La verificación en dos pasos, también conocida como 2FA en muchos casos, es un sistema que lleva ya bastante tiempo entre nosotros. Aunque, es un sistema poco conocido. Activar la verificación en dos pasos es una de las recomendaciones más frecuentes cuando queremos proteger o mejorar la seguridad de nuestras cuentas.
Muchos servicios web populares, o Apps, ofrecen ya algún tipo de verificación en dos pasos, este factor 2FA nos puede ayudar a proteger nuestras cuentas cuando son robadas. Si eres una de esas personas que dicen ¿quien va a querer mi cuenta? Ojo, porque mas de uno ha lamentado hacer ese tipo de comentarios. Y es que las personas que no aprovechan la activación de la verificación en dos pasos, les va a ser prácticamente imposible recuperar el acceso a su cuenta.
Los «ladrones» actuales después de «piratear» una cuenta habilitan la verificación en dos pasos en sus dispositivos, para que te sea imposible recuperar la cuenta.
Indice de contenidos
Que es la verificación en dos pasos
La verificación en dos pasos, también conocida como doble factor de autenticación (2FA), es una medida de seguridad adicional con la que hacemos más difícil que alguien sin autorización acceda a nuestra cuenta personal de aquel servicio que cuente con esta funcionalidad.
Cuando activamos este tipo de verificación 2FA en un servicio web, además de utilizar la contraseña para acceder al servicio. También será necesario facilitar otro código único para concluir el acceso.
¿Por que habilitar la verificación en dos pasos?
No habilitar la verificación en dos pasos cuando se ofrece es un riesgo. Sobre todo para las personas que tienen la costumbre de reutilizar o reciclar contraseñas en múltiples sitios. Hay que tener siempre presente que cualquier servicio al que confíe información confidencial puede ser pirateado. Y habilitar la verificación en dos pasos es una protección mas para evitar que nuestra información sea robada.
Además, tener en cuenta que la mayoría de sitios y servicios en línea que tienen verificación en dos pasos son completamente automáticos. Es extremadamente difícil obtener ayuda cuando se producen casos de robos de cuentas. Y esto se multiplica si no tenemos activada la verificación en dos pasos. Los atacantes pueden modificar y / o eliminar la dirección de correo electrónico original asociada con la cuenta.
Te voy a contar la historia de un incidente de seguridad que sufrió uno de mis clientes.
Si no activamos la verificación en dos pasos jugamos con nuestra información
Mi cliente es una persona con amplios conocimientos en privacidad digital, llamemosle Paco para mantener su anonimato. Es un gran amante de los videojuegos, y en su casa cuentan con una Xbox que usan tanto él como sus hijos. Al hijo menor, al cumplir los 18 años se le dio el control total de su cuenta de Microsoft-Xbox. Y Paco le indico una serie de pautas: no uses la contraseña de Xbox en mas sitios y activa la verificación en dos pasos en tu iPhone.
Un sabado Paco viene de tomar un cafe con sus amigos, y su hijo le dice que la Xbox no le deja acceder y que por lo tanto no puede jugar. Paco le pregunta a su hijo menor, y este le confiesa que ha usado la contraseña de Xbox en mas sitios y que tampoco activo la verificacion en dos pasos.
Cuando los dos se sentaron a analizar la situación e intentar restablecer su contraseña. Se encontraron con que la Xbox mostraba en pantalla un aviso que decía que había una nueva dirección de Gmail vinculada a su cuenta Xbox. Cuando fueron a activar la verificación en dos pasos para el perfil de Xbox de su hijo, que estaba vinculado a una dirección de correo electrónico que no era de Microsoft. El servicio de Xbox dijo que enviaría una notificación del cambio a la cuenta de Gmail no autorizada en su perfil.
Ante la gravedad del asunto, y el dinero que estaba en juego, ya que los metodos de pago estaban habilitados. Paco decide abrir un ticket con Microsoft para que bloqueen la cuenta, pero no les deja abrir el ticket porque no tiene acceso a su cuenta, y ademas descubre que el ladron ha activado la verificacion en dos pasos. Paco se comunica con Microsoft a traves de su propia cuenta y explica la situacion. Microsoft le responde con un cuestionario con bastantes preguntas para comprobar que de verdad eres el dueño de esa cuenta.
