La autenticación de doble factor funciona

IMAGE: Dan Nelson - Pixabay (CC0)

El pasado diciembre de 2021, Google tomó la decisión de empezar a habilitar la autenticación de doble factor en todas sus cuentas con el fin de mejorar su seguridad y evitar accesos indebidos a la información de sus usuarios. Ahora, unos dos meses después, la compañía anuncia que como resultado de haber convencido a más de ciento cincuenta millones de usuarios para adoptar esa estrategia de seguridad, las intrusiones en sus cuentas se han reducido a la mitad. La compañía va a continuar con el despliegue de la autenticación de doble factor durante todo este año 2022.

Indudablemente, la autenticación de doble factor (2FA o 2SV, two-step verification), que obliga a introducir una clave recibida a través de un sistema o dispositivo adicional, supone una mejora de la seguridad. El dilema, lógicamente, está en cómo conseguir que ese proceso no suponga también un excesivo engorro que, además, como resultado de la ley de Murphy, tiende a producirse siempre en el momento en que más incómodo resulta.

En ese sentido, el uso del doble factor en las cuentas de Google resulta no solo razonablemente sencillo y versátil, sino que además, suele solicitarse únicamente cuando se produce un intento de acceso en un dispositivo diferente a los utilizados habitualmente. La compañía ofrece una amplia gama de posibilidades a la hora de enviar la petición de confirmación con el segundo factor o clave adicional, desde un simple SMS o un prompt en su aplicación, hasta el uso de una aplicación específica de autenticación – yo utilizo la de mi gestor de contraseñas, LastPass Authenticator, pero hay muchas otras, y Google ofrece la suya – o incluso de un dispositivo de bolsillo o token de autenticación, de la propia Google o de otros fabricantes.

Elegir un método u otro depende, fundamentalmente, de la costumbre o de la experiencia. Durante cierto tiempo, opté por el envío de la clave a través de SMS, para terminar hartándome de ella tras algunos intentos en los que el SMS tardaba unos minutos en llegar (no en el caso de Google, que suele enviarlo muy rápido, sino en otros casos, como el de Twitter) o, sobre todo, cuando estaba fuera de España y en un país en el que no tenía mi número de teléfono habitual operativo. Tras esas experiencias, que si se producen en el momento en que quieres acceder a tu cuenta y te retrasan varios minutos resultan, en muchas ocasiones, especialmente incómodas, opté por el uso de la citada aplicación de autenticación, y no he tenido ni un solo problema desde entonces: rápido, seguro e inmediato, el típico caso de aplicación que hace una sola cosa, pero la hace bien. Durante un tiempo combiné también ese protocolo de seguridad con un token de autenticación de Yubikey minúsculo y muy cómodo que tenía que insertar en el puerto USB del ordenador en el que me quería autenticar, pero un cambio de equipo hizo que pasase a tener únicamente puertos USB-C, y no llegué a sustituir el dispositivo por otro con la correspondiente conexión.

La seguridad es una de esas cuestiones en las que no piensas hasta que resulta demasiado tarde. El movimiento de Google de hace algunos meses ha contribuido a que muchas personas que no utilizaban autenticación de doble factor hayan empezado a hacerlo, y hayan podido comprobar que, por lo general, el paso adicional no suele conllevar una molestia excesiva. Si además, los estudios de la propia compañía permiten demostrar, como era de esperar, una reducción efectiva en la incidencia de accesos indebidos a cuentas, estamos hablando sin duda de una buena práctica que deberíamos pensar en adoptar para todos aquellos servicios que consideremos que tienen un cierto nivel de vulnerabilidad, o que contienen datos a los que alguien puede tener interés en acceder.

En muchos sentidos, prácticas como la autenticación mediante doble factor y otras terminan convirtiéndose en una de las variables que determinan el modelo de uso de la red y sus servicios: los usuarios que recurren a ellas se convierten en menos vulnerables a la ciberdelincuencia, frente a aquellos usuarios que o bien no saben que existen, no entienden cómo utilizarlas, o no otorgan a su uso ningún tipo de prioridad.

Aunque no te consideres objetivo de ningún tipo de ciberdelincuente, plantearse el uso de la autenticación de doble factor en las aplicaciones que lo ofrecen es una práctica cada día más recomendable, la complicación de hacerlo es realmente muy escasa, y la mejora de la seguridad es real y objetiva. Ya sabes: no dejes para mañana lo que puedas hacer hoy.


This article is also available in English on my Medium page, «Two-factor authentication: it just works«

13 comentarios

  • #001
    Gorki - 11 febrero 2022 - 18:03

    Como varias veces he dicho, la seguridad tiene que ser proporcional al riesgo, Realmente hay riesgo en que entren como yo en algunos servicios de Google, en mi opinion no, porque lo que yo deposito en ellos solo tiene valor para mi, y porque yo soy uno entre 7.500.000.000 de habitantes y hay que ser un poco creído para pensar que alguien vaya a perder el tiempo forzando mi password.

    Complica la doble identificación, un poco, puesz el doble que la sencilla aunque como la sencilla casi no complicaba mucho la doble tampoco es insoportable.

    Es útil, pues depende de lo que cierre, para algunas cosas convendría poner triple identificación y para otras sobra y basta con un sencilla.

    Dicen que existen siete llaves de Internet en manos de catorce personas. Estas personas se reúnen cada tres meses en la llamada Key Signing Ceremony para actualizar y verificar las claves.
    – ¿Es esta medida desproporcionada?.- Probablemente no,
    – ¿Es Segura?.- Pues muy segura.
    – En vista de ello ¿Convendría aplicarla a todo?.- De ninguna manera.

    • mhyst - 11 febrero 2022 - 20:39

      Opino como tú, Gorki. Y si comento es para añadir algo que no se suele decir. Entiendo que el 2FA se puede hacer de mil formas, pero en general se tiende al recurso del SMS al móvil. Mi banco, por ejemplo, cada vez que compro algo por internet me manda un sms con una clave para autorizar la compra. Una vez se me averió el móvil y tuve que recurir a paypal. Sé que con la app del banco todas estas cosas se hacen más fluidas, pero es que no me fio de la seguridad del movil en lo más mínimo. Por eso me resisto a tener cosas del banco en él. Siempre he opinado que una buena contraseña de 14 caracteres generada por un buen algoritmo y conservada en un repositorio cifrado es más que suficiente para todo. Ahora parece que a todos nos tratan como a niños que no sabemos hacernos cargo de nuestra propia seguridad y estoy harto de que tomen esas decisiones por mi. Seré de los pocos que aún no usa 2FA con Google. Y además uso sistemas de email para ellos obsoletos (o menos seguros) como es ESMPT e IMAP. Si pasan cuatro días sin usar mi cliente de correo automaticamente me desactivan esos accesos y me fuerzan a reactivarlos. Si se me ocurre recurrir a algún dispositivo que tengo en un cajón y llevo tiempo sin usar me alarman diciendo que alguien ha accedido a mi cuenta o incluso me bloquean la cuenta hasta que confirme que soy yo. Soy de los que usan una contraseña distinta para cada cosa y las almaceno en un repositorio cifrado que me proporciona la herramienta de UNIX estándar password-storage. Uso un par de claves rsa que renuevo cada dos años y todas mis passwords son de 14 caracteres aleatorios con mayúsculas, minúsculas, números y signos. Evidentemente, ese método no es absolutamente seguro, pero aporta la seguridad exacta que necesito. La que he decidido establecer yo. Al banco accedo con el carnet (que alguien podría cosechar en Internet fácilmente) y un número de 4 cifras ridículamente fácil de descifrar. El otro factor que usan es el SMS. Que te manden una clave por SMS por cada operación puede parecer muy seguro, pero es solo apariencia. Con una inversión de dinero mínima cualquiera puede hacerse pasar por mi y recibir las claves en su dispositivo, ya que el protocolo SS7 no fue diseñado para ser seguro. Y sin embargo todo el mundo lo usa. Y al usarlo nos están recordando que no somos capaces de tomar decisiones sobre la seguridad de nuestras cosas. Así que para mi el 2FA es una estupidez excesiva y molesta, siempre que tengas cabeza. Y creo que se debería confiar en el usuario y dejar a la elección de la gente si quiere que otros velen por su seguridad. Ellos lo que tienen que hacer es hardening de sus servidores y velar porque ningún empleado descontento toque donde no debe y punto.

