Autenticación de dos factores: muy pronto, en muchos de los servicios que usas

IMAGE: Electronic Frontier Foundation

Google acaba de anunciar la incorporación por defecto de la autenticación de doble factor en las cuentas de muchos millones de usuarios, y Facebook ha dicho también que lo hará para las cuentas que considera «de alto riesgo», una definición tan amplia como la propia compañía tenga a bien decidir.

Los anuncios solo pueden significar una cosa: en muy poco tiempo, ese tipo de autenticación que te hace depender de un segundo canal de comunicación o dispositivo para entrar en algunos servicios se va a convertir en la opción por defecto en cada vez más sitios, así que si no la tenías activada todavía, vete pensando en hacerlo y en ir acostumbrándote a su funcionamiento de manera rutinaria.

Desde hace mucho tiempo, la autenticación de doble factor es uno de los consejos habituales de los expertos en seguridad para aquellas cuentas que tenemos especial interés en proteger. Las razones no son únicamente el hecho de añadir un paso adicional y una dificultad extra a quienes quieren acceder a nuestras cuentas, sino también el hecho de que una cantidad absurdamente elevada de usuarios siguen teniendo como costumbre utilizar una única contraseña para muchos servicios, una práctica completamente desaconsejable considerando que muchos de esos servicios son rutinariamente comprometidos y sus listados de usuarios y contraseñas publicados en distintos lugares a disposición de quien quiera ponerlos a prueba.

La autenticación de doble factor no es especialmente cómoda: tener que esperar a recibir una segunda clave a través de un mensaje o de una app de autenticación elimina la conveniencia de la inmediatez absoluta, y en ocasiones, como por ejemplo cuando dependemos de un mensaje de texto y estamos en el extranjero con el móvil en modo datos, en un problema puntual. Pero la seguridad que añade al proceso es sin duda muy superior, lo que hace que sea muy recomendable sobre todo para aquellos servicios que consideramos razonablemente críticos.

A lo largo del tiempo, hemos ido acostumbrándonos a utilizar de manera rutinaria servicios de todo tipo que requieren autenticación, muchos de los cuales juegan un papel importante en nuestro día a día. Sin embargo, los protocolos de autenticación no han evolucionado de la misma manera, y en muchos casos, seguíamos dependiendo de sistemas simples de usuario y contraseña relativamente fáciles de violar si existían suficiente interés en hacerlo. La banca, por ejemplo, ha intentado solucionar el problema mediante todo tipo de ingenios, desde tarjetas de coordenadas hasta ventanas flotantes, que tienden a complicar la vida de sus usuarios mucho más que un sistema multifactorial bien organizado. Las compañías, por su parte, han tendido a establecer rutinas completamente absurdas de cambio de contraseñas cada poco tiempo, que condenaban a sus usuarios a terminar escribiendo la contraseña en una nota adhesiva y pegándola a la pantalla, en una noción completamente errónea del concepto de seguridad.

Veremos si con compañías grandes como Google y Facebook convirtiéndose ahora en pioneros del movimiento de la autenticación multifactorial, conseguimos que mejore un poco la cultura de seguridad.


This article is also available in English on my Medium page, «Two-factor authentication: coming soon to many of the services you use«

16 comentarios

  • #001
    Pedro - 4 diciembre 2021 - 20:13

    Yo hace tiempo que uso un gestor de contraseñas para tener contraseñas diferentes en cada sitio y que sean de 20 caracteres de todo tipo.

    En sitios que, como bien dices, considero críticos uso además el código que me proporciona cada vez Google Authenticator. Y sí, es un poco peñazo, sobre todo si pretendo iniciar sesión en el móvil; aunque por otra parte me da cierta tranquilidad de que no me robarán el inicio de sesión.