No solo era cuestión de jugar a la consola
Mientras tanto Paco descubre que su tarjeta de crédito esta sufriendo movimientos, compras masivas de juegos de Xbox. Decide llamar al banco, explicar la situación y anular la tarjeta.
Cual es la sorpresa de Paco cuando a pesar de responder todas esas preguntas que le formulo Microsoft con éxito, Microsoft se negó a permitirles restablecer la contraseña, ya que no podían corroborar al 100% que fueran los dueños de la cuenta. OJO esto no solo sucede con Microsoft, Google por ejemplo usa el mismo método.
Como podéis observar esto nos puede pasar a cualquiera en nuestras casas, y pueden ser nuestros hijos con sus cuentas de instagram o nosotros con nuestras cuentas de Twitter, cualquier cuenta. Por este motivo es importante activar la verificación en dos pasos.
Ventajas que nos ofrece la verificación en dos pasos
La principal ventaja de utilizar la verificación en dos pasos es el punto extra de seguridad que damos a nuestra cuenta personal, ya que será más seguro que utilizar únicamente un usuario y contraseña.
Puede darse el caso que alguien se haga con nuestra contraseña personal. En este caso, si no tenemos habilitada la verificación en dos pasos, un ciberdelincuente podría acceder a nuestra cuenta y realizar cualquier acción que podría repercutirnos negativamente, ya que a los ojos del resto del mundo lo habríamos hecho nosotros.
Por el contrario, si tenemos habilitada la verificación en dos pasos, el ciberdelincuente no podrá acceder a nuestra cuenta. Ya que aunque esté en posesión de la contraseña, no tendría el código necesario para concluir el proceso de acceso.
Inconvenientes de la verificación en dos pasos
Solo uno. Que pierdas o no tengas en ese momento el dispositivo con el que recibimos el código de verificación, en ese caso cada servicio cuenta con unos mecanismos de recuperación propios.
Actualización: Apps como Authy ya ofrecen la posibilidad de sincronizacion entre distintos dispositivos, a través de bóvedas cifradas con contraseña.
Como recibes ese segundo código de verificacion
Cómo recibes ese código adicional puede variar. Durante muchos años, la forma de hacerlo era mediante mensajes SMS, pero no es la opción mas segura debido al Sim Swapping. Alguien con suficiente conocimientos, experiencia y motivación podría lograr duplicar tu tarjeta SIM, convenciendo a tu operadora para que le envíen una SIM. No es fácil, pero es posible. Ahora te explicamos los métodos principales.
Que métodos de verificación en dos pasos se pueden activar
En casi todos los escenarios hay dos métodos. Las opciones de autenticación con códigos de una sola vez enviados por correo electrónico, llamadas telefónicas o SMS, o mediante el uso de una aplicación móvil de autenticación que nos genere un token(codigo) de entrada cada x segundos. Recomiendo la segunda opción como método 2FA. En nuestro equipo usamos Twilio Authy, es una App de código abierto muy utilizada, segura y fiable.
Tener en cuenta que el riesgo 0% nunca va a existir en el mundo digital. Por ejemplo el correo electrónico, los SMS y los códigos únicos basados en apps pueden ser inseguros también. Si establecemos dos posibles escenarios de incidentes de seguridad: nos podría pasar desde el robo de nuestra SIM mediante SIM Swapping, hasta un malware en tu dispositivo que de acceso a la App que genere los tokens de acceso.
Pero ten en cuenta una cosa, si las únicas opciones de autenticación agregadas son la de SMS, o llamadas telefónicas o App de autentificación. Estos métodos son mejores que simplemente confiar en una contraseña para proteger nuestra cuenta.
Desde esta página web, y aunque está en inglés, podréis comprobar que servicios y organizaciones cuentan con la posibilidad de activar la verificación en dos pasos.
Por que recomendamos Authy como App de autentificacion
Existen mas apps como por ejemplo Google Authenticator. Pero Authy tiene más funciones de seguridad, permite la sincronización de múltiples dispositivos, copias de seguridad cifradas en la nube y una recuperación de cuenta más fácil en caso de que cambies o pierdas tu teléfono o dispositivo. Y ademas es de código abierto.
Listado de sitios donde puedes activar la verificacion en dos pasos y como hacerlo
Iremos actualizando el listado en nuestra web:
Es una pagina muy buena
es muy buena