Muchos servicios online ofrecen doble autenticación como medida de seguridad adicional para proteger las cuentas de sus usuarios. Esto se debe a que la identificación por usuario/contraseña se ha convertido en insuficiente, gracias a la facilidad con la que se pueden “adivinar” mediante ingeniería social (conociendo a una persona, sus gustos… etc.) o directamente “robar” mediante ataques de phishing (con una suplantación de la web de nuestro banco, por ejemplo).
Este sistema de doble autenticación o multi factor de autenticación (MFA) se fundamenta en el principio de imposibilidad de que un tercero pueda reunir los factores requeridos para el acceso satisfactorio. A partir de ahí, podemos encontrar diferentes tipos de factores de autenticación:
- Algo que sabemos, por ejemplo, usuario/contraseña o un PIN.
- Algo que somos, por ejemplo, huella dactilar o iris.
- Algo que tenemos, por ejemplo, un token físico o un móvil.
En un sistema de doble autenticación la identidad se demuestra mediante el uso de dos de estos tres factores.
Los casos más típicos de doble factor combinan el usuario/contraseña con un SMS de móvil o el uso de una aplicación gratuita como Google Authenticator, Microsoft Auhenticator o Authy, que contiene un código temporal que nos permite realizar una determinada operación o, simplemente, iniciar sesión.
Esta simple acción, que nos lleva no más de diez segundos, permite aumentar exponencialmente el nivel de seguridad en el proceso de autenticación. Creo que todos los usuarios estamos acostumbrados a usar este tipo de sistemas cuando operamos con nuestro banco principalmente, pero debemos ser conscientes de que hoy en día podemos usar doble factor de autenticación en la mayoría de las aplicaciones que usamos, por ejemplo: Office365, Linkedin, Twitter, Dropbox, G-suite, Google Drive, One Drive…
La gran pregunta ahora sería: ¿Debo usarla en todos los sitios web y/o aplicaciones? Mi respuesta como paranoico de la seguridad sería que siempre que se pueda, se use. Pero entendiendo que no todo el mundo está dispuesto a eso, al menos lo aplicaría de forma obligatoria a cualquier aplicación que contenga información privada mía y a toda aplicación que use en mi empresa o para desempeñar mi labor profesional. La reflexión es que, si no nos importa hacerlo con nuestro banco online porque sabemos que con el dinero no se juega, debemos tener en cuenta que la información también es dinero para otros y concienciarnos del coste que puede suponer para mí y mi empresa que alguien pueda usar la información en su beneficio.
Antonio Guerrero
Director de Seguridad y Tecnología de Cloud Center Andalucía.