    Sé que Facebook bloquea, desde hace tiempo, las cuentas (publicitarias y hasta las personales) de quienes hacen publicidad en la plataforma y no tienen habilitada la autenticación de 2 factores, quizá porque muchos han sufrido el robo de sus credenciales de acceso y, por tanto, cargos inesperados en su tarjeta de crédito. Menos mal que frecuentemente Facebook las devolvía el dinero.

    Si Google y Facebook obligan a usar autenticación de 2 factores… muchas cuentas se convertirán en «cuentas fantasma» por no saber implementarlo, me temo.

  • #002
    Gorki - 5 diciembre 2021 - 00:07

    Mi opinión es que la seguridad debe ser proporcionada al riesgo, Parece razonable tener una cuenta blindada en casa, pero no una puerta blindada como la del Banco de España. Seamos sensatos, posiblemente José Luis Moreno, precise una habitación anti pánico en su chalet, si yo hago eso en mi segunda vivienda, soy el hazme reír de todo el pueblo.

    Parece razonable que la cuenta de Twitter del Jefe de Gobierno, del Presidente de Cantabria, o incluso la del presidente del Valencia Club de Futbol tengan algún tipo de seguridad mas fuerte que la que yo uso,

    De verdad que creen, que con las tonterías que pongo en Facebook, alguien va a perder mas de cinco minutos en destripar mi clave en esa red social. Y si yo no saco un duro por estar ahí, creen que hay otro mas listo, capaz de sacar dinero suplantándome en Facebook. Mi cuenta está segura, aunque la clave que use sea 12345678, para nada preciso autenticación de dos factores,

    Debería ser opcional, el que lo necesite o crea necesitarlo que lo pueda implantar, pero no obligatorio. Lo que buscan es mi número de móvil para darme la murga como intentan dármela por el fijo…

    • Lua - 5 diciembre 2021 - 14:21

      Pues yo casi que estoy contigo…

      A mi me parece muy bien que se adopten medidas de protección “extras”…
      Pero también me parecería muy bien, que me dieran la opción de aceptarlas (usarlas) o no…

      Yo deje FB cuando empezó a darme por culo con incluir el número de teléfono (entre otras muchas cosas) y tiempo más tarde, me ocurrió lo mismo en TW.

      Si quieres implementar seguridad adicional, estupendo, pero has de dar la oportunidad a que el usuario decida o no emplearlas…

      Me joroba tremendamente, cuando casi todos los navegadores, deciden que “esta es una web maliciosa y no te voy a dejar entrar en ella”… coño, adviérteme, y deja que sea yo quien decida mis riesgos…

      En el caso de Mozilla, la cosa esta empezando a ser sangrante… esta misma semana se han cargado una extensión FDV Speed Dial, donde tenia metidos favoritos y webs de mejor uso. Para mí, era la página de inicio ideal (además de vistosa).

      Lo han hecho argumentando que “enviaba datos de mi navegación a terceros”… pero coño… si vuestra propia pagina de inicio hace lo mismo… si tengo otros complementos como adBlock, uBlock o NoScript, que ya se encargan de “protegerme”… pero si vosotros mismos lo hacéis si o si… Ni tan siquiera la opción de hacer un backup…

      Mas apocalíptico, CaixaBank… tienes que tener la app instalada si o si (total, yo solo consulto saldo, el resto lo hago por oficina online desde pc) y no les basta con la milonga, que te has de instalar también el Caixa-Sign por donde te van a enviar los códigos para usar la primera app…

      Imaginad, a alguien que se olvida el móvil en casa, yo mismo, que me pasa mas a menudo de lo que parece y no soy de dar la vuelta a buscarlo…

      Imaginad a la gente mayor… que bastante ha tenido en su vida como para complicarle los cuatro días que les quedan…

      Seguridad: SI… opción a utilizarla, también…

  • #004
    Javier Rigaud - 5 diciembre 2021 - 03:31

    Llevamos poco tiempo todavía con medios de pago virtuales y, poco a poco, todo se irá acomodando. Pero hasta ese momento tendremos algún que otro disgusto.

    Algo que a mí en particular me chirría mucho es el hecho de que por mucha doble autenticación que tengamos, el sólo hecho de disponer de tarjetas de débito o crédito en nuestras carteras nos expone las cuentas completamente, ya que cualquiera puede, sólo con el número de tarjeta, lanzar un cobro sobre ella sin control y sin tú poder hacer nada.
    Que sí, que luego el banco te lo devuelve, pero hay que pelearlo, denunciarlo, cambiar de tarjeta, y otros inconvenientes, y, al final, no siempre sale todo bien.

    • Gorki - 5 diciembre 2021 - 12:17

      Lo que yo hago, es que la cuenta de la tarjeta que llevo encima, solo tiene como muncho 2000€ de saldo. Mas que suficiente para pagar el 95% de cosas que quiero comprar, pero un límite de lo que me pueden robar que puedo soportar.

      Lo que con ocurre, es que con los gastos bancarios desbocados, este tipo de cosas que antes era muy barato o gratis, se está encareciendo bastante.

    • Luis - 5 diciembre 2021 - 12:44

      A unos conocidos les han hackeado el movil y les han vaciado la cuenta, Caja Laboral no se hace cargo y van a juicio.

    • Javier M. - 13 diciembre 2021 - 09:11

      Muchos bancos disponen ya de «tarjetas virtuales» que se puedes cargar y descargar, y se utilizan para precisamente esta clase de estafas. Yo cuando voy a comprar algo por internet las recargo con lo que me va a costar la compra. Da un poco de trabajo pero te evita dar un número de tarjeta «real» y que te la pillen.

  • #008
    Angel - 5 diciembre 2021 - 03:44

    Apple usa autenticación de doble factor desde hace años. No entiendo lo de Google o Facebook “pioneras”…

  • #009
    Javier Lux - 5 diciembre 2021 - 08:50

    No me queda claro como va a recuperar google en caso de pérdida del dispositivo android que protege tu cuenta gmail. Supongo que recovery lo hará via SMS.

    El caso es que prefiero el google aunthenticator, que lo tengo replicado en dos dispositivos, que esa clave que google guarda en el settings de tu móvil.

    El segundo elemento de autenticación tiene que ser replicable en otros dispositivos.

    • Lua - 5 diciembre 2021 - 20:56

      Si no tienes el movil… El SMS….

  • #011
    Alberto - 5 diciembre 2021 - 09:26

    Estoy con Gorki, debería ser opcional y principalmente busca conseguir más información del usuario que darle seguridad.

    Yo tengo multitud de cuentas que deseo que solo se protejan con contraseña porque son de usar y tirar, para recibir spam o compartidas con otras personas y el doble factor las hace muy incomodas de usar o inútiles.

    Al final va a causar más problemas que beneficios cuando te falte ese segundo factor de verificación. Yo ya tengo mis problemas con 10 minutos de espera para entrar a trabajar esperando por microsoft.

    Hay que replicarlo en varios dispositivos como indica Javier Lux para poder entrar aunque por ejemplo se te estropee el movil aunque esto abre que entren con varios dispositivos así que más seguridad es relativo, debería ser a gusto del consumidor.

  • #012
    Carlos Quintero - 5 diciembre 2021 - 09:39

    La autenticación de dos factores es un mal necesario para muchas personas. Conozco por referencias varios casos de gente con cuentas de Instragram que son la parte esencial de su negocio y que han sido secuestradas, porque no tenían el asesoramiento adecuado en cuanto a normas de seguridad.

    Sin embargo, añade algunas complejidades para el usuario medio que en muchos casos les dará problemas:

    – El setup: aunque en apariencia es fácil, sobre todo si se hace con SMS a un número de móvil, hay otros métodos no tan triviales que implican instalarse una app autenticadora (y hay varias), hay pensar en qué pasa cuando cambias de móvil, etc.

    – El backup, es decir, qué pasa si se pierde el segundo factor. Aquí varía desde sitios que te dan una tabla de 10 códigos de backup (¡que hay que custodiar!), sitios que te dan un solo código de backup, y otros que no te dan ninguno (ej: AWS) y lo recuperas por otros medios (correo, SMS, etc.).

    En general este es un problema que no tiene una solución fácil. Para la mayoría de las personas usar una contraseña única en todos los sitios es «imbatible» en cuanto a comodidad (y además no sienten la necesidad de mayor seguridad), y cualquier otra solución les añade una complejidad que les superaría: un gestor de contraseñas, 2FA, sistemas password-less, etc. porque no son tan triviales de manejar si no tienes conocimientos informáticos. Ya sé que muchos pensaréis que no es tan difícil, pero estoy seguro de que la mayoría de comentaristas de por aquí sabe sumar y restar en binario o en hexadecimal, así que esa opinión no cuenta ;-)

    Imaginemos por un momento qué pasaría con más de medio país si Facebook se decide a hacer obligatorio el 2FA en WhatsApp, por ejemplo.

  • #013
    Xaquín - 5 diciembre 2021 - 14:37

    Por darle un toque más humanista al asunto de la autentificación informática, diría que la cuenta cerebral ya practica desde siempre la doble (y la múltiple autentificación). Así que no es un invento delas tecnológicas, precisamente.

    Pero como pasa con la tecnológica, diría que no se puede complejizar lo que va bien con cierta simplicidad. Sobre todo si se ataca con ello el principio de comodidad. Otra cosa es la adicción por parte del personal al Principio de Mínimo Esfuerzo, que viene empaquetado con el de Comodidad.

    Eso lo sabe muy bien un cerebro «en condiciones», por lo que trata de simplificar al máximo sus operaciones. Tiene claro el principio de prioridad.

    Y por eso necesita algo más de cuidado por parte del mediocre homo sapiens, aparte de algo más de confianza. Eliminando, por ejemplo, esa tonta cantinela de que «el cerebro nos engaña».

    ¿Acaso tiene personalidad el cerebro? Nos engañamos a nosotros mismos, mediante el mal uso del cerebro, por no tenerlo en condiciones. Por ejemplo con el sistema de filtros precisos , para decodificar la información que entra, y separar la paja del grano. Especialmente cuando la maquinaria actual que nos introduce la información, tiene tendencia a sobrepasar el caudal de paja científicamente digerible.

    Así que el problema, como siempre, no está en las tecnológicas, grandes o pequeñas, está en el cerebro de ese homo sapiens, usado con menos o mayor eficacia. Como el capitalismo (y todos los ismos) hay que buscar mejor donde falta la preceptiva actualización.

  • #014
    Lua - 5 diciembre 2021 - 19:44

    Y mientras unos «velan» por nuestra seguridad…
    … otros se «petan» nuestra privacidad…

    EE.UU. afronta una nueva polémica sobre privacidad y el protagonista es Clearview AI, el software de reconocimiento facial

  • #015
    Michel Henric-Coll - 5 diciembre 2021 - 20:27

    Las compañías lo han aprendido: si quieres imponer a la gente algo que te beneficia a ti, pretende que es por su propia seguridad. Siempre cuela.La gente acepta lo que sea.

    La doble autenticación, ¿es por mi seguridad como usuario, o por la seguridad de estas compañías que quieren evitar demandas, o tal vez porque queda muy bien desde un punto de vista del marketing?.

    ¿Cuántas webs empresariales ponen en su página de inicio «Su seguridad es nuestra máxima prioridad». Ah, vale. No los beneficios, ni la cotización en Bolsa, ni la imagen de marca, ni nada de esto. La prioridad de estas grandes empresas es….. nuestra seguridad.

    Y no, no estoy hablando de Seguridad Direct :-)

  • #016
    Alnair - 6 diciembre 2021 - 18:58

    Bueno, ya se que mi madre se quedará sin correo porqué no se va a apañar.

Dejar un Comentario

Los comentarios están cerrados