Que Google fuerce a usar autenticación en dos pasos (2FA) es una gran idea: por qué otros deberían hacer lo mismo
Seguridad

Que Google fuerce a usar autenticación en dos pasos (2FA) es una gran idea: por qué otros deberían hacer lo mismo

Los ciberdelincuentes están a la que salta. Los casos de phishing y ransomware no paran de crecer, y los usuarios finales cada estamos más expuestos a que nos roben datos e incluso dinero. Las contraseñas no suelen bastar, pero afortunadamente hace tiempo apareció un sistema para aumentar la seguridad de nuestras cuentas: la autenticación en dos pasos o 2FA.

Google ha sido una de las grandes defensoras de este sistema, y ahora está comenzando a forzar su uso: comenzarán a hacerlo con 150 millones de usuarios, y aunque eso pueda resultar molesto para muchos de ellos, lo hacen por nuestro bien. De hecho hay quien piensa —quien suscribe, por ejemplo— que la autenticación en dos pasos debería ser obligatoria en muchos servicios.

¿Qué es 2FA?

A estas alturas la mayoría de nuestros lectores ya conocen bien este sistema de autenticación multifactor. Es en realidad una versión derivada de esos sistemas, y en la autenticación de dos pasos o dos factores (se usan ambos acrónimos, 2SV - Two Step Verification y 2FA - Two Factor Authentication) se obliga a presentar dos o más evidencias de que eres quien dices ser.

Google 2FA
Para entrar en tu cuenta con 2FA habrá ahora dos pasos: en el primero se pide el usuario y contraseña, como siempre. En el segundo tendrás que introducir un código o PIN que te llegará al móvil por SMS o a la aplicación de autenticación que elijas, como Google Authenticator.

Normalmente hay tres grandes factores que se manejan en estos sistemas:

  1. Algo que sabes: por ejemplo una contraseña o un PIN.
  2. Algo que tienes: como una tarjeta de coordenadas.
  3. Algo que eres: como tu huella dactilar.

El ejemplo más claro de un sistema de autenticación en dos pasos es el del cajero del banco, que obliga a que 1) introduzcas la tarjeta de crédito (o la acerques al lector con tecnología contactless), que es algo que tienes, y luego 2) que introduzcas tu PIN, que es algo que sabes.

Hay otros factores que pueden entrar en juego en este ámbito como la localización —si no estás en cierto área no se te permite logarte— o la fecha y hora en la que intentas el acceso, pero los tres factores comentados son los más utilizados.

La vida es mejor (o al menos, más segura) con 2FA

Al usar 2FA añades otra capa de seguridad entre tus datos y un potencial atacante. La idea es similar a la que uno plantea en su casa cuando pone una alarma y algún sistema de seguridad: el cerrojo de la puerta sería la contraseña, y lo demás que pones para protegerla es una capa de seguridad adicional.

Como siempre, hay un delicado equilibrio entre seguridad y comodidad. Uno no pone en su casa sistemas de seguridad con escáneres de retina y códigos de 20 dígitos, porque eso haría bastante incómodo entrar y salir de forma frecuente. Lo normal es usar simplemente un PIN de 4 dígitos para desconectar o conectar la alarma y hacer que esa capa de seguridad sea fácil de usar.

Con la autenticación en dos pasos ocurre lo mismo: ese equilibrio se intenta conseguir, y aunque obviamente requiere más esfuerzo por parte del usuario ("¿cómo, ya no me vale solo con meter la contraseña? ¡qué rollo!"), la seguridad adicional que se gana es notable.

Los métodos para implementar 2FA también son ya conocidos desde hace tiempo, y se basan en mensajes de verificación que suelen llegar vía SMS, vía email, vía token de seguridad o vía una aplicación de autenticación como Google Authenticator. Es aún mejor y más cómodo a la larga utilizar llaves de seguridad como las de Yubikey o las Titan de Google, pero eso implica un coste económico, mientras que los SMS o las apps de autenticaci´n del móvil son gratuitos.

En el pasado se ha visto cómo los SMS son cada vez más vulnerables, lo que los hace aceptables, pero no ideales. Hoy en día es mucho más recomendable usar alguna aplicación de autenticación como la citada Google Authenticator u otras como Microsoft Authenticator o Authy.

Es cierto que los sistemas 2FA no son infalibles: hay técnicas de phishing o incluso ataques de fuerza bruta que pueden comprometerlos, pero en general logran sobre todo ponerle las cosas más difíciles a los ciberdelincuentes. Es como la célebre analogía del coche. Si un caco va a robar un coche, irá normalmente a los fáciles, y entre uno sin barra antirrobo del volante y otro que sí la tiene elegirá el primero.

Por qué lo que está haciendo Google es buena idea

En el mes de mayo Google avisó de su intención de comenzar a implantar sistemas 2FA de forma obligatoria en ciertas cuentas.  Ayer se supo que el plan es de momento hacerlo para al menos unos 150 millones de cuentas de Google antes de que acabe 2021.

Segura

La medida ya está comenzando a ser implementada, y eso hace que algunos usuarios se encuentren perdidos cuando de repente Google les informe de que va a activar el servicio en sus cuentas. En realidad usar 2FA es muy sencillo, pero ciertamente requiere un pequeño esfuerzo adicional por parte del usuario, que tendrá que introducir el PIN que ha recibido por SMS o por una aplicación como Google Authenticator.

Google avisará a los elegidos pare despliegue con un correo siete días antes de que se active la verificación/autenticación en dos pasos en sus cuentas, lo que permite que los usuarios se preparen y puedan ir consultando cómo funciona el sistema, algo que por ejemplo explicamos en Xataka —tenéis nuestro tema de Xataka Basics enlazado más arriba— pero que también Google explica en su documentación de ayuda.

La idea de Google puede resultar incómoda para algunos usuarios, pero es, en cierto sentido, un mal necesario. Ni siquiera eso: es una incomodidad necesaria. Una que hará que el acceso a nuestras cuentas de Gmail y otros servicios de Google esté mucho más a salvo.

Teniendo en cuenta cómo están las cosas en materia de ciberseguridad, con robos masivos de datos que permiten a los ciberdelincuentes conseguir las contraseñas de millones de usuarios en decenas de servicios, puede que lo que ha hecho Google al forzar la autenticación en dos pasos se convierta en tendencia.

Eso sería una buena noticia para nuestros datos y nuestras finanzas, y aunque ciertamente no es del todo necesario en servicios menos sensibles y que usamos de forma más ocasional, hay plataformas en las que efectivamente este tipo de decisiones son, creo, acertadas.

Temas
Inicio