Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Asegura tus cuentas de usuario con la autenticación de doble factor

Fecha de publicación 10/09/2020
Autor
INCIBE (INCIBE)
Asegura tus cuentas de usuario con la autenticación de doble factor

Es posible que más de una vez nos hayamos preguntado si mientras estamos accediendo a nuestro servicio de banca online, este es seguro o por el contrario estamos siendo espiados de alguna manera. Para esta pregunta, tenemos la respuesta: Autenticación de doble factor.

El uso de la dupla usuario/contraseña en el uso de sistemas informáticos es algo a lo que estamos acostumbrados, lleva tanto tiempo entre nosotros que ya no se le presta la debida atención. Esto hace que los ciberdelincuentes centren sus esfuerzos en obtener contraseñas de acceso a sitios críticos, aprovechando que hemos bajado la guardia.

Actualmente, según diversos estudios, casi el 80% de los ciberataques se centran en el uso de contraseñas inseguras, de hecho se estima que una gran parte de las contraseñas que circulan por la red podrían ser descifradas por un atacante en un tiempo que va desde tan solo unos segundos hasta unas 2 horas.

Con estas cifras, deberíamos plantearnos seriamente al menos 2 cosas:

De las contraseñas robustas ya hemos hablado anteriormente, siendo una de las primeras barreras defensivas contra los ataques de los ciberdelincuentes, pero centrémonos en los sistemas de autenticación complementarios.

Aparte de usuario y contraseña, actualmente una gran mayoría de sitios ya ofrecen la llamada “autenticación de doble factor”.

Autenticación de doble factor. ¿Qué es?, ¿En qué consiste?

Podríamos definirla como el proceso de seguridad por el cual un usuario debe confirmar su identidad de al menos 2 maneras diferentes. Este método de identificación segura se basa en autenticar a una persona por varios métodos que pueden ser usados simultáneamente:

  • Algo que sabes (Contraseña, pin…)
  • Algo que tienes (Generador de claves, tarjeta de coordenadas...)
  • Algo que seas (huella dactilar, reconocimiento facial, etc…)

A medida que añadimos capas, mejoramos la seguridad, haciendo que sea más difícil para un atacante hacerse con información sensible. Hablamos de la autenticación de múltiples factores.

¿Qué debemos proteger con este sistema?

Por lo general todos aquellos servicios o herramientas que tengan acceso a información sensible, como cuentas de correo, banca online, acceso a redes sociales, sitios web o portales de agencias de viajes o reservas online, archivos en la nube y en general, cualquier plataforma que usemos donde figure información sensible que pueda resultar comprometida.

¿Cómo se utiliza?

Existen diferentes formas de llevar a cabo la autenticación de doble factor, algunas de las más usuales pueden ser:

  • Uso de memorias autenticadoras USB, apps generadoras de códigos de seguridad temporales.
  • Datos concretos que solo conozcamos nosotros, como el PIN o la respuesta a pregunta de seguridad.
  • Medidas biométricas, como el uso de huella dactilar, reconocimiento facial, de voz, etc…

Por lo general, actualmente la mayoría de proveedores de cuentas de correo ya permiten activar esta opción en sus ajustes, aun así, existen diversas aplicaciones que ofrecen el servicio de autenticación en 2 pasos y son en su mayoría gratuitas. Estas aplicaciones permiten generar códigos para poder acceder a distintos servicios.

Por otro lado, el uso de memorias USB destinadas a la autenticación también es útil, ya que se trata de dispositivos específicos para esta función a los que además el atacante debería tener acceso físico. Existen en el mercado diversos fabricantes de este tipo de medios válidos para ordenadores, teléfonos móviles y tablets.

Confusión. Autenticación de doble factor VS Verificación en dos pasos.

Es frecuente confundir estos 2 sistemas por su parecido, pero la gran diferencia es que, por lo general, en la verificación en 2 pasos se envía un código de seguridad por SMS que puede ser interceptado. El mensaje SMS no cumple los requisitos de seguridad de la autenticación de doble factor, ya que no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es, sino algo que envían.

Actualmente se encuentra desaconsejado su uso ya que un tercero podría suplantar al remitente enviando mensajes enfocados a obtener información (o incluso si alguien tiene acceso al dispositivo, le será fácil ver el código de verificación y acceder al servicio).

Ejemplo de ingeniería social para obtener el código de verificación enviado por SMS:

  • “Recientemente hemos recibido un intento sospechoso de inicio de sesión en su cuenta de correo X, desde la dirección IP: X, ubicación: X, si no has intentado iniciar sesión desde esa ubicación y quieres bloquear la cuenta temporalmente, responde a este mensaje con el código de 6 dígitos que recibirás en breve…”

Por el contrario, en la autenticación multifactor haría falta verificar mediante huella dactilar, reconocimiento facial u otros medios físicos que realmente somos la persona autorizada a acceder. Esto no garantiza totalmente la seguridad, pero hace más difícil para un atacante tomar el control, además los códigos generados por la app son temporales y de duración lo suficientemente corta para poder evitar ataques aunque cayese en sus manos.

En la empresa

Implantar la autenticación de doble factor en los equipos y cuentas de acceso empresarial es una forma eficaz de evitar ataques a información sensible que pueda comprometer los datos de nuestros clientes. Además ayuda a acotar el alcance del empleado a la información empresarial mediante el uso de dispositivos específicos de la empresa y a concienciarse en el mantenimiento de buenas prácticas de seguridad, lo cual sin duda, ayudará a reforzar la seguridad empresarial.

Así que a partir de ahora, asegurar el acceso a los servicios online donde hay información sensible es más fácil, pero sobre todo más seguro.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad