Muchos de los servicios que usamos nos insisten cada poco tiempo en activar la autenticación en dos pasos, también conocida como verificación en dos factores y 2FA. Es una barrera concebida para defendernos contra los hackers, pero, ¿sigue siendo útil o ha quedado obsoleta ante los ataques más peligrosos?
Sin duda, poder navegar y trabajar de manera segura es una de las grandes preocupaciones para todo tipo de usuarios. Los datos avalan esta inquietud: solo al inicio de la pandemia, el phishing aumentó hasta en un 235 %. Durante 2021 el porcentaje de empresas que sufrieron ciberataques creció cinco puntos, hasta el 43 %.
¿Qué es la autenticación en dos pasos?
El sistema de autenticación en dos pasos no supone una novedad en la lucha contra el ‘cibercrimen’. Las grandes compañías especializadas en seguridad online llevan explicando sus beneficios desde hace años. En una época en la que nuestra vida virtual ha aumentado de forma significativa, su uso está bastante interiorizado para la mayoría de internautas.
De hecho, las plataformas sociales insisten a sus usuarios en protegerse gracias a su empleo, desde Facebook e Instagram a Twitter, y de la tienda PlayStation Store al exitoso videojuego ‘Fortnite’. Sucede también en entornos delicados, desde la administración pública a la banca online, pasando por suites enfocadas al trabajo colaborativo y en remoto como Google Workspace y Microsoft 365.
¿En qué consiste? Hablamos de un filtro doble que protege nuestras cuentas haciendo uso de ‘algo que sabemos’ y ‘algo que tenemos’. El primer paso suele ser una contraseña o un número PIN y el segundo, una tarjeta de coordenadas o una llave física. Hace poco se ha popularizado enviar un código al dispositivo que siempre llevamos con nosotros, el smartphone.
¿Es la autenticación en dos pasos segura a día de hoy?
Se calcula que la aplicación de un sistema de autenticación en dos factores es capaz de bloquear alrededor del 99,99 % de los ataques automatizados. Con estos datos en la mano, parece sensato afirmar que el 2FA, a pesar de llevar funcionando muchos años, es bastante seguro para el público general.
¿Qué ocurre si los ‘cibercacos’ se esfuerzan al máximo? No retrata en absoluto un uso normal del usuario medio, pero es cierto que especialistas en seguridad ya han detectado vías por las que los hackers son capaces de vulnerar estas protecciones. Una de las más frecuentes es interceptar los códigos enviados al móvil gracias al SIM swapping, estafa contra la que Orange proporciona protección específica.
Más métodos son las herramientas de ‘proxy inverso’, los ataques para acceder a la Google Play Store desde un portátil y sincronizar las notificaciones en diferentes dispositivos, engañando al usuario para que habilite permisos inadecuados. Son acciones, eso sí, que requieren de un nivel alto de competencias por parte del criminal y durante las cuales el usuario suele ser advertido.
¿Qué es la ‘autenticación multifactorial’?
Se está estableciendo cada vez más una variante, conocida como autenticación multifactorial, autenticación de múltiples factores o MFA, por sus siglas en inglés. Este sistema utiliza distintas tecnologías para identificar al usuario, pero, a diferencia de la 2FA, no se limita a dos pasos o dos tipos concretos de barrera.
A las tipologías de ‘algo que sabes’ y ‘algo que tienes’ se le suele unir una tercera, ‘algo que eres’, siendo un rasgo esencial a la MFA que los factores respondan a distintas categorías. En ese sentido, la autenticación multifactorial sería una especie de modelo ‘hipervitaminado’ de la autenticación en dos pasos.
Algunas de las tecnologías más empleadas en la protección MFA suelen ser las autenticaciones en el móvil, con notificaciones y apps, los tokens físicos e incluso la autenticación fuera de banda. Un dato curioso es que, a medida que se populariza el uso de datos biométricos, estas soluciones pueden prescindir de la contraseña, elemento clásico en la historia de la seguridad online.
Más allá de las autenticaciones: una visión zero trust
El teletrabajo ha trasladado a nuestros hogares posibles vulneraciones de seguridad antes habituales en un entorno corporativo. Por eso, cada vez cobra mayor relevancia una manera de enfocar la ciberseguridad desde la cultura empresarial, más allá del uso de herramientas tecnológicas tradicionales.
Es una idea originada en los noventa y conocida como enfoque del zero trust o de confianza cero. Llevado al panorama actual, se trataría de no relajarse pensando que defensas basadas en seguridad perimetral como redes VPN o un buen firewall serán capaces de proteger nuestra empresa. Su máxima de “no confíes, siempre verifica”, según el National Institute of Standards and Technology (NIST), se basa en una verificación explícita, otorgar privilegios mínimos y asumir la existencia de amenazas.
Para Orange, no hay un servicio excelente si se navega con temor. Por eso invierte en proyectos como el Laboratorio de Ciberseguridad de Valladolid, que tiene como objetivo testar la seguridad de ecosistemas de internet de las cosas en un entorno avanzado. La misma razón, además, por la que ofrece protección para todo tipo de usuarios, domésticos, autónomos y PYMES y gran empresa.
Por Pablo Vinuesa
Imágenes | Portada: fotografía de Dan Nelson en Pexels; interiores: fotografías de Clint Patterson y Ed Hardie, ambas en Unsplash.