Los expertos en seguridad de la información hace tiempo que coinciden en que las aplicaciones de autenticación son el método más fiable para la autenticación en dos pasos con un código de un solo uso. La mayoría de los servicios ofrecen este método como un segundo nivel de protección de la cuenta, mientras que, en algunos casos, este tipo de autenticación es la única opción disponible.
La cuestión es que rara vez se debate por qué estos códigos de un solo uso se consideran tan seguros, por lo que surgen preguntas sobre si realmente son una buena opción, cuál es su nivel de fiabilidad, qué peligros vale la pena considerar y qué debes tener en cuenta a la hora de usar este método de autenticación en dos pasos. A continuación, responderemos a todas estas preguntas.
Cómo funcionan las aplicaciones de autenticación
Como norma general, estas aplicaciones funcionan de la siguiente forma: el servicio en el que te estás autentificando y el propio autenticador comparte un número, una clave secreta oculta en el código QR que utilizas para activar la autenticación en este servicio mediante la aplicación. El autenticador y el servicio usan el mismo algoritmo simultáneamente para generar un código basado en esta clave y el momento actual.
Cuando introduces el código que ha generado la aplicación, el servicio la compara con el que ha generado él mismo. Si el código coincide, todo está correcto, ya tienes el acceso a tu cuenta, de lo contrario, no podrás acceder. Pero cuando conectas la aplicación de autenticación mediante un código QR, se transfiere mucha información además de la clave secreta entre la que se incluye el periodo de expiración de los códigos de un solo uso (normalmente de 30 segundos).
La información más importante, la clave secreta, se transmite una única vez, cuando el servicio se conecta con el autenticador, luego ambas partes la recuerdan. Es decir, con cada nuevo inicio de sesión a la cuenta, no se transmite ningún tipo de información desde el servicio a tu autenticador, por lo que no hay nada que interceptar. De hecho, las aplicaciones de autenticación ni siquiera necesitan acceso a internet para ejecutar su función principal. Todo lo que podría conseguir un ciberdelincuente es el código de un solo uso que genera el sistema para que puedas acceder y este código solo dura medio minuto, aproximadamente.
Ya debatimos con más detenimiento cómo funcionan las aplicaciones de autenticación en otra publicación. No dudes en leerla si quieres saberlo todo sobre los estándares de autenticación, la información que contienen los códigos QR para conectarse con las aplicaciones y los servicios que son incompatibles con los autenticadores más comunes.
Pero ¿es realmente segura la 2FA con un código de un solo uso?
En resumen, estas son las principales ventajas de la autenticación con código de un solo uso desde una aplicación:
- Buena protección contra filtraciones: una contraseña por sí sola no es suficiente para obtener acceso a una cuenta; también necesitas un código de un solo uso.
- Protección decente contra la interceptación de este código de un solo uso. Además, dado que el código es válido únicamente durante 30 segundos, los ciberdelincuentes no tienen mucho tiempo para usarlo.
- Es imposible recuperar una clave secreta de un código de un solo uso, por lo que, aunque los atacantes interceptaran el código, no podrían clonar el autenticador.
- No se requiere conexión a Internet en el dispositivo que genera códigos de un solo uso; se puede mantener completamente aislado.
Como has podido comprobar, el sistema está muy bien pensado. Sus desarrolladores han trabajado para conseguir el máximo nivel de seguridad posible, pero ninguna solución se puede considerar completamente segura. Por lo que, aún cuando usas la autenticación con un código generado por aplicación, hay algunos riesgos y precauciones que debes considerar y de esto vamos a hablar a continuación.
Las filtraciones, el hackeo del correo electrónico y las soluciones
He mencionado anteriormente que los códigos de un solo uso desde una aplicación son una protección fantástica contra las filtraciones de contraseñas y lo cierto es que lo serían en un mundo perfecto. Por desgracia, no es nuestro caso. Hay un matiz importante: lo normal es que los servicios no quieran perder sus usuarios por un detalle tan pequeño, aunque molesto, como la pérdida del autenticador (que le puede pasar a cualquiera), por ello suelen ofrecer un método alternativo para iniciar sesión en sus cuentas: enviando un código de un solo uso o enlace de confirmación a la dirección de correo electrónico vinculada a la cuenta.
