Verificación en dos pasos: ¿qué tan efectiva es esta herramienta y cuáles son sus desventajas?

Recientemente, Activision Blizzard anunció que quienes deseen jugar su próximo videojuego, Call of Duty: Modern Warfare II, tendrían que otorgar un número de teléfono para realizar una verificación en dos factores a través de un SMS. La medida se tomó luego que, durante el lanzamiento de Overwatch 2, recibieran ataques DDOS, los cuales sobrecargan los servidores de la empresa con cuentas “bot” que quieren acceder al mismo tiempo

MIRA: Descubren troyano que es capaz de robar cuentas de WhatsApp y realizar suscriptores de pago

No es algo inusual para las compañías impulsar esta manera de reforzar la seguridad. La misma Blizzard ya cuenta con un Authenticator para acceder a la cuenta de Battle.net, e incluso da incentivos cosméticos dentros de los videojuegos a los usuarios que la utilicen.

Sin embargo, el problema puede presentarse cuando cada compañía tiene su propia forma de verificar en dos pasos que el dueño de la cuenta está tratando de ingresar, o que cada una tenga su propia aplicación para ello. Si bien el incoveniente parece ser un problema de capacidad en nuestros dispositivos móviles, en realidad va por otro camino: más contraseñas.

MIRA: WhatsApp lanzó inusual video para atraer a más usuarios: “Envía mensajes de forma privada. Sin palomas”

¿Qué es un Authenticator y cómo funciona?

De acuerdo con Jhonatan Luján, líder de la auditoría de ciberseguridad del BCP y experto en temas seguridad de la información, esta herramienta disminuye la probabilidad de que nos suplanten. “Un Authenticator es un elemento de seguridad que permite confirmar la identidad de un usuario en un sistema. A través de la posesión de un método provisto por un software, puede autenticarse en una aplicación y adicionar una capa de seguridad en el proceso, mitigando el riesgo de suplantación de identidad cuando la cuenta y contraseña de la persona o entidad ha sido comprometida”, indica en entrevista con El Comercio.

Para ello, se utiliza información o equipos que solo el dueño de una cuenta tendría. “Como lo describe el Instituto Nacional de Estándares y Tecnología (NIST) [de Estados Unidos], los factores empleados en la autenticación incluyen: algo que sabes, como por ejemplo, contraseñas, número de identificación personal, PIN; algo que tienes, como un dispositivo de identificación criptográfica, códigos o token; o algo que demuestre quién eres, como los datos biométricos”, agrega.

MIRA: Microsoft expuso a sus usuarios ante ciberataques durante casi tres años

Este tipo de herramienta suele generar un código temporal que el usuario utiliza para comprobar que es el dueño. “El Authenticator proporciona métodos o factores adicionales referidos a ‘algo que tienes’, a través de la creación de códigos aleatorios seguros (o tokens) y de uso único, los cuales cambian en periodos cortos. O también, a través de solicitudes que requieren conformidad de acceso con el uso del software. Los métodos son gestionados a través de un dispositivo móvil en el que se instala el software Authenticator o Multifactor, como un teléfono inteligente”, añade el experto.

De acuerdo con Luján, estos trabajan de la siguiente manera:

• El usuario ingresa sus credenciales de inicio de sesión para acceder al sitio web
• Un servidor verifica la cuenta de usuario y contraseña. De ser correctos ambos, el usuario debe ingresar el segundo factor.
• El software de Authenticator proporciona al dispositivo el segundo factor que puede ser un código único o una solicitud de confirmación, previa validación de la identidad del dueño.
• Finalmente, se valida la identidad del usuario.

¿Qué tan efectivo es el uso de un Authenticator?

Como se indicó, el uso de un tipo de verificación en dos pasos es solo una protección adicional, por lo que no es infalible. “Si bien es más difícil para un atacante informático obtener acceso físico al dispositivo inteligente y generar un código sin que el dueño lo detecte, algunos servicios permiten el envío de códigos de autenticación a través de mensajes en texto o a través del uso de correos electrónicos que pueden ser redirigidos o interceptados. Como tal, estos equipos son un objetivo cada vez más tentador, por lo que el phishing y el malware dirigido a ellos es constante”, indica Luján.

Sin embargo, su impacto es notorio, pues los cibercriminales no pueden simplemente acceder a tu cuenta con solo tener el nombre de usuario y contraseña. “Con la adopción de estas aplicaciones Authenticator o multifactor de autenticación, las credenciales provistas por sí solas no son útiles para los atacantes en muchos casos, requiriendo aun el realizar acciones de phishing de credenciales y mayor trabajo manual para cada cuenta robada. No obstante, los atacantes continúan desarrollando servicios que automatizan el phishing sobre los códigos de autenticación”, afirma.

MIRA: ¿Adiós Zoom? Prueban las primeras videollamadas holográficas por 5G en Europa

Tal y como se explicó cada compañía cuenta con un propio Authenticator o forma de verificar en dos pasos quién es el dueño de la cuenta, por lo que no todos trabajan de la misma forma. “Algunas aplicaciones como Microsoft Authenticator o Google Authenticator protegen la interceptación de sus códigos y requieren asimismo que el usuario acepte una solicitud. Esto garantiza que el usuario realmente cuente con el dispositivo para aprobar un inicio de sesión”, asegura el experto.

Sin embargo, si se extravía el equipo, o ha sido hurtado, esta protección podría perderse. “En caso del robo de un dispositivo, los códigos o factores pueden ser expuestos o comprometidos si es que no están protegidos de ser accedidos mediante contraseñas o métodos de validación biométricos del software Authenticator”, agrega.

MIRA: Fundador de Telegram recomienda no usar más WhatsApp pues asegura “es una herramienta de vigilancia”

¿Qué desventajas tiene el uso de un Authenticator?

Luján señala que existen varias deventajas, pero que pueden variar dependiendo de las características o funciones que ofrece el software. Es decir, no todos tendrán necesariamente los mismos problemas que el experto lista a continuación:

• Algunas herramientas no tienen protección de inicio de sesión (a través de contraseñas de acceso o bloqueo biométrico de la aplicación) en el caso que la aplicación desbloqueada cae en manos equivocadas.
• Algunas otras no permiten realizar copias de seguridad, emplear funciones sincronización en la nube, o simplemente no son incompatibles.
• Algunos sistemas emplean códigos enviados el través de mensajes de texto (SMS), los cuales pueden ser interceptados. También estos métodos son débiles al desarrollo de ataques como SIM Swapping, en el que un atacante puede suplantar tu identidad mediante el secuestro del número de teléfono a través duplicado de la tarjeta SIM.
• El proceso es susceptible a la ingeniería social, la cual puede permitir obtener los códigos mediante el redireccionamiento a sitios web falsos.
• En caso de pérdida del dispositivo o smartphone donde se gestionan los factores, sea por cambio, restauración de fábrica o robo, y no cuentes con los datos respaldados, puede que pierdas el acceso a tu cuenta.
• Puede ser complejo de administrar si tienes varios servicios que requieren su uso y no cuentes siempre con el dispositivo y el software a la mano.

Las contraseñas, el Authenticator y la verificación en dos pasos

No todas las empresas utilizan un código generado automáticamente y con un tiempo de uso limitado. Por ejemplo, WhatsApp no cuenta con un Authenticator, pero sí con la verificación en dos pasos dentro de la misma app. Para ello, el dueño de la cuenta añade una contraseña de 6 dígitos y cada cierto tiempo la aplicación lo obliga a ingresarla. De esta forma, los usuarios recordarán la clave.

“Una contraseña de seis dígitos incrementa las posibilidades de que un cibercriminal realice procedimientos de ataque de tipo diccionario o de fuerza bruta buscando obtener el acceso al sistema de su víctima. En una contraseña de 6 dígitos, hay 1 millón (10 elevado a la 6) de posibles contraseñas. Para un atacante, ingresar a su cuenta no es tan complejo como parece si es que ya cuenta con su nombre de usuario y la posibilidad no controlada de realizar intentos ilimitados”, afirma Luján.

MIRA: ¿Qué tan privado es realmente el modo incógnito de Chrome? Hasta los empleados de Google se quejan

Además, si usamos más aplicaciones que también nos permiten poner claves, nos obligaría a recordarlas o utilizar la misma para todas. Cualquiera que sea el caso, estaríamos escribiendo en algún papel o nota digital las contraseñas, o exponiéndonos al usar solo una.

Por otra parte, Instagram, por ejemplo, pide que utilicemos un Authenticator externo para añadir esta capa de seguridad a nuestra cuenta. Estos suelen generar el código de 6 dígitos de forma aleatoria, pero en muchas ocasiones utilizan un SMS para que el usuario pueda ingresarlo.

Como se mencionó antes, estos mensajes de texto pueden ser interceptados y no son tan fuertes ante algunos tipos de ciberataques. Además, también se le puede añadir el tiempo de espera, pues los SMS no llegan siempre al instante.

MIRA: Mark Zuckerberg arremete contra app de Apple: “WhatsApp es mucho más privado y seguro que iMessage”

¿Qué recomendaciones deberíamos seguir si usamos un Authenticator o algún tipo de verificación en dos pasos?

Según el experto, lo recomendable es no utilizar la misma contraseña para todo si se nos permite agregar una. “Si como un recurrente usuario del ciberespacio sueles navegar por docenas de sitios y registrarte en todos ellos, debes considerar que el usar una única contraseña, incluso robusta, siempre es susceptible de ser robada o comprometida. En consecuencia, todos los sitios donde estás registrado son susceptibles de ser accedidos con tus datos”, asegura.

Asimismo, deberíamos optar por la identificación biométrica para asegurarnos que solo nosotros podamos ingresar a nuestras cuentas. “Una herramienta de autenticación no siempre te será compatible con todos los servicios y aplicaciones que empleas, por lo que terminarás instalando varios de estos sistemas en tus dispositivos inteligentes. Puedes manejar una contraseña fuerte que te permita acceder a estos métodos o, si el software lo permite, emplear sus funciones de validación biométrica”, concluye Luján.