Hace un tiempo una noticia comenzó a inquietar a muchas personas en las redes: El robo de cuentas de Whatsapp mediante la asociación del número de teléfono a otro móvil y la obtención de la clave de identificación que llegaba en un SMS.
Esto se extendió también a Telegram y la mejor manera de enfrentar los procesos de usurpación de de cuentas era la aplicación de un mecanismo que reforzara la seguridad: la autenticación en dos pasos.
Han sido varias las violaciones de seguridad que han demostrado la necesidad del uso de este mecanismo de seguridad. Entre ellos destacan la violación de datos en Equifax en 2017, que expuso los datos de 147 millones de personas vinculadas a esta agencia crediticia.
En 2020, Twitter fue objeto del ataque. Pero antes, en 2016, fue notorio y escandaloso el hackeo de las cuentas en Uber, que expuso datos personales de conductores y clientes y en 2018 la violación de datos de Marriott International, que afectó a más de 500 millones de personas a partir de la adquisición de la cadena hotelera Starwood, cuyo sistema informático estaba comprometido desde 2014.
Los mecanismos de ataque se basaron en el compromiso de los sistemas de autenticación y causaron efectos nocivos en la confianza en estas organizaciones por parte de sus clientes.
Todo esto fue posible por la no utilización de la autenticación en dos pasos, también conocida como doble factor de autenticación (2FA).
Cuando se trató recientemente el tema de las contraseñas en este blog, se expusieron algunos de los mecanismos utilizados en la autenticación:
1. Algo que el usuario sabe: contraseña o PIN.
2. Algo que el usuario tiene: móvil o tarjeta.
3. Algo que el usuario es: huella dactilar o patrón de retina.
Si en vez de utilizar únicamente un método, se utilizan dos, se añade una capa de seguridad a la cuenta y por ello se hace más difícil que pueda ser comprometida por un atacante.
Entonces, puede definirse el doble factor de autenticación como un mecanismo de seguridad que requiere dos tipos diferentes de información para validar la información del usuario o como método de confirmación de identidad de una persona, a partir de componentes diferentes.
Para asegurar el mecanismo son utilizadas:
1. Mensajes de textos o llamadas telefónicas que envían un código a ingresar en la plataforma para completar el acceso.
2. Aplicaciones para la autenticación que generan un código como Google Autheticator o Microsoft Authenticator.
3. Tokens de hardware. Dispositivos físicos que generan códigos que permiten completar el ingreso a la sesión.
4. Biometría. A partir de características físicas de la persona como la huella digital, el reconocimiento facial o de voz entre otras.
5. Correo electrónico. Mensaje por esta vía a una cuenta declarada de antemano que permite la verificación por un código o un enlace.
6. Tarjetas inteligentes con un chip integrado que se utiliza junto a un PIN o contraseña para lograr el acceso.
la activación del 2FA es esencial en las aplicaciones o plataformas para lograr una mayor seguridad de la información y por ello se han venido incrementando el número de prestadores de servicios que lo incluyen, sea por obligaciones legales o como vía para ganar fiabilidad ante sus clientes. Por tal motivo, mantener una postura disipada ante el uso del mecanismo, hace posible el robo de identidad donde el phishing y la ingeniería social son armas esenciales de los ciberdelincuentes.
La protección adicional que genera el 2FA contribuye a reducir el robo de identidades, pues el atacante no podrá acceder al código adicional requerido para completar el mecanismo de acceso.
Además con el uso de este mecanismo se propicia que se detecte con mayor facilidad la actividad sospechosa en el uso de las cuentas, porque los intentos infructuosos de acceso a las cuentas de usuarios son un síntoma de comportamiento anormal.
A esto se añade que la aplicación de esta garantía se ha venido extendiendo en los cuerpos legales de diversos países como ente de cumplimiento obligatorio para la prestación de un servicio. Esto brinda mayor tranquilidad a los usuarios por el compromiso adquirido por los prestadores de servicios y por herencia al sistema informático en cuestión. De hecho es posible apreciar el uso de esta capa de seguridad, de manera directa o indirecta, en las aplicaciones y plataformas de Google y Meta. En Cuba la plataforma ENZONA lo utiliza de una forma muy extendida en muchos de sus servicios.
Una buena práctica para proteger la información es el uso del 2FA. Lo que hoy pudiera apreciarse como una molestia que complica el acceso con celeridad a un servicio o proceso, podrá entenderse mañana como una garantía que evita restricciones en servicios, pérdida de información como consecuencia de un ataque o simplemente de tiempo avisando a sus contactos que su cuenta ha sido comprometida por los ciberdelincuentes.
La invitación a utilizar esta opción de seguridad no es capricho, es necesidad en los tiempo actuales de ciberguerra.