Tipos de autenticación de dos factores: Pros y contras

Qué tipos de autenticación de dos factores existen y cuáles son los preferibles.

Tipos de autenticación de dos factores: Pros y contras

En nuestra última publicación, hablamos sobre qué es la autenticación de dos factores y por qué la necesitas. En pocas palabras, es un mecanismo de validación de acceso que se basa en dos métodos de autenticación, en esencia, diferentes.

Los usuarios necesitan la autenticación de dos factores para proteger sus cuentas de manera más fiable: si bien cada método de autenticación individual es vulnerable, dos (o más) de ellos usados en conjunto dificultan mucho más que te roben la cuenta.

En este artículo cubro las opciones de autenticación multifactor disponibles, te doy los pros y contras de cada una, y te recomiendo las más seguras para que mantengas tus cuentas a salvo.

Códigos de un solo uso entregados por SMS, correo electrónico o llamada de voz

Uno de los mecanismos más comunes de autenticación de dos factores para validar el inicio de sesión son los códigos de un solo uso. Por lo general, se envían en un mensaje de texto al número de teléfono que se especificó durante el registro. El correo electrónico también se puede utilizar para ello, pero es menos popular. Por lo general, los principales servicios también facilitan la opción de una llamada de voz al número de teléfono que se especificó durante el registro.

Sin importar el canal de entrega utilizado, la idea es la misma: verificar si puedes obtener acceso a otro número de teléfono o cuenta que especificaste al registrarte en el servicio. Por lo tanto, si alguien roba tu contraseña sin tener acceso a tu teléfono, esta protección funcionará bien.

Mensajes de texto con código de autenticación de un solo uso de la cuenta de Google

La opción de autenticación de dos factores más común: Código de un solo uso entregado por mensaje de texto.

Sin embargo, este mecanismo de autenticación de dos factores tiene sus inconvenientes. Si se utiliza el correo electrónico para confirmar el inicio de sesión y la contraseña para iniciar sesión al correo electrónico es la misma que la de la cuenta que intentas proteger, la seguridad adicional será muy limitada. Un atacante que conozca la contraseña de la cuenta seguramente intentará utilizarla también para iniciar sesión en tu correo electrónico, obteniendo así el código de validación de un solo uso.

La validación a través del número de teléfono, ya sea por mensaje de texto o llamada de voz, tiene un problema diferente: es fácil perder el acceso. A veces, los usuarios simplemente se olvidan de establecer su cuenta de teléfono, pierden el teléfono o cambian el número.

Tampoco es extraño que los delincuentes convenzan a los operadores de telecomunicaciones de que les den una tarjeta SIM con el número de teléfono de la víctima, para así obtener acceso a los códigos de validación. Además, los mensajes de texto pueden ser interceptados, ya se han denunciado casos de este tipo.

Resumen: esta opción de autenticación de dos factores cumple su función, pero para proteger las cuentas más valiosas -especialmente las relacionadas con las finanzas- es mejor utilizar algo más fiable.

Contraseña como segundo factor

En ocasiones, la contraseña no es el primer factor, sino el segundo. Esto es lo que ocurre con los servicios de mensajería instantánea: de manera predeterminada, para iniciar sesión es suficiente con introducir el código de un solo uso del mensaje de texto. La contraseña suele ser opcional. Opcional pero necesaria, en mi opinión. Te protegerá de un montón de problemas potenciales de una sola vez.

Y lo que es más importante, protegerá tu correspondencia de la pérdida accidental de acceso al número de teléfono que utilizaste para registrarte en WhatsApp o Telegram. Supongamos que has cambiado tu número de teléfono principal, has guardado tu antigua tarjeta SIM en un cajón y no la has pagado durante mucho tiempo. El operador revenderá tu número al cabo de un tiempo, lo que permitirá al nuevo propietario iniciar sesión en el mensajero con tu nombre, a menos que esté protegido adicionalmente con una contraseña, claro.

Y, por supuesto, la contraseña dará a tu cuenta de mensajería al menos cierta protección frente a secuestradores que, de una forma u otra, hayan accedido a tu número de teléfono.

Lista de códigos de un solo uso generados previamente

Otra opción que puedes encontrar es una lista de códigos de un solo uso pregenerados. A veces, los bancos entregan este tipo de listas a sus clientes para confirmar transacciones, mientras que algunos servicios de Internet (como Google) permiten utilizarlas para recuperar cuentas.

Puede considerarse un mecanismo fiable: estos códigos se transmiten al usuario con muy poca frecuencia, por lo que las posibilidades de interceptación son mínimas. Los códigos son aleatorios, es decir, únicos, por lo que adivinarlos es casi imposible.

Pero está el problema del almacenamiento: si los atacantes consiguen robar tu lista de códigos pregenerados, secuestrar tu cuenta o robar dinero de ella será extremadamente fácil.

Lista de códigos únicos generados previamente

Lista de códigos únicos generados previamente para verificar transacciones bancarias

Por lo tanto, los códigos de confirmación de un solo uso se deben almacenar en una caja fuerte o en su contraparte electrónica. Por ejemplo, hay notas cifradas en Kaspersky Password Manager. Si guardas la lista de códigos de un solo uso en estas notas, estarán protegidos de forma segura, siempre que, por supuesto, configures una contraseña principal segura y única para Kaspersky Password Manager.

Sin embargo, el principal inconveniente de este método de autenticación es que si necesitas verificaciones a menudo, te quedarás rápidamente sin tus códigos pregenerados. Lo que significa que tendrás que generar y guardar más y más códigos nuevos. Si mantienes varias cuentas, te confundirás fácilmente con todas esas listas. Por lo tanto, los códigos pregenerados como principal método de autenticación han sido sustituidos por códigos generados a petición, justo cuando los necesitas.

Códigos de un solo uso de una aplicación de autenticación

Los autenticadores generan códigos de un solo uso “sobre la marcha”. A veces pueden ser dispositivos autónomos con una pequeña pantalla que muestra el código actual (algunos bancos dan este tipo de autenticadores a sus clientes).

Sin embargo, hoy en día son más populares las aplicaciones especiales de autenticación para teléfonos inteligentes que los dispositivos autónomos. Tenemos varios artículos sobre ellas:

Por lo tanto, si buscas información sobre cómo funciona este método de autenticación, cómo elegir una aplicación de autenticación y qué debes considerar después de escoger una, haz clic en los enlaces anteriores. Mientras tanto, aquí solo mencionaré brevemente que las aplicaciones de autenticación ofrecen un equilibrio óptimo entre comodidad y seguridad, lo que las hace cada vez más populares.

Google Authenticator: La aplicación de autenticación más conocida

Google Authenticator: La más conocida, pero no la única aplicación de autenticación disponible

Biometría: Huella dactilar, rostro o voz

No hace mucho tiempo, la autenticación biométrica era algo exótico para la mayoría de la gente. Sin embargo, la situación ha cambiado bastante rápido: la mayoría de los smartphones ahora permiten la autenticación mediante huellas digitales o reconocimiento facial, y no es algo de extrañar.

Sin embargo, algunos métodos biométricos pueden parecer inusuales: la autenticación basada en la voz, el iris, el hábito de caminar o de teclear. En cuanto a los más originales, podríamos recordar la investigación sobre la autenticación basada en olores (¡aunque no funciona demasiado bien!).

La autenticación biométrica tiene algunos inconvenientes graves. En primer lugar, todas las características en las que se basa son propiedades permanentes del usuario. Puedes cambiar una contraseña en riesgo, incluso puedes hacerlo varias veces por razones de seguridad. Sin embargo, una huella digital registrada solo se puede cambiar un número limitado de veces. Puedes contar los intentos literalmente con los dedos de ambas manos.

