¿Qué es la 2FA (autenticación de dos factores)?
El método de autenticación de dos factores es un proceso de autenticación que, además de contar con una contraseña segura, exige un paso de autenticación adicional en forma de notificación automática, pregunta de seguridad o código SMS enviado a un dispositivo de confianza.
Los clientes usan Internet para dar de alta cuentas en redes sociales como Facebook, crear cuentas de correo electrónico, solicitar préstamos para un automóvil, iniciar sesión en el portal para pacientes de su médico para programar citas o incluso para ver la retransmisión del partido del domingo. Has lo que hagas en Internet hoy en día, es muy probable que necesites una cuenta de usuario y una contraseña segura para hacerlo. Sin embargo, incluso con una contraseña complicada, tus datos personales y tus cuentas digitales siguen en peligro. ¿Por qué? Porque la piratería y el fraude electrónicos están en pleno auge. Con la filtración de datos, la cuestión ya no es «si sucederá», sino «cuándo sucederá».
Las contraseñas sofisticadas aumentan la protección frente a los ataques de fuerza bruta, pero las cadenas largas de letras, caracteres y números no son necesariamente suficientes para ayudarte a conciliar el sueño por la noche. Si además estás utilizando las mismas credenciales para varias cuentas, las consecuencias de una filtración y el posterior acceso no autorizado a tus cuentas son aún mayores, sin mencionar que su reparación es potencialmente costosa y requiere mucho tiempo. Para abordar la responsabilidad de proteger las identidades digitales y resguardar los datos personales, los expertos en ciberseguridad recomiendan la autenticación multifactor, un tipo de autenticación que requiere dos o más factores para autenticar al usuario.
La autenticación de dos factores (o 2FA) requiere una contraseña (el primer factor), y un segundo factor, que puede ser un código numérico, una notificación de inserción, una pregunta de seguridad, un token de seguridad o una lectura biométrica (una huella digital o reconocimiento facial) que se lleva a cabo desde una aplicación de autenticación para acceder a datos en línea. También conocido como verificación en dos pasos o autenticación de doble factor, el proceso de autenticación 2FA valida ambos conjuntos de credenciales de usuario antes de dar acceso a una cuenta digital.
La mayoría de los procesos 2FA combinan dos de los cinco factores habituales de autenticación: conocimiento, posesión, herencia, ubicación y tiempo. Los factores de conocimiento son elementos que el usuario conoce, como una contraseña o un PIN, mientras que un factor de posesión es algo que el usuario posee, como su teléfono móvil o una determinada identificación. Otros factores utilizados son los de herencia, también conocidos como factores biométricos, que incluyen huellas dactilares, tono de voz u otros identificadores heredados como el reconocimiento facial. Si estás usando tu huella digital o el reconocimiento facial en tu dispositivo móvil, ya estás usando una autenticación biométrica.
Como sugiere el nombre, los factores de ubicación provienen de fuentes de datos como direcciones IP o software con GPS con información específica verificable sobre tu ubicación. Por último, aunque igualmente valiosos entre las herramientas 2FA, encontramos los factores de tiempo, donde la autenticación del usuario solo puede darse durante periodos fijos y queda prohibida fuera de ellos.
Es probable que los consumidores reconozcan los factores de conocimiento, posesión y herencia como los métodos 2FA más comunes a partir de la experiencia personal. Sin embargo, a pesar de los métodos 2FA resulten familiares, los usuarios de Internet siguen pareciendo menos preocupados por el robo de contraseñas que por la facilidad de acceso. Da la impresión de que poder abrir el correo electrónico o verificar el saldo bancario rápidamente es más importante que proteger sus cuentas digitales.
¿Es suficiente la autenticación 2FA?
Según el informe sobre investigaciones de filtración de datos (Data Breach Investigations) de Verizon de 2019, empresas de todos los sectores corren el riesgo de sufrir una filtración incluso con un proceso de autenticación adicional. «Independientemente del tipo o la cantidad de datos con los que trabaje su organización, siempre hay alguien que intentará robarlos». Los robos masivos de datos de Adobe, Anthem, eBay, Equifax, Home Depot, Hilton, Hyatt, JP Morgan Chase, LinkedIn, Marriott International, Sony Pictures, Target, Uber, la Oficina de Administración de Personal de EE. UU. o Yahoo demuestran que, si estás en Internet, tus datos personales son susceptibles de estar en peligro. Teniendo en cuenta que 2019 fue el peor año registrado en cuanto a filtraciones de datos, parece que no basta con la autenticación 2FA para proteger tu identidad virtual, cuenta bancaria o calificación crediticia.
Al tratarse de un proceso asequible y, generalmente, fácil de usar, la autenticación 2FA reduce posibles amenazas como el fraude de identidad sintética, el fraude de robo de cuentas, la piratería o el phishing. Aún así, como sucede en cualquier otro sistema, la autenticación 2FA solo es tan fuerte como su eslabón más débil.
Mira el video sobre la identidad por capas y la autenticación continua, de Tracey Kitten y Javelin
La clave reside en hallar los dos factores adecuados
Los sistemas de autenticación de dos factores pueden ser vulnerables, a menos que utilices la combinación correcta de factores. Los métodos que se basan en tokens de seguridad dependen de la calidad del fabricante, mientras que los procesos que utilizan factores biométricos también requieren de un software fiable y seguro. Un proceso de autenticación de dos factores basado en factores de conocimiento, como el código de verificación único enviado al dispositivo móvil del usuario, es susceptible de sufrir ataques de ingeniería social. «Cualquier niño de 13 años puede descargar la herramienta disponible y llevar a cabo estos ataques», afirma Kevin Mitnick, uno de los hackers más buscados por el FBI en su momento. Y la investigación sugiere que aumentar la ciberseguridad a nivel de gerencia es una idea inteligente. En 2018, «los ejecutivos de nivel C tenían doce veces más probabilidades de sufrir incidentes sociales y nueve veces más probabilidades de sufrir filtraciones sociales que en años anteriores. Los incidentes de seguridad y las filtraciones de datos que afectaron a ejecutivos aumentaron de porcentajes de una sola cifra a decenas», según informa Verizon. Ningún sistema de seguridad es perfecto, los hackers pueden interceptar SMS con códigos 2FA con la misma eficacia con que descifran contraseñas débiles. Sin embargo, el uso de los dos factores correctos, como la verificación del documento de identidad en combinación con una verificación biométrica, garantiza un enfoque más estratificado y seguro.
Obtén más información sobre nuestra solución de verificación de la identidad digital