La autenticación de doble factor (o autenticación en dos pasos) es una medida de seguridad que añade una segunda capa de protección a la contraseña que se emplea. Agregar esta capa adicional hace que sea mucho más difícil para un hacker vulnerar las cuentas de los usuarios.
Cómo funciona
Como se ha mencionado anteriormente, la 2FA verifica un segundo dato aparte de la contraseña. El tipo de información utilizada para la segunda parte de la verificación depende del servicio en línea que emplee. Existen varias opciones:
- Una llave física de seguridad: funciona como un candado, pero hay que comprar una caja para llaves.
- La aplicación Google Authenticator: la aplicación se instala en el teléfono y luego, al iniciar sesión en el correo electrónico, sale un mensaje en el teléfono; para verificar su identidad, tiene que tocar este mensaje.
- Código de verificación: esta opción envía un código numérico de un solo uso, bien por SMS, bien mediante llamada, que se debe introducir para verificar la identidad.
¿Por qué no es suficiente una contraseña?
Los hackers pueden perpetrar ataques de fuerza bruta o spraying (probar una lista con las contraseñas más habituales) para descifrar fácilmente las contraseñas débiles. Por ello, debe evitar las más obvias.
Aunque se tenga una contraseña muy compleja, los hackers más hábiles son capaces de averiguarla de varias maneras:
- Filtraciones de datos: cuando una organización sufre un ataque de ciberseguridad, los nombres de usuario y las contraseñas de millones de personas pueden terminar vendiéndose en la Dark Web. Los ciberdelincuentes pueden comprar listas de nombres de usuario y contraseñas, y probarlas en toda la red para ver si pueden acceder a alguna cuenta. Por eso nunca se debe utilizar una misma contraseña para varias cuentas.
- Spyware: este tipo de software malicioso es capaz de espiar a los usuarios. Por ejemplo, un keylogger puede registrar las pulsaciones de las teclas y guardar todo lo que se escribe. Posteriormente, envía esta información a los hackers que instalaron el malware en el dispositivo.
- Phishing: es un tipo de estafa basada en la ingeniería social por la que los ciberdelincuentes suplantan un negocio o a una persona de confianza para conseguir información personal. En este caso, el usuario podría recibir un correo electrónico falso donde pidiera confirmar su nombre de usuario y contraseña de algún servicio en línea que utilice. Al escribirlas, las credenciales llegan directamente al estafador.
Si la contraseña queda expuesta y acaba en manos de un ciberdelincuente, pero se utiliza la autenticación de doble factor, nadie podrá vulnerar la cuenta. Por eso, este tipo de autenticación es una medida de seguridad muy potente.
Archivado en: