Actualidad
Twitter busca mejorar la seguridad con la verificación en dos pasos
Twitter ha empezado a implementar la verificación en dos pasos. Un sistema de comprobación que hace que las cuentas sean más seguras.
Y es que en los últimos tiempos parece que hackear una cuenta de Twitter se ha hecho más fácil. Ayer alguien envió un tweet falso desde la cuenta de Associated Press informando de un ataque terrorista a la casa blanca.
La verificación en dos pasos añade seguridad a tu contraseña, en caso de que sea fácilmente adivinable. Cada vez que intentas iniciar sesión en un servicio en un dispositivo nuevo, un código se envía a otro dispositivo o cuenta (normalmente, a tu móvil). Debes introducir ese código para poder acceder.
Por ejemplo, en el servicio de juegos Steam, si quieres acceder a tu cuenta desde otro ordenador, debes, a parte de introducir tu password, acceder a la cuenta de correo con la que te registraste. Otros sistemas utilizan la confirmación mediante SMS.
Con el sistema se acabarían los accesos no permitidos a las cuentas. Y los famosos podrían dejar de excusarse con eso de «alguien se ha metido en mi Twitter» cada vez que metieran la pata en la red social de microblogging.
Si quieres saber todo sobre la verificación en dos pasos y si merece la pena que la utilices o no, echa un vistazo al siguiente:
Como es la verificación en dos pasos y por qué te interesa usarla desde ya:
Las contraseñas son una medida de seguridad débil. Se pueden robar con suma facilidad y, cuando están pobremente definidas, adivinarlas es muy fácil. Pero lo mismo ocurre con otro tipo de claves, como llaves físicas o huellas digitales, que se pueden obtener mediante robo, copia o coacción.
¿La solución? Usar más de una clave. Es lo que muchas páginas web empiezan a aplicar ahora con la llamada verificación en dos pasos (o de dos factores), en la que además de preguntar la contraseña, se solicita un código adicional a través del teléfono móvil.
Voy a explicarte de la manera más sencilla posible qué es la verificación en dos pasos, cómo activarla en tus aplicaciones web favoritas y qué es lo que debes tener en cuenta para que resulte eficaz (porque, no lo olvidemos, ninguna medida de seguridad es infalible si se emplea sin precaución).
¿Qué es la verificación en dos pasos?
Cuando usas tu tarjeta de crédito para sacar dinero de un cajero automático, estás usando sin saberlo una verificación en dos pasos: debes introducir la tarjeta (objeto físico, algo que tienes) e introducir después un número PIN (algo que sabes).
La verificación en dos pasos es exactamente eso: usar dos formas de identificación en lugar de una. Así, en vez de usar solo una contraseña, con la verificación en dos pasos debes usar una contraseña más un código que llega a tu teléfono móvil.
Diferentes formas de autenticación (imagen original de Validity Sensors, Inc.)
Hay muchos tipos de verificación de la identidad que se pueden combinar entre sí en un procedimiento de dos pasos: contraseñas, huellas dactilares, reconocimiento facial, dibujo de patrones, códigos PIN, localización geográfica, etcétera.
¿Cómo funciona la verificación en dos pasos?
El primer paso es el de siempre: introducir tu nombre de usuario y tu contraseña, igual que harías con el método normal.
La novedad es la presencia de un segundo paso, en el que debes introducir un código que recibes a través de tu teléfono móvil.
Tras introducir el código, el PC, tableta o móvil desde el cual te conectas será etiquetado como dispositivo de confianza, y podrás identificarte con tu contraseña sin usar códigos extra.
¿Qué pasa si pierdo el teléfono o no tengo cobertura?
Si pierdes el teléfono, tienes un buen problema, puesto que los códigos se envían al número que definiste en tu cuenta. No obstante, en caso de perder tu teléfono, todavía puedes…
- Acceder a tu cuenta a través de un equipo de confianza
- Usar códigos de reserva que hayas impreso de antemano
Si no puedes hacer ninguna de las dos cosas, entonces solo te queda la opción de solicitar un nuevo teléfono con el mismo número o bien solicitar a la página web que recupere tu cuenta, un proceso que suele llevar unos días.
En caso de que estés viajando fuera de tu país o no tengas señal y necesites identificarte mediante la verificación de dos pasos, puedes usar aplicaciones que producen códigos sin conexión o bien usar códigos impresos de antemano.
Si tienes un smartphone, recomiendo que uses Google Authenticator (Android, iOS) o Authenticator (Windows Phone), apps que producen códigos sin conexión. Los códigos son intercambiables porque estas apps usan el estándar RFC6238.
A todo esto, ¿por qué dos pasos y no tres?
Por razones prácticas. Nada impide usar más de un sistema de verificación, pero si el uso de dos ya puede resultar incómodo, imagina lo que supone emplear tres o más.
El uso combinado de una contraseña y un número generado al azar y enviado a tu teléfono reduce muchísimo el riesgo de acceso no-autorizado a tus cuentas, así que dos pasos son más que suficientes en la mayoría de casos.
¿Por qué muchas web han decidido poner ahora la verificación en dos pasos?
Son cada vez más las páginas que hacen uso de la verificación en dos pasos. La última en unirse ha sido Microsoft, tras la estela de Google, Dropbox, Twitter y otras páginas web y aplicaciones.
¿Que por qué la han aplicado ahora? La pregunta se contesta sola al darse cuenta de tres hechos:
- Hay cada vez más servicios que tienden a aglutinarse bajo una sola cuenta (p.ej. Google o Microsoft)
- Hay cada vez más usuarios que tienen múltiples dispositivos con acceso a Internet
- Hay cada vez más intentos de hackeos masivos.
¿Por qué la verificación en dos pasos es opcional?
La verificación en dos pasos es opcional sobre todo por motivos de privacidad: muchos usuarios no quieren asociar su cuenta a un número de teléfono. Para evitar ese obstáculo, en algunos casos se ofrece un generador de claves físico, como el Authenticator de Battle.net, que es un llavero que genera códigos a petición del propietario.
¿Cómo se activa la verificación en dos pasos?
Depende del servicio. En la mayoría de casos basta con entrar en tu perfil, ir al apartado de Cuenta o Seguridad correspondiente y activar la opción desde allí. Para tu comodidad, he recopilado los enlaces a las instrucciones oficiales de cada web:
¿Es la verificación en dos pasos infalible?
No del todo. Por ejemplo, puede darse el caso que el teléfono asociado a tu cuenta esté en posesión del hacker de turno y que este, además, conozca tu contraseña. También puede ocurrir que alguien que conozca tu contraseña tenga acceso a un dispositivo de confianza en el que ya no es necesario introducir códigos de seguridad.
Los virus troyanos y el phishing son otro peligro. Si un hacker consigue hacerse pasar por una entidad legítima o consigue interceptar tus datos, estás igual de expuesto que antes. Ciertos troyanos, además, se coordinan entre ellos: un troyano en el PC puede modificar las peticiones que tú haces a una web y un troyano en el móvil puede quedarse con los códigos de seguridad.
Para minimizar estos riesgos se solucionan añadiendo otras capas de protección a tus dispositivos, como antivirus eficaces y sistemas de bloqueo. Aunque la verificación en dos pasos sea muy eficaz a la hora de minimizar el riesgo de intrusión en tus cuentas, los malos no son tontos, e intentarán usar otras técnicas para sustraer tus datos. Mantén alta la guardia. Siempre.
Via: onsoftware