Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

La mayoría de las personas utilizan sólo una contraseña para proteger sus cuentas. Esta técnica es utilizada para disminuir el riesgo de sufrir fraudes, como por ejemplo la suplantación de identidad o robo de cuenta. Es recomendable habilitar la autenticación con doble factor (2FA) en todo sitio que ofrezca esta posibilidad, como por ejemplo cuentas de correo, banca online, redes sociales, entre otros.

¿A qué llamamos factores de autenticación?

Un factor de autenticación es una categoría independiente de credencial utilizada para verificar la identidad de una persona.

Cada factor se puede agrupar por:

“Algo que se sabe” (factor de conocimiento):

• Una contraseña, un PIN
• Una pregunta de seguridad

“Algo que se tiene” (factor de posesión):

• Un mensaje de correo electrónico, de texto (SMS) o correo de voz.
• Un número aleatorio o un código QR, generados con un software como una app del celular o equipo, o desde un hardware externo (tokens, llaves).
• Las tarjetas de los Bancos.

“Algo que se es” (factor de inherencia):

• Información biométrica como huellas dactilares.
• Imagen de rostro, retina o iris.
• Sonido de la voz, entre otros

Doble factor de autenticación significa que se utilizan dos de estos factores juntos, por ejemplo: para poder retirar dinero del cajero automático se necesitan dos cosas: la tarjeta del banco y su PIN (algo que tiene y algo que sabe).

 ¿Cómo el doble factor de autenticación disminuye los riesgos de fraude por internet?

Generalmente estos tipos de fraude comienzan cuando alguien, sin nuestro conocimiento, pudo conseguir nuestra contraseña para poder acceder a nuestros servicios o información ya sea a través de:

• Uso de técnicas de ingeniería social como phishing.
• Infección de malware en nuestros equipos.
• Por algún descuido en el que no seguimos recomendaciones o buenas prácticas para el uso de contraseñas seguras.
• Intentando por fuerza bruta adivinar nuestras contraseñas, es decir, probando posibles combinaciones.

Cuando habilitamos el segundo factor de autenticación, propiciamos que, quien quiera realizar un ataque ya no le alcanzará con acceder a nuestra contraseña, también necesitará “algo que tenemos” como un token, el teléfono, un correo, o “algo que somos” como la huella dactilar, entre otros.

Formas de implementar 2FA

Biométrico

En la verificación biométrica, el rostro, la huella dactilar, la retina o la voz son un factor necesario para probar la identidad y obtener acceso a una cuenta.

La mayoría de los celulares y equipos permiten el acceso y hay muchos otros dispositivos que pueden probar su identidad al escanear sus características físicas o su voz.

Mensaje de correo electrónico, de texto (SMS) o de voz

Es un método fácil de usar, pero con niveles de seguridad no tan altos como otros tipos de factores, porque una persona podría acceder al mensaje de texto, SMS o correo de voz sin nuestro consentimiento.

Para completar la autenticación con mensajes de texto por SMS o voz, se debe proporcionar un número de teléfono o un correo electrónico en el momento de crear la cuenta. En el inicio de sesión, el servicio enviará un SMS con un código de verificación temporal al teléfono registrado o a la dirección de correo electrónico especificada, el cual deberá ingresarse para comprobar nuestra identidad.

Notificación automática

Cada vez que se realiza un intento de inicio de sesión, se envía un aviso a los distintos dispositivos “de confianza” que se hayan configurado previamente en el sitio. El aviso usualmente indica la ubicación estimada desde dónde se realizó el intento de acceso y así se puede decidir si aprueba o deniega el intento de inicio de sesión. La ubicación se puede conocer porque cada dispositivo conectado a internet tiene una dirección IP, que es un conjunto de números, únicos e irrepetibles, que lo identifican.

Para que los sistemas de notificaciones automáticas funcionen, es necesario que el dispositivo tenga una conexión de datos o de Internet.

Tokens de software (aplicación de autenticación)

Esta forma de 2FA requiere descargar e instalar una aplicación de autenticación de dos factores en el celular o equipo. Algunos ejemplos de las más utilizadas son:

• Google Authenticator  Android, IOS, Chrome Extension.
• Microsoft Authenticator: Android, IOS
• Authy: Android, Desktop, IOS

Si un sitio ofrece este estilo de 2FA, mostrará un código QR que se deberá escanear en una aplicación compatible, ya instalada. La aplicación generará un nuevo código de seis dígitos cada 30 segundos, y se necesitará uno de esos códigos junto con el nombre de usuario y la contraseña para iniciar sesión.

El beneficio de este estilo de autenticación de dos factores es que no necesita estar conectado a una red móvil. La tecnología subyacente para este estilo de 2FA se llama “Contraseña de un solo uso basada en el tiempo” (TOTP).

Tokens de hardware

Los tokens de hardware producen un nuevo código numérico a intervalos regulares. Cuando se desea acceder a una cuenta, solo se necesita verificar el dispositivo (suelen ser pequeños, como un llavero) e ingresar el código que se muestra en el sitio o la aplicación. Otras versiones de esta tecnología pueden transferir automáticamente un código de autenticación de dos factores cuando se conecta la clave de seguridad a un puerto USB.

Las empresas utilizan con mayor frecuencia la autenticación de dos factores de hardware. Las grandes empresas tecnológicas y financieras están creando un estándar conocido como U2F (Universal 2nd Factor), y ahora es posible usar un token de hardware U2F físico para proteger cuentas en Dropbox, Google, GitHub Nextcloud, Facebook y Opera, entre otros. Es una pequeña llave USB que se puede colocar en un llavero. Cuando se desea iniciar sesión en una cuenta se inserta la llave USB en el dispositivo.

Si bien este método es seguro y no requiere una conexión a internet, se puede perder fácilmente y tanto la instalación como el mantenimiento tiene un mayor costo.