      • Gorki - 11 febrero 2022 - 21:16

        No soy contrario a la seguridad, Es mas cuando era informático, era una especie de obseso, exigia a todos hacer copia diaria, de los programas a medio hacer y en las aplicaciones había siempre una apartado de dedicada a la seguridad de la aplicación con Backups, diarios, semanales y mensuales y los procedimientos de recuperar la información a partir de las copias de backup

        Es mas me preocupa las pocas medidas que tomamos tanto como particulares como en las empresas sobre ciberseguridad en todas sus áreas. Y creo que deberia haber consultoría de ciberseguridad en toddas las empresas,

        Sin embargo pienso que la seguridad siemptre tiene que estar adecuada a las perdidas que pueda produccirse por un accidente.

        Si tu solo guardas las conversaciones WhatApp y las fotos de la familia, y eres Pepe el Lanas, pues ¿Tu me dirás cuál es la pérdida?.

        • mhyst - 14 febrero 2022 - 02:45

          Yo tampoco soy contrario a la seguridad. Lo que decía es que al final la 2FA termina siendo, no solo excesiva y molesta, sino que también insegura (considerando la carencia de seguridad completa en los SMS).

          Claro que todo el mundo necesita de seguridad y ojalá todas las empresas se lo tomasen más en serio. Simplemente creo que una buena contraseña con una gestión de las contraseñas adecuada, es suficiente para la mayoría de nuestras cosas. Y para aquellas en las que de verdad se necesita reforzar la seguridad, estoy seguro de que hay mejores formas que recurriendo al puto móvil. ¿Qué pasa si no tienes móvil? Yo me he llegado a plantear no tenerlo porque es una distracción aunque te plantees reducir las notificaciones prácticamente a cero. Y en el momento que veo que hay gente más interesada en que tenga móvil que yo mismo, creo que es momento de detenerse y prescindir de él.

  • #005
    Javier Lux - 11 febrero 2022 - 23:04

    La verdad es que la cuenta de google, en mi caso cuenta que tiene el eMail casi todos los bancos/Brokers/CEX que uso es fundamental protegerla con dos factores.

    Además es cómodo. El segundo factor solo se pide cuando entro en gmail en un ordenador/cuenta que no es el habitual, por lo que lo pide poco

    Un acierto.

    ¿Y para cuando el movil cuasi mucho más barato?

    Las tarifas móviles deben de bajara para disgusto de las telecoms

    • mhyst - 14 febrero 2022 - 03:19

      Quizá sea cómodo para el usuario medio. No digo que no. Yo uso mutt como cliente de correo. Usé thunderbird durante un tiempo, hasta que Google tuvo la fantástica idea de meter oAuth en la escena del correo electrónico. Y a partir de ahí he renegado de todo lo bonito o hecho para idiotas, prefiriendo usar cosas como vim y el propio mutt. Mutt ha evolucionado bastante, para ser un cliente de consola, y me permite acceder al buzón mediante IMAP y enviar correo por ESMTP. Mutt tiene la desventaja de que está hecho para texto mientras que hoy prácticamente todos los emails se componen con html. Pero se puede paliar de alguna manera. Puede que el html quede más bonito, pero el correo al final pretende entregar un mensaje y lo más eficiente para eso es el texto plano. Además, componer correos en html solo beneficia a los que nos mandan porquería comercial.