La segunda cuestión importante es el hecho de que los datos biométricos son confidenciales, tanto por ser inalterables como porque permiten no solo autenticar a un usuario, sino también identificar a una persona. Por lo tanto, la recopilación y transferencia de estos datos a servicios digitales se deben tratar con extrema precaución.

Es por eso que los datos biométricos se suelen utilizar para la autenticación local: se almacenan y procesan en el dispositivo para evitar transmitirlos a cualquier sitio. En el caso de la autenticación biométrica remota, el servicio digital tendría que confiar en el proveedor del dispositivo, y en general no suele hacerlo. El resultado concreto es el siguiente: solo Apple tiene un mecanismo de autenticación biométrica remota de valor total porque la empresa tiene todo el control de su ecosistema, desde el desarrollo de software hasta la fabricación del dispositivo.

Autenticación con huellas digitales

Inicio de sesión con huellas digitales: Un método común en la actualidad

De todos modos, la autenticación biométrica tiene una ventaja importante que supera sus desventajas. Si se la implementa de forma correcta, hace que la vida de los usuarios sea mucho más sencilla: no es necesario escribir, solo se debe pulsar el dedo en el sensor o mostrar el rostro a la cámara. Además, es bastante fiable, si se implementa de forma adecuada.

Ubicación

Otro tipo de autenticación de usuario es la ubicación. No necesitas activar este método: está habilitado de manera predeterminada. Es por eso que suele pasar desapercibido, y la persona recibe una alerta solo si no tiene éxito: es decir, si un intento de inicio de sesión proviene de una ubicación que el servicio no esperaba. En cuyo caso, el servicio puede requerir el uso de un método de verificación adicional.

Por supuesto, la ubicación no es un factor de autenticación muy fiable. En primer lugar, no es único: muchas otras personas pueden estar en el mismo sitio en cualquier momento. En segundo lugar, es bastante fácil de manipular, en particular cuando se habla de ubicación por IP, no de geolocalización por medio de GPS. Sin embargo, la ubicación se puede utilizar como uno de los factores de autenticación y muchos servicios lo hacen.

Llaves de hardware FIDO U2F (también conocida como YubiKey)

Las opciones de autenticación antes descritas conllevan un inconveniente importante: permiten autenticar al usuario, pero no al servicio. Lo que los hace vulnerables a los ataques MitM (man-in-the-middle).

Los atacantes pueden crear una página falsa cuyo mecanismo de inicio de sesión tenga una apariencia muy similar al del servicio real. Una vez que el usuario envía su nombre de usuario y contraseña, los delincuentes los utilizan de inmediato para iniciar sesión en el sitio web real. El código de verificación es lo siguiente que se le pide al usuario y, en poco tiempo, se utiliza para apoderarse de la cuenta de la víctima.

Para lidiar con este tipo de amenazas, se crearon llaves FIDO U2F, también conocidas por el nombre de su modelo más popular: YubiKey. La principal ventaja de este método consiste en que, durante el registro, el servicio y la llave U2F recuerdan determinada información que es única para cada servicio así como para cada usuario. Más adelante, durante la autenticación, el servicio debe enviar una solicitud específica a la llave, y la llave solo responde si esta solicitud es correcta.

Por lo tanto, ambos lados de esta comunicación entienden si es legítima o no. Además, este mecanismo de autenticación se establece sobre la base de la criptografía de clave pública, por lo que todo el proceso está bien protegido contra la falsificación, la interceptación y amenazas similares.

Llaves FIDO U2F: Yubico YubiKey y Google Titan (Feitian ePass)

Llaves FIDO U2F: Yubico YubiKey (izquierda) y Google Titan (derecha)

Una ventaja más: aunque la tecnología es bastante sofisticada y utiliza criptografía “bajo el capó”, todo parece muy sencillo a primera vista, desde el punto de vista del usuario. Basta con conectar la llave a una toma USB (o sujetarla al smartphone, ya que este tipo de llaves suelen ser compatibles con NFC) y tocar con el dedo un sensor situado en la llave para completar la autenticación.

