La autenticación de dos factores (2FA) se inventó para agregar una capa adicional de seguridad al procedimiento de inicio de sesión ahora considerado anticuado e inseguro para ingresar un nombre de usuario y contraseña.
Uno de los ejemplos más conocidos de 2FA es cuando intenta iniciar sesión en un sitio web familiar desde una máquina diferente o desde una ubicación diferente, lo que da como resultado una IP diferente. Con los procedimientos de inicio de sesión habilitados para 2FA, primero ingresará su nombre de usuario y contraseña en la computadora y luego recibirá un mensaje de texto en su teléfono que le proporcionará un código de verificación. Debe ingresar ese código de verificación en la computadora para completar el procedimiento de inicio de sesión.
Explicando los diferentes factores
La autenticación de dos factores es una versión menos compleja de autenticación de múltiples factores (MFA), que simplemente usa más factores para determinar la autenticidad de un inicio de sesión. Entonces, ¿cuáles son estos factores? Hay tres categorías principales de factores posibles en una configuración de autenticación de múltiples factores. Echemos un vistazo a las posibilidades.
Algo que sabes
La categoría «algo que sabes» es el factor con el que estamos más familiarizados. Se requiere que una persona ingrese la información que ellos conocen para poder acceder a su cuenta. La combinación de un nombre de usuario y una contraseña es el principal ejemplo, pero las preguntas de seguridad utilizadas por su banco entran en esta categoría.
Algo que tienes
Recibir un código de verificación como el que mencionamos anteriormente significa que el procedimiento que está utilizando es el factor «algo que tiene» de autenticación de dos o múltiples factores. Algo que tienes puede ser una cuenta de correo electrónico o un teléfono por separado al que se puede enviar un código de verificación, pero también hay soluciones de hardware especializadas como YubiKey que entran en esta categoría.
Algo que eres
La categoría «algo que eres» todavía está en desarrollo, pero se centra en ciertos marcadores físicos que se pueden analizar mediante tecnología o biometría , para probar tu identidad. Estos datos biométricos incluyen:
- Huellas dactilares
- Examen de retina
- Reconocimiento de voz
- Identificación de la cara
La mayoría de estos métodos aún deben ser lo suficientemente confiables para el uso diario, aunque las industrias para las cuales la seguridad es imperativa han comenzado a adoptarlas, incluidas las instituciones de salud, los bancos y los teléfonos móviles.
Muchos de estos métodos, una vez que se hayan realizado plenamente, dificultarán el crackeo de los ciberdelincuentes. Sin embargo, la mayoría de estos aún son demasiado caros de implementar o simplemente demasiado grandes para usar en nuestros teléfonos.
¿Cómo es 2FA vulnerable al ataque?
A pesar de las mejores intenciones: proteger los datos de las personas dificultando el acceso de los delincuentes, la autenticación de dos factores (y de factores múltiples) aún puede hacerse vulnerable. ¿Cómo? Los delincuentes lo puentean ya que están en posesión de un factor de autenticación, o se abren camino a la fuerza bruta, o usan esa herramienta malvada que ninguna tecnología puede proteger contra: la ingeniería social .
Estas son las formas más comunes en que se está abusando de 2FA:
Suplantación de identidad
El phishing se puede utilizar para atraer a las víctimas a una página de inicio de sesión falsa. Cuando la víctima ingresa sus credenciales, el atacante las envía a la página de inicio de sesión real, activando así el procedimiento 2FA que solicita a la víctima el código numérico que le enviaron por mensaje de texto o correo, o en algunos casos producido por una aplicación autenticadora. El atacante vuelve a capturar este código en la página de inicio de sesión falsa que la víctima todavía está usando y ahora tiene un conjunto de autenticación completo. Obviamente, debido a la utilidad limitada del numérico, el atacante tendrá que ser rápido. Pero una vez que se conecta con éxito, no hay nada que le impida cambiar el número de teléfono al que se enviará el siguiente código, o cualquier otra cosa en la cuenta que desee.
