o páginas web en donde tengas cuenta o usuario.
Sin embargo hay dos formas de obtener el código de verificación:
- A través de Google Authenticator o Authy
- A través de un SMS
La diferencia entre ambos es que recibir un SMS no es tan seguro como obtenerlo desde una app autenticadora. Las razones son varias: los ciberatacantes pueden engañar a los operadores de línea telefónica para que el mensaje se envíe hacia otro dispositivo, pero también, muchos teléfonos exponen una vista previa del mensaje y una primera línea de texto en la que aparece el código de verificación. Esto le permitiría ver el código a cualquiera que estuviera cerca de tu teléfono, por ejemplo en un espacio de coworking o café público.
Las aplicaciones de autenticación como Google Authenticator o Authy, por otro lado, no dependen de los operadores de línea telefónica, son aplicaciones que generan códigos que caducan cada 20 o 30 segundos aproximadamente.
Hackmetrix Insight: si quieres activar el 2FA en una cuenta en particular, solo tienes que googlear “[NOMBRE DE LA APP +] 2FA” y encontrarás las guías para hacerlo.
Considera estas diferencias en el caso de que quieras utilizar esta capa de seguridad para tu propio producto. Por un lado, tus clientes estarán más seguros y, por otro, tu empresa estará cumpliendo con las mejores prácticas de ciberseguridad.
Lo más importante es que, implementar 2FA a nivel institucional no sólo te ayudará a mantener la información de tu empresa más segura sino que, aumentará la confianza de tus usuarios. Un claro ejemplo de éxito es Videsk.
Si en tu empresa o startup todavía no lo han aplicado, échale un ojo a nuestro orgulloso caso de éxito con Videsk. Descubre cómo sumó el 2FA, una de sus múltiples capas de seguridad en su producto.
¿En qué cuentas debería usarlo?
Lo recomendable es activar el 2FA en las cuentas más “críticas”, valiosas o de mayor uso, por ejemplo, las cuentas de las redes sociales y las de trabajo.
Para darte una idea, es bueno preguntarse: ¿qué cuentas no puedo arriesgar o permitir que sean vulneradas?
En el caso de las laborales, deberían ser todas. Sin embargo, cuando se trata de lo personal, muchas veces visitamos sitios una sola vez en la vida que guardan poca o nula información nuestra y que, además, ni siquiera permiten activar el 2FA.
¿Cuáles son los riesgos de no usar 2FA?
Los riesgos son altos no solo para tu información personal, sino también para la información que manejas a nivel laboral: una vez que un ciberatacante vulnera una contraseña personal, probablemente pueda escalar hasta acceder a información aún más crítica como la de la empresa en la que trabajas.
Por lo general, los ciberatacantes utilizan diferentes herramientas y tipos de ataque para vulnerar las contraseñas:
- Phishing: se trata de una técnica en la que la víctima recibe correos electrónicos o notificaciones fraudulentas para que revele números de tarjetas de crédito, información de cuentas bancarias, números de seguro social, contraseñas u otra información confidencial.
- Código malicioso: también conocido como malware, es un programa diseñado para realizar acciones maliciosas como el robo de contraseñas o credenciales.
- Fuerza bruta: este es un ataque se hace por medio de un programa con un “diccionario” de contraseñas comúnmente utilizadas. Con él, el ciberatacante puede ejecutarlo hasta descifrar la contraseña del usuario.
Usar una autenticación de dos factores también ayuda a contrarrestar conductas inseguras o negligentes (dejar credenciales de acceso en un post it en el monitor o en una libreta a la mano de todos), las cuales son las que más generan cantidad de brechas en las empresas.
Ciberseguridad en pequeñas dosis y de manera simple
Mensualmente enviamos un newsletter de ciberseguridad para incentivar una cultura de ciberseguridad en las empresas en crecimiento. Si quieres ciberseguridad en pequeñas dosis y de manera simple, suscríbete y accederás a:
- Tips de ciberseguridad personal y profesional
- Guías de cumplimiento para empresas en crecimiento
- Noticias de hacking y cómo protegerte
- Artículos, plantillas gratuitas e infografías
Conclusión
La contraseña conforma el nivel más básico de autenticación y, desafortunadamente, no es suficiente si quieres proteger tu información.
Utiliza la autenticación de dos factores o 2FA para agregar una capa extra de seguridad y hacer más difícil la tarea de un hacker por obtener acceso a tus datos.
De esta forma, cada vez que alguien intente acceder a tu cuenta desde un nuevo dispositivo, se necesitará un código adicional que solo podrás obtener desde la aplicación de Google o Authy en tu teléfono.
La recomendación es activar este segundo paso de verificación en tus cuentas más valiosas como redes sociales y cuentas que involucren información laboral.
La autenticación de dos factores también es una práctica necesaria para mantener el cumplimiento de algunas normativas como ISO 27001, PCI DSS y SOC 2.