El uso de llaves hardware U2F es el método de autenticación más fiable que existe en la actualidad y una opción recomendada para cuentas valiosas. Eso es lo que hacen en Google: todos los empleados de la empresa utilizan este tipo de llaves para sus cuentas corporativas desde hace más de cinco años.

Claves de acceso FIDO: Un futuro presente sin contraseñas

No es fácil, pero sí posible, hacer que todos los empleados de su organización utilicen llaves hardware para autenticarse. Sin embargo, este método es poco adecuado para millones de usuarios habituales de Internet. A la gente corriente suele molestarle la mera idea de la autenticación de dos factores, y mucho menos pagar dinero por un equipo especial.

Por eso la misma FIDO Alliance, creadora de las claves U2F, ha desarrollado un nuevo estándar de autenticación que utiliza “claves de acceso” en lugar de contraseñas. En términos sencillos, la tecnología es prácticamente la misma que con las claves U2F, salvo que no necesitas ningún dispositivo especial para almacenar los datos de autenticación.

Las claves pueden almacenarse en cualquier lugar: smartphone, ordenador, perfil de usuario del navegador o, a la antigua usanza, una llave USB. Puedes elegir sincronizarlas a través de la nube o no sincronizarlas en absoluto, si optas por el modo de código de acceso único.

Esta larga lista de opciones de almacenamiento hace que las passkeys sean algo menos seguras, obviamente. Cuánto menos, depende de la combinación de equipos y servicios que utilices.

Para compensar, los usuarios obtienen esta valiosa ventaja: las claves de acceso no complementan las contraseñas de las cuentas, las reemplazan. Además de eso, dicha autenticación sigue siendo multifactorial: además de poseer un dispositivo utilizado para almacenar las claves de acceso, debes validar el inicio de sesión utilizando datos biométricos (si el dispositivo lo admite) o un PIN para desbloquear el dispositivo. Como puedes ver, en algunos casos no se puede prescindir por completo de las contraseñas, pero al menos las claves de acceso reducen en gran medida su cantidad.

El problema clave de la iniciativa es que hasta ahora es bastante heterogénea. Los diversos servicios y plataformas utilizan enfoques muy diferentes para el almacenamiento de datos, la autenticación de usuarios y la seguridad integral. Por lo tanto, en lugar de un solo método, se utilizan varios diferentes, que varían mucho en términos de fiabilidad.

Por lo tanto, sería un poco prematuro cambiar por completo a las claves de acceso. Sin embargo, ya se puede experimentar con ellas: hace un tiempo, Google anunció el soporte total de las claves de acceso en las cuentas de Google, por lo que si te interesa, puedes ver cómo funcionan en la vida real.

Qué métodos de autenticación de dos factores son mejores y otras cuestiones para recordar

Para finalizar, mencionemos los puntos clave:

  • En 2023, la autenticación de dos factores ya no es un lujo, sino una necesidad vital. Úsala siempre que sea posible.
  • Cualquier método de autenticación de dos factores es mucho mejor que ninguno.
  • Las aplicaciones de autenticación son óptimas para la autenticación de dos factores.
  • Una llave de hardware FIDO U2F (Yubico YubiKey, Google Titan u otra) es una opción aún mejor. En especial, para cuentas valiosas.
  • Ya puedes experimentar con claves de acceso o “passkeys”, pero parece un poco pronto para adoptar por completo la tecnología.
  • Por lo tanto, sigue siendo vital usar las contraseñas con cautela: escoge las más complejas, no las reutilices en varios servicios y mantenlas protegidas con un gestor de contraseñas.
  • Por supuesto, no olvides que la mayoría de los métodos de autenticación de dos factores (salvo U2F y claves de acceso) son vulnerables al phishing. Por lo tanto, usa una solución fiable que elimine de forma automática esta amenaza, como Kaspersky Premium.
Consejos