      Google opina que esos protocolos, ESMTP, POP3 e IMAP son inseguros. Y con eso pretende que todos dejemos de usarlos. No puede prescindir de ESMTP porque está imbricado en la entrega de email, además de ser el estándar mundial. Pero intentan convencer a la gente de usar su sobrecargada web. De hecho hay una tendencia a complicarlo todo y a que cada vez los programadores comprendamos peor como funciona todo. Imagino que, con el fin de impedir futura competencia de alguna empresa nueva. Por eso ya no se diseñan las webs con wordpress sino con un framework sobre wordpress. En fin. Todo eso quizá le convenga a Google, que pretende que dejemos de usar el protocolo HTTP y que toda la comunicación sea cifrada y comprimida.

      Pero bueno, que me enrollo. La cosa es que con mutt se recorre el buzón a golpe de tecla y en unos segundos has borrado toda la basura que haya logrado atravesar los sistemas de SPAM de Google; y te puedes centrar tranquilamente en leer lo que queda, responderlo, reenviarlo o lo que quieras de forma rapidísima y eficiente. En la web de gmail por muy bien que esté hecha, el solo hecho de tener que clicar con el raton en todo lo que quieres borrar y en los periodos de carga de la web, el proceso es significativamente menos ágil.

      De todas formas, mientras Google nos siga dando un tera por cuenta y nos permita no tener activado el 2FA, seguiré con ellos.

      Ojalá que bajasen esos precios… Pero me da a mi que la tendencia no es esa. Esa tendencia de hacer ordenadores cada vez más potentes y baratos ya pasó. Y creo que Apple tiene bastante de culpa. Cobra precios exorbitantes (obscenos) y la gente los paga. Mal aprendizaje para el resto de empresas.

  • #007
    Luis Hernandez - 12 febrero 2022 - 13:59

    Muchas veces creemos que lo que hay en nuestro email no tiene valor más que para nosotros, pero la seguridad del correo electrónico es mucho más importante de lo que parece ya que puede utilizarse para recuperar contraseñas de otros servicios en los que nos hayamos dado de alta, o para darnos de alta o baja en otros.

    • mhyst - 14 febrero 2022 - 02:51

      Claro, pero eso es consecuencia de que de repente todas las webs querían conocer tu email (para enviarte mierda) y en otra vuelta de tuerca, un montón de servicios web requieren control de acceso ligado al email. Se puede comprobar la identidad mediante el intercambio de ficheros firmados digitalmente. En lugar de requerir el email se podría requerir la clave pública de tu par. Esto requeriría que la gente «normal» aprendiera a usar gpg, pero sería muchísimo más sencillo y menos engorroso todo. Sobre todo nos ahorraríamos el spam.

  • #009
    Lua - 12 febrero 2022 - 17:34

    SIM Swapping… y arreando… XDD

    • mhyst - 14 febrero 2022 - 02:53

      El protocolo SS7 en temas de seguridad se puede comparar al antiguo SMPT. Con unas antenas cualquiera te puede impersonar e interceptar las claves que te envíen por SMS. Ni siquiera tienen que recurrir al clonado de SIM.

  • #011
    Javier Cuchí - 12 febrero 2022 - 20:57

    Yo no lo veo como engorroso, en general. Prácticamente todos llevamos el móvil encima o sobre la mesa a la que estamos sentados y con la única condición de que el mensaje con la clave llegue en pocos segundos no hay apenas engorro.

    El engorro viene cuando la clave tarda una eternidad, cosa que ocurre con excesiva y agobiante frecuencia en las aplicaciones públicas y en las de algunos bancos.

    • mhyst - 14 febrero 2022 - 03:22

      Yo soy más de PC y no me da la gana recurrir a otro aparato para entrar a mi cuenta.

      El día menos pensao arrojo el móvil, porque no trae mas que distracciones.

  • #013
    Jose Manuel - 15 febrero 2022 - 15:06

    Quiero, deseo y expreso mi opinión de ser tan versado en el asunto como muchos de vosotros.
    Pero siendo lo que soy, usuario de a pie, os aseguro que no me importa que tarde más o menos en llegar el mensaje para su confirmación. Gracias a ello estoy seguro que muchas personas como yo no han perdido lo mucho o poco que puedan tener.
    Gracias y un saludo.

Dejar un Comentario

Los comentarios están cerrados