Por tanto, si hubiera una filtración y los atacantes conocieran tanto la contraseña como la dirección de correo electrónico a la que está vinculada, podrían intentar usar este método alternativo para iniciar sesión en tu cuenta. Y, si tu correo no está bien protegido, sobre todo si usas la misma contraseña en él y no tienes activada la autenticación en dos pasos, es muy probable que los ciberdelincuentes puedan evitar la introducción de un código de un solo uso de una aplicación.
Qué merece la pena hacer:
- Presta atención a las filtraciones de datos para poder cambiar rápidamente las contraseñas de los servicios afectados.
- No utilices la misma contraseña para diferentes servicios, sobre todo en los correos electrónicos a los que estén vinculadas las cuentas.
- Algunos servicios te permiten desactivar los métodos alternativos de inicio de sesión. Merece la pena tener esto en cuenta especialmente en tus cuentas más valiosas, pero no te olvides de hacer una copia de seguridad de tu autenticador; a continuación, profundizaremos sobre este tema.
El acceso físico y las miradas indiscretas
Alguien podría estar husmeando a tus espaldas cuando usas una aplicación de autenticación y ver el código de un solo uso. Bueno, o no solo un código, dado que a menudo los autenticadores muestran varios códigos seguidos en pantalla. Por tanto, un intruso podría iniciar sesión en cualquiera de tus cuentas si ha visto alguno de estos códigos. Evidentemente, los ciberdelincuentes no tendrían mucho tiempo, pero es mejor no correr riesgos: 30 segundos podrían ser más que suficientes para un delincuente de dedos ágiles…
La situación es mucho más peligrosa si alguien consigue hacerse con un smartphone desbloqueado con una aplicación de autenticación instalada. En este caso, cualquiera podría aprovechar la oportunidad para iniciar sesión en tus cuentas sin prisas ni dificultades.
Cómo minimizar estos riesgos:
- Usa una aplicación de autenticación que no muestre varios códigos en la pantalla por defecto (hay muchas).
- Establece una contraseña segura para desbloquear el smartphone en el que tengas instalada la aplicación de autenticación y activa el bloqueo automático de pantalla después de un periodo corto de inactividad.
- Usa una aplicación en la que puedas también establecer una contraseña de inicio de sesión (estas aplicaciones también existen).
Los sitios de phishing
La mayoría de los sitios de phishing diseñados para ataques masivos son bastante primitivos. Sus creadores generalmente se contentan con robar nombres de usuario y contraseñas y venderlos baratos al por mayor por la dark web. Por supuesto, la autenticación en dos pasos es la protección perfecta contra estos ciberdelincuentes: incluso aunque alguien obtuviera tus credenciales de inicio de sesión, son completamente inútiles sin el código de un solo uso de una aplicación.
No obstante, en los sitios phishing más creíbles diseñados con especial cuidado, sobre todo aquellos dedicados a los ataques dirigidos, los ciberdelincuentes también imitan el mecanismo de verificación de la autentificación en dos pasos. En este caso, los atacantes no solo interceptarán tu nombre de usuario y contraseña, sino también el código de un solo uso. Después, podrían iniciar sesión en la cuenta real de la víctima, mientras el sitio de phishing puede estar mostrando un mensaje de error o sugiriendo que vuelva a intentarlo.
Por desgracia, a pesar de su simplicidad aparente, el phishing sigue siendo uno de los trucos más eficaces de los ciberdelincuentes. Puede resultar complicado protegerte contra las estafas más sofisticadas, por lo que te recomendamos que sigas estas recomendaciones generales:
- No hagas clic en los enlaces de los correos electrónicos, sobre todo aquellos que recibas de direcciones desconocidas o sospechosas.
- Comprueba detenidamente la dirección de las páginas en las que tengas que introducir la información de tu cuenta.
- Utiliza una solución de confianza con protección integrada contra el phishing.
Los troyanos stealers
Por decirlo suavemente, a la gente no le suele gustar pasar por todo el proceso de autenticación.
Por ello, los servicios intentan no molestar a sus usuarios innecesariamente; de hecho, en la mayoría de los casos, solo tienes que autenticarte por completo con contraseña y código de autenticación cuando inicias sesión en tu cuenta en un dispositivo por primera vez; puede que también más adelante, si borras por accidente las cookies del navegador.
Después de iniciar sesión, el servicio guarda una cookie en tu ordenador, que contiene un número secreto muy largo. Este archivo es lo que tu navegador presentará al servicio de autenticación de ahora en adelante. Por tanto, si alguien consiguiera robar este archivo, podría iniciar sesión en tu cuenta; sin necesidad de contraseña o código de un solo uso.
Estos archivos, junto con mucha más información como las contraseñas almacenadas en el navegador, claves de monederos de criptomonedas y otros bienes similares, pueden robarse con troyanos stealers. Si, por desgracia, un stealer infectara tu ordenador, hay muchas probabilidades de que tus cuentas acaben secuestradas, incluso aunque hayas seguido todas las precauciones.
Para evitar que esto suceda:
- No instales programas de fuentes de dudosa reputación.
- Asegúrate de usar una protección de confianza en todos tus dispositivos.
Las copias de seguridad del autenticador
También puedes perder el acceso a tus cuentas por usar una protección demasiado fuerte. Imagínate que después de haber prohibido el acceso a tus cuentas sin un código de una aplicación, perdieras de alguna forma el autenticador. En este caso, podrías perder tus cuentas y la información que contienen de forma permanente o, como mínimo, pasar un par de días “divertidos” de correspondencia con el soporte para poder recuperar el acceso.
Lo cierto es que hay bastantes formas de perder tu autenticador, tu smartphone:
- podría romperse de tal forma que no pudieras extraer ningún tipo de información;
- podría perderse;
- y, por supuesto, podría ser robado.
Todas estas situaciones son impredecibles, por lo que es mejor prepararse de antemano para evitar consecuencias desagradables:
- Asegúrate de hacer una copia de seguridad de los datos del autenticador. Muchas aplicaciones permiten realizar copias de seguridad en la nube; algunas también pueden guardarlo como un archivo local.
- Sería conveniente instalar el autenticador en dos dispositivos diferentes o incluso usar varias aplicaciones. Esto evitaría que se bloqueara tu copia de seguridad si la infraestructura en la nube de un único autenticador no está disponible en el momento más inoportuno.
Cómo protegerte
En resumen, la autenticación en dos pasos por sí misma reduce considerablemente el riesgo de que tus cuentas acaben secuestradas, pero no garantiza una seguridad completa. Por tanto, merece la pena tomar una serie de precauciones adicionales:
- Asegúrate de configurar una contraseña para iniciar sesión en el dispositivo en el que está instalado el autenticador.
- Usa una aplicación de autenticación que sepa cómo ocultar los códigos de un solo uso de las miradas indiscretas y que te permita configurar una contraseña para iniciar sesión en la propia aplicación.
- No te olvides de hacer una copia de seguridad de la aplicación de autenticación.
- No uses contraseñas simples ni tampoco utilices la misma para diferentes cuentas. Un gestor de contraseñas te ayudará a generar y recordar secuencias de caracteres únicas y seguras.
- Ten cuidado con las filtraciones y cambia rápidamente las contraseñas de los servicios afectados, sobre todo si se trata del correo electrónico al que están vinculadas otras cuentas. Por cierto, Kaspersky Password Manager rastrea las filtraciones de contraseñas y te advierte sobre ellas.
- Para protegerte contra el phishing y malware, instala una solución de seguridad de confianza en todos tus dispositivos.
- Ten cuidado con los intentos de inicio de sesión en tus cuentas y responde rápidamente a las actividades sospechosas. Por cierto, tenemos un tutorial que te dice cómo actuar si tu cuenta acaba hackeada.