Restablecimiento de contraseña
Algunos procedimientos de autenticación pueden omitirse mediante la realización de un procedimiento de «contraseña perdida» si el atacante está en posesión del elemento «algo que tienes». Por ejemplo, supongamos que el atacante obtuvo acceso a la cuenta de correo electrónico de la víctima y se envió un enlace de verificación para un determinado acceso a esa cuenta. En tal caso, el atacante podría usar el enlace «Olvidó la contraseña» en el sitio web y usar la siguiente interacción por correo electrónico para cambiar la contraseña a algo que él conoce.
Fuerza bruta
Algunos tokens 2FA son tan cortos y limitados en caracteres que son fácilmente obtenibles por la fuerza bruta. A menos que haya una falla de seguridad en su lugar, un token de cuatro dígitos es bastante inútil si el atacante tiene tiempo para aplicar la fuerza bruta. Los tokens que tienen una validez limitada en el tiempo (TOTP) ofrecen una mejor protección contra este tipo de ataque.
Inicio de sesión de terceros
En algunos procesos de inicio de sesión, se le ofrece al usuario la opción de iniciar sesión utilizando una cuenta de terceros y el uso de esta opción omite el procedimiento 2FA. El ejemplo más conocido es el «inicio de sesión con su cuenta de Facebook» que se utiliza para ciertos sitios y aplicaciones. En tal caso, un atacante puede hacerse cargo de otras cuentas una vez que conozcan sus credenciales de Facebook. (Por eso le recomendamos que no inicie sesión con terceros a menos que sea absolutamente necesario).
¿Cómo podemos protegernos a nosotros mismos?
Con cada vez más infracciones masivas de datos de empresas enormemente populares grabadas cada mes, la autenticación 2FA se está convirtiendo rápidamente en un procedimiento estándar. Y a pesar de que hay formas de evitar 2FA, sigue siendo más seguro que usar el antiguo combo de nombre de usuario y contraseña. Para eludir 2FA, el atacante aún tendría que romper dos ciclos de autenticación, frente a uno solo para nombres de usuario y contraseñas.
Entonces, ¿cómo podemos hacer nuestra parte para mantener a los delincuentes lejos de 2FA? Siga estos pasos para mantener su información personal segura:
- Preste atención a los correos electrónicos que le dicen que se usó una cuenta desde un dispositivo nuevo o desconocido, y verifique si realmente era usted. Además, preste atención a otras señales de advertencia obvias, como los correos electrónicos que le notifican intentos de inicio de sesión fallidos o solicitudes de restablecimiento de contraseña que no provienen de usted.
- Si tiene una cuenta de Facebook, verifique en Configuración> Aplicaciones y sitios web si todo lo que se incluye allí fue utilizado por usted y si debería estar allí. Además, tenga en cuenta que una cuenta de Facebook «desactivada» se puede resucitar cuando utiliza la opción «iniciar sesión con su cuenta de Facebook» en algún lugar.
- Si puede elegir los procedimientos de autenticación, investigue las vulnerabilidades conocidas y aplique esas lecciones. Por ejemplo, los algoritmos de tokens débiles pueden ser utilizados por un atacante para predecir el próximo token si pueden ver los anteriores. O usar tokens cortos sin una validez limitada puede dejarlo abierto para atacar. [LECCIÓN: Usa algos token fuertes.]
- Capacítese a usted y a su personal para reconocer los intentos de phishing.
Si 2FA aún es vulnerable, usted podría estar preguntando: «¿Entonces por qué no usar la autenticación de múltiples factores?» La triste verdad es que incluso la autenticación de múltiples factores tiene sus soluciones. Los métodos para la autenticación de «algo que usted es» que se usa en nuestros dispositivos en este momento son todavía bastante fáciles de usar: no hace falta ser un genio pirata informático para desconectar el reconocimiento de voz.
Pero la industria está aprendiendo rápidamente a medida que avanza. Por ejemplo, el uso de dos cámaras de alta definición separadas hace que el iPhoneX sea mucho mejor en reconocimiento facial que algunos de los modelos de iPhone más antiguos. A medida que las versiones más seguras y robustas de la autenticación de múltiples factores estén disponibles, la esperanza sigue siendo que algún día es casi imposible engañarnos.
Sobre el autor