En una sola tarde, el periodista Mat Honan fue testigo de cómo se estaba hundiendo su vida digital. Su historia es un apasionante ejemplo de lo que ocurre cuando un usuario no toma las medidas de seguridad que tiene a su alcance a la hora de gestionar ciertos servicios online. Corría el año 2012 cuando un grupo de hackers se fijaron como objetivo la cuenta de Twitter de Honan.
Para hacerse con ella, los hackers entraron en su cuenta de Amazon. De allí, extrajeron los cuatro últimos dígitos de la tarjeta de crédito, una información que suele estar visible en muchas aplicaciones de Internet que requieren pagos. Con estos dígitos, ingresaron en la Apple ID de Honan, puesto que paradójicamente, esta información se podía utilizar para verificar la identidad del usuario. Una vez dentro, accedieron a su cuenta de Gmail que por desgracia, no tenía activado el doble factor de autenticación. Por último, con el acceso a la bandeja de correo de Honan, los hackers pudieron entrar en su cuenta de Twitter y utilizarla para difundir mensajes homófobos y racistas. En el artículo que el periodista publicó en Wired relatando su pesadilla, explica que el daño no hubiera sido tan grande de haber activado la verificación en dos pasos en su cuenta de Gmail.
Esta historia demuestra, una vez más, que cualquiera con intenciones de robar datos de un usuario, tiene altas probabilidades de éxito. He aquí la importancia de no ponérselo fácil a nadie, y de conocer todas las herramientas que usuarios y empresas tienen a su disposición para blindar sus sistemas. Una de ellas, el llamado multifactor de autenticación (MFA) o doble factor de autentificación (2FA o TFA).
Qué es el doble factor de autenticación
En el doble factor de autenticación el usuario tiene que traspasar dos capas de seguridad que tratan de garantizar que el dueño legítimo de la cuenta está accediendo a ella. De existir más capas, estaríamos hablando del multifactor de autenticación, sin embargo, el método más frecuente para el usuario es el doble factor de autenticación. La base de este último método radica en que el usuario proporcione datos basados en algo que sabe y algo que tiene. Por ejemplo: la contraseña (algo que sabe) y smartphone donde llega la clave de un solo uso (OTP – One Time Password) que el usuario ha de introducir (algo que tiene).
Existe una tercera clasificación: algo que el usuario es. Se trata de información que se apoya en datos biométricos como el reconocimiento facial, de voz o la huella dactilar, entre otros. Sin embargo, este método aún no está tan extendido en el uso de aplicaciones.
Hoy en día el doble factor de autenticación está bastante reconocido entre los usuarios y por ello, cada vez son más las aplicaciones que lo utilizan para reforzar la seguridad de sus clientes. Google fue una de las primeras en implementarlo, y también se puede activar en las redes sociales más populares como Facebook y Twitter.
Contraseñas, un mal necesario y longevo
La seguridad informática está en constante evolución, la mayoría de las veces forzada por las amenazas que los ciberdelincuentes crean y propagan a diario. Mucho ha tenido que llover para que los internautas hayan pasado de utilizar solo contraseñas a tener la opción de activar mecanismos como el doble factor de autenticación para reforzar la seguridad de sus sistemas y servicios de Internet. Sin embargo, a pesar de que el robo de información está a la orden del día, los mecanismos de seguridad siguen siendo opcionales para muchos usuarios, lo cual les lleva a rehusarlos a la hora de proteger sus datos.
Tal vez la causa de todo esto radique en que el ser humano es perezoso por naturaleza. Incluso en una actividad pasiva como es estar delante de una pantalla, recurrimos a los métodos más cómodos para desempeñar ciertas actividades, aún poniendo en riesgo la seguridad de nuestros datos. Dicho de otra manera, es habitual que a los internautas les de pereza teclear el nombre de usuario y contraseña para entrar a sitios web, y cualquier cosa que reduzca o elimine esta parte del proceso suele ser bienvenida.
Por ello, las contraseñas se consideran un mal necesario para aquellos que utilizan a diario sistemas informáticos y se conectan a Internet. Además, todo apunta a que, a pesar de la imparable evolución de la seguridad informática, seguiremos teniendo que crear claves para acceder a los sitios.
No usar la misma contraseña para todo es una de las primeras recomendaciones cuando se habla de seguridad informática y todavía hay quien hace lo contrario. Tampoco sirve utilizar ligeras variaciones entre unas contraseñas y otras, porque descubierta una, descubierta todas. Eso fue lo que le ocurrió al experto en seguridad, Dan Kaminsky.
Era el año 2009 un grupo de hackers accedieron a los servidores de los sitios web y publicaron información personal de uno de los mayores expertos en seguridad informática del mundo. Por si no fuera poco, también demostraron que Kaminsky utilizaba contraseñas poco elaboradas creadas bajo un mismo patrón:
¿Nada es infalible a un ciberataque?
Las contraseñas pueden ser descubiertas y el doble factor de autenticación puede fallar. A menudo se reportan casos en los que los hackers consiguen las contraseñas que se envían a los teléfonos móviles de sus víctimas a través de aplicaciones piratas descargadas por el usuario. Los usuarios de Android son los que más lo sufren, pero los de iOS no se libran, especialmente si han hecho Jailbreak en sus dispositivos.
También se han dado casos como el que le ocurrió a PayPal en 2014. A la hora de ingresar en la web, el flujo de autenticación tenía un fallo de seguridad que permitía anular el indicador 2FA en la misma página de inicio de sesión.
Aparentemente, todo el mundo puede sufrir un ataque, pero estos ejemplos no hacen más que demostrar que, tanto usuarios como empresas, deben poner todo de su parte para reducir las probabilidades de que alguien no autorizado acceda a cuentas y sistemas. Por nuestra parte, hemos creado una solución para incrementar exponencialmente la seguridad de las empresas: Wolf-Ray.
Este proxy de autenticación unificado protege los accesos al sistema de una empresa que utiliza aplicaciones web, puesto que estas están expuestas a los ciberataques. Para ello, integra protocolos de seguridad como el doble factor de autenticación, pero también otros mecanismos de seguridad para reforzar la protección. Pero la mejor parte es que proporciona mayor libertad y seguridad a las compañías que tienen trabajadores en remoto, un detalle de gran importancia en un mundo globalizado, donde es vital que cada individuo e institución siga llevando a cabo su rol en la sociedad de forma segura.[:]