La autenticación de dos o múltiples factores es el cinturón de seguridad de la ciberseguridad. Cuando se utiliza correctamente, los riesgos cibernéticos pueden reducirse, pero no protege contra el comportamiento negligente propio. Explicamos cómo funciona la autenticación en dos pasos, cuándo merece la pena usarla y cuáles son sus límites.

¿Cómo protege la autenticación de dos pasos?

La autenticación de dos pasos es una comprobación de identidad en varios pasos para las cuentas de usuario, que consta de dos factores: por ejemplo, una contraseña y otro factor, como una función biométrica —como una huella digital o reconocimiento facial— o un PIN creado por separado. Al iniciar sesión, este último se envía por separado, ya sea como SMS o en una aplicación de seguridad en el smartphone, y debe introducirse además de la contraseña. Al utilizar este factor adicional, la seguridad de las contraseñas aumenta considerablemente. Si combinas más de dos factores, esto se llama autenticación multifactor.

¿Por qué usamos la autenticación en dos factores en primer lugar?

Introducir la contraseña por sí solo ya no es lo suficientemente seguro hoy en día. Las contraseñas pueden caer fácilmente en manos equivocadas, por ejemplo, comprometiendo los datos de acceso en ciberataques. Aquí es donde entra en juego la mayor ventaja de la autenticación en dos pasos: al incluir otro factor en el proceso de autenticación, se crea una barrera adicional que vale su peso en oro en caso de un ciberataque. Los ciberdelincuentes también tendrían que poseer el segundo factor para poder penetrar un sistema. Cuantos más pasos haya que tomar, más difícil será para los hackers criminales conseguir los datos de acceso a los datos de acceso. Con la autenticación de dos pasos, se pueden descartar muchos escenarios de amenaza —especialmente en lo que respecta al robo de identidad.

¿Cuáles son las formas más comunes de autenticación de dos pasos?

• Token SMS: Esta variante es el tipo más conocido de autenticación de dos factores. Al registrarse en el servicio online correspondiente, se genera un código aleatorio que se envía al smartphone del usuario vía SMS.
• Correo electrónico: La autenticación por correo electrónico también se utiliza con frecuencia: durante el registro en un servicio online, el proveedor correspondiente envía un código de varios dígitos por correo electrónico tras introducir el nombre de usuario y la contraseña. La autenticación por correo electrónico es especialmente popular porque no se requiere hardware o software adicional.
• BRONCEADO / OTP: Con el TAN (número de transacción) o el OTP (contraseña de un solo uso), se transmite al usuario un código numérico o contraseña único como segundo factor, ya sea mediante hardware en forma de generador TAN o como software mediante una aplicación autenticadora. Las contraseñas se basan en tiempo o eventos y se regeneran constantemente. Aquí, las variantes de autenticación basadas en hardware se consideran actualmente las más seguras.
• Tarjetas inteligentes: Las tarjetas inteligentes se utilizan en entornos Windows altamente seguros y pueden emplearse para iniciar sesión en la cuenta de Windows, una VPN de empresa o incluso para firmas de correo electrónico o cifrado de disco duro. La tarjeta inteligente tiene el tamaño de una tarjeta de crédito y está equipada con un chip que almacena un certificado digital cifrado que solo puede activarse mediante un PIN. Aquí también, el factor físico se considera una ventaja especial en términos de seguridad de contraseña.
• Autenticación biométrica: En esta variante, características biométricas como la huella digital o el rostro se incluyen en el proceso de autenticación. Esto es fácil, rápido y se considera muy seguro debido a la singularidad de los datos. Es más difícil para los actores de amenazas en línea replicar el escaneo de huellas dactilares o reconocimiento facial de una persona.
• Token criptográfico: El token criptográfico almacena una clave criptográfica privada. La autenticación en este caso se realiza enviando una solicitud al token.

Donde la autenticación en dos pasos es especialmente valiosa

Desde el 15 de marzo de 2021, el uso de la autenticación en dos pasos es obligatorio para las transacciones de pago online mediante banca online, tarjeta de crédito o PayPal; Google la introdujo para todas las cuentas de sus servicios a finales de 2021 y se espera que otras empresas sigan el ejemplo. Pensando en la seguridad de las contraseñas, Perseus recomienda usar autenticación de dos o múltiples factores siempre que sea posible, por ejemplo:

• Al identificar cuentas sociales, en la nube o de usuario: Para ello, utiliza una aplicación de autenticación para generar contraseñas de un solo uso, por ejemplo de Google, Microsoft, Apple o enviar el TAN por SMS.
• Para la función online de la tarjeta de identidad: La nueva tarjeta de identificación está equipada con un chip y, por tanto, también puede utilizarse en línea para visitas a las autoridades, comprobaciones de legitimación en proveedores de servicios financieros o para asuntos empresariales. Además de la autenticación mediante un PIN, se realiza una autenticación cifrada adicional de extremo a extremo con el proveedor de servicios respectivo.
• Para asuntos fiscales: La oficina de impuestos online ELSTER permite aclarar asuntos financieros completamente sin papel. El registro solo es posible con un certificado de software protegido por contraseña o la función de identificación online.

Limitaciones de la autenticación de dos factores

En el trabajo cotidiano, cuando las cosas a menudo tienen que hacerse rápido y no hay tiempo para muchas cosas, la autenticación de dos factores puede percibirse como un bloqueo adicional en la pierna. Al hacerlo, puede evitar daños enormes. Las empresas deben conocer las ventajas, informarse sobre las diferentes opciones de autenticación en dos pasos y decidir cuál es la opción adecuada. El uso —tanto en qué forma como en qué medida— debe ser especificado por directrices de la empresa y todos los empleados deben ser informados y formados en consecuencia. Al final, todo gira en torno a datos importantes de tu empresa.

Aunque se recomienda la autenticación de dos factores para aumentar la seguridad en muchas aplicaciones, no puede prevenir todos los incidentes:

• La variante más popular es también la más vulnerable: el token SMS puede ser interceptado mediante los llamados ataques swap si los ciberdelincuentes logran burlar al proveedor de telefonía móvil y portar el número de teléfono de la víctima a una tarjeta SIM.
• Si la cuenta de correo electrónico es tomada por actores maliciosos de la red, se puede leer un código de dos factores sin mucho esfuerzo. Esta variante de autenticación tampoco es realmente una autenticación de dos pasos, ya que muchos usuarios procesan sus correos electrónicos tanto desde smartphones como desde ordenadores. Si un dispositivo está infectado con malware, los atacantes pueden leer todos los correos electrónicos y obtener los códigos en consecuencia.
• El phishing es el mayor problema con la contraseña TAN o de un solo uso. Es posible crear un sitio web de phishing engañosamente genuino que comparta credenciales de acceso como contraseña y el código generado por una aplicación de autenticación para iniciar sesión en el servicio real. Al mismo tiempo, los ciberdelincuentes inician sesión ellos mismos y pueden hacerse pasar por la persona comprometida sin que el servicio utilizado note la diferencia. Otra desventaja de las aplicaciones de autenticación es que puede no ser fácil conseguir los códigos que necesitas si pierdes el teléfono.

No existetal cosa como una protección al 100%, pero sí existen formas de minimizar el riesgo. Por encima de todo, el comportamiento responsable y el cumplimiento de las normativas de seguridad por parte de cada individuo son los requisitos básicos para evitar incidentes cibernéticos:

• Actualizaciones: A menudo, software obsoleto, programas sin licencia de sitios de descarga gratuita, enlaces o sitios web visitados arbitrariamente son la causa de un incidente cibernético. Este comportamiento online es el equivalente cibernético a conducir un coche por un acantilado a 200 km/h: llevar el cinturón de seguridad o la autenticación en dos pasos no podrá ayudar al final. Instalar nuevas actualizaciones, especialmente las de seguridad de los sistemas operativos o el uso de contraseñas seguras, ya es un primer paso para prevenir incidentes cibernéticos.
• Higiene de la contraseña: Cuanto menos probable sea que tu contraseña pueda ser adivinada o calculada, más segura será. Y cuanto más segura sea tu contraseña, más protegidas serán los datos, correos electrónicos, ordenadores, redes corporativas, etc. La seguridad de las contraseñas está influida por varios factores. Entre otras cosas, debido a la singularidad, longitud, complejidad, abstracción y secretismo de la contraseña respectiva.
• Suplentes: Discos duros, ordenadores, servidores y sistemas enteros pueden quedar inutilizables por defectos técnicos o por ciberataques, como la instalación de malware. Las copias de seguridad te permiten crear copias de seguridad de tus datos. Estos pueden usarse para restaurar contenido perdido o destruido e incluso sistemas enteros. Puedes saber más sobre esto en nuestra entrada del blog «Sin respaldo – sin lástima».
• Vigilancia: Atenta tu ojo crítico a los correos electrónicos con remitentes desconocidos. No se deben hacer clic en enlaces ni abrir archivos adjuntos aquí. Hacer clic en el enlace de un correo electrónico de phishing es uno de los puntos de entrada más comunes para los ciberdelincuentes.
• Concienciar a los empleados: Sensibiliza a tus empleados sobre los peligros de Internet. Los ciberataques son uno de los mayores riesgos empresariales de todos. La formación adecuada en forma de e-learning y simulaciones de phishing transmite conocimientos básicos y aumenta la concienciación a largo plazo.

Solo cuando se siguen estas reglas básicas de seguridad puede entrar en vigor la autenticación de dos factores y, si se usa correctamente, proteger cuentas y datos de accesos no autorizados. La autenticación de dos factores es una herramienta de seguridad importante que proporciona una protección eficaz contra el acceso no autorizado a los propios datos y debe formar parte de una estrategia integral de ciberseguridad. Quienes lo usan están seguros: sin peros ni excusas.