Doble factor de autenticación
¿Qué es el doble factor de autenticación (2FA)?
El doble factor de autenticación (2FA) es una capa adicional de seguridad que se utiliza para garantizar que las personas que intentan obtener acceso a una cuenta en línea sean quienes dicen ser. Primero, un usuario ingresará su nombre de usuario y una contraseña. Luego, en lugar de obtener acceso de inmediato, se les pedirá que proporcionen otra credencial. Este segundo factor podría provenir de una de las siguientes categorías:
- Algo que sepa: esto podría ser un número de identificación personal (PIN), una contraseña, respuestas a «preguntas secretas» o un patrón de pulsación de tecla específico.
- Algo que tienes: normalmente, un usuario tendría algo en su poder, como una tarjeta de crédito, un teléfono inteligente o un pequeño token de hardware.
- Algo que eres: esta categoría es un poco más avanzada y puede incluir un patrón biométrico de una huella digital, un escaneo de iris o una huella de voz.
Con 2FA obtenemos un compromiso por el que solo uno de estos factores no desbloqueará la cuenta. Por lo tanto, incluso si le roban su contraseña o si pierde su teléfono, es muy poco probable que otra persona tenga su información de segundo factor.
Tipos populares de 2FA
Si un sitio solo requiere una contraseña para ingresar y no ofrece 2FA, es muy probable que sea pirateado. Eso no significa que todos los 2FA sean iguales. Actualmente se utilizan varios tipos de autenticación de dos factores; algunos pueden ser más fuertes o más complejos que otros, pero todos ofrecen una mejor protección que las contraseñas por sí solas. Veamos las formas más comunes de 2FA:
Tokens hardware
Probablemente la forma más antigua de 2FA, los tokens de hardware son pequeños, como un llavero, y producen un nuevo código numérico cada 30 segundos. Cuando un usuario intenta acceder a una cuenta, mira el dispositivo e ingresa el código 2FA que se muestra nuevamente en el sitio o la aplicación. Otras versiones de tokens de hardware transfieren automáticamente el código 2FA cuando se conectan al puerto USB de una computadora.
Sin embargo, tienen varios inconvenientes. Para las empresas, la distribución de estas unidades es costosa. Y los usuarios descubren que su tamaño los hace fáciles de perder o extraviar. Lo más importante es que no están del todo a salvo de ser pirateados.
Tokens basados en SMS y voz
2FA basado en SMS interactúa directamente con el teléfono de un usuario. Después de recibir un nombre de usuario y una contraseña, el sitio envía al usuario un código de acceso único (OTP) por mensaje de texto. Al igual que el proceso de token de hardware, un usuario debe ingresar la OTP nuevamente en la aplicación antes de obtener acceso. De manera similar, la 2FA basada en voz llama automáticamente a un usuario y le comunica verbalmente el código 2FA. Si bien no es común, todavía se usa en países donde los teléfonos inteligentes son costosos o donde el servicio celular es deficiente.
Para una actividad en línea de bajo riesgo, la autenticación por texto o voz puede ser todo lo que necesita. Pero para los sitios web que almacenan su información personal, como empresas de servicios públicos, bancos o cuentas de correo electrónico, este nivel de 2FA puede no ser lo suficientemente seguro. De hecho, se considera que los SMS son la forma menos segura de autenticar a los usuarios.
Tokens software
La forma más popular de autenticación de dos factores utiliza un código de acceso de un solo uso basado en el tiempo y generado por software (también llamado TOTP o «token de software»).
Primero, un usuario debe descargar e instalar una aplicación 2FA gratuita en su teléfono inteligente u ordenador de escritorio. Luego, pueden usar la aplicación con cualquier sitio que admita este tipo de autenticación. Al iniciar sesión, el usuario primero ingresa un nombre de usuario y contraseña y luego, cuando se le solicita, ingresa el código que se muestra en la aplicación. Al igual que los tokens de hardware, el token de software suele ser válido durante menos de un minuto. Y debido a que el código se genera y se muestra en el mismo dispositivo, los tokens de software eliminan la posibilidad de interceptación de piratas informáticos.
Lo mejor de todo es que, dado que las soluciones 2FA basadas en aplicaciones están disponibles para plataformas móviles, wearables o de escritorio, e incluso funcionan sin conexión, la autenticación de usuarios es posible en casi todas partes.
Notificaciones push
En lugar de depender de la recepción y la entrada de un token 2FA, los sitios web y las aplicaciones ahora pueden enviar al usuario una notificación push de que se está realizando un intento de autenticación. El propietario del dispositivo simplemente ve los detalles y puede aprobar o denegar el acceso con un solo click. Es una autenticación sin contraseña, sin códigos para ingresar y sin necesidad de interacción adicional.
Al tener una conexión directa y segura entre el proveedor de servicios, el servicio 2FA y el dispositivo, la notificación push elimina cualquier oportunidad de phishing, ataques de intermediario o acceso no autorizado.
Pero solo funciona con un dispositivo conectado a Internet. Además, en áreas donde la penetración de teléfonos inteligentes es baja, o donde Internet no es confiable, la 2FA basada en SMS puede ser una alternativa preferida. Pero cuando es una posibilidad, las notificaciones automáticas brindan una forma de seguridad más fácil de usar y más segura.
Otros tokens
La autenticación biométrica 2FA, que trata al propio usuario como token, es el futuro próximo. Las innovaciones recientes incluyen la verificación de la identidad de una persona mediante huellas dactilares, patrones de retina y reconocimiento facial. También se están explorando el ruido ambiental, el pulso, los patrones de escritura y las vocalizaciones. Es solo cuestión de tiempo para que uno de estos métodos 2FA se imponga… y para que los piratas informáticos biométricos descubran cómo copiarlos.