Qué es la autenticación de dos factores (2FA) y sus diferentes tipos

Qué es la autenticación de dos factores (2FA) y sus diferentes tipos

Mirando hacia atrás, 2020 probablemente no fue lo que esperábamos. Con la pandemia mundial arrasando la tierra, la mayoría de nosotros ahora estamos trabajando desde casa para evitar que se propague.

El teletrabajo nunca ha estado tan presente como ahora. Trabajar desde casa también significa que la seguridad de los archivos de tu empresa está en tus manos.

2FA puede jugar un papel vital en esto, así como en la protección del contenido de tus ordenadores o teléfonos personales.

¿Qué es la autenticación de dos factores (2FA)?

Durante años, la medida de seguridad más extendida para proteger nuestro ordenador y nuestras cuentas online de usuarios y piratas informáticos ha sido el uso de un usuario y una contraseña. Sin embargo, los ataques informáticos han cambiado, y en muchas ocasiones esto ya no es lo suficientemente seguro como para proteger una cuenta. Así es cómo los sistemas de doble autenticación han llegado a los usuarios para evitar que, aunque un pirata informático se haga con nuestra contraseña, pueda acceder.

Un sistema de doble autenticación se basa, principalmente, en pedirnos una clave aleatoria que no conocemos (generalmente un PIN), la cual recibimos en nuestro correo electrónico o teléfono móvil cuando vamos a realizar el inicio de sesión. De esta manera, si un pirata informático intenta iniciar sesión con nuestro usuario y contraseña, antes de entrar necesitará el PIN, y no podrá conseguirlo si no tiene acceso a nuestro correo electrónico o móvil.

Existen diferentes tipos de sistemas de doble autenticación. Algunas plataformas, como Steam, utilizan su propio sistema 2FA, mientras que otras muchas utilizan, por ejemplo, el sistema de Google Authenticator. Además de esto, también existe un sistema basado en hardware, que cuenta con su propio estándar, y es lo que se conoce como U2F.



Tipos de sistemas de doble autenticación

Como hemos mencionado pueden ser diferentes y cada uno puede tener sus puntos positivos y negativos.

Código por SMS

Sin duda uno de los métodos más comunes de autenticación en dos pasos es a través de un código por SMS. Es muy utilizado por los usuarios y está presente en muchas aplicaciones y plataformas en Internet.

Una de las ventajas principales es que es sencillo de utilizar y además está accesible a cualquiera. Todo el mundo tiene un móvil y por tanto es muy fácil recibir el código por SMS y posteriormente utilizarlo para iniciar sesión.

También hay que destacar la rapidez. Lo normal es que ese mensaje de texto al móvil nos llegue en cuestión de segundos o máximo algún minuto. Incluso en caso de perder el móvil podremos transferir la SIM a otro terminal o bloquearla para que otro usuario no pueda recibir los mensajes.

Pero claro, hay que tener en cuenta que tiene sus puntos negativos. Una de las desventajas es que vamos a tener que dar nuestro número de teléfono a ese servicio para que nos envíe SMS. ¿Qué significa esto? Podría ser utilizado también para fines publicitarios, incluirnos en listas de Spam o incluso que acabe en malas manos.

Además de esto también puede ocurrir que ese SMS sea interceptado. Existen variedades de malware cuyo objetivo precisamente es ese.

Contraseñas de un solo uso a través de aplicaciones

También podemos recibir una contraseña de un solo uso a través de aplicaciones. Básicamente consiste en recibir un código que debemos poner al iniciar sesión. Ese código tiene un tiempo de caducidad y solo será válido una única vez.

Una de las ventajas es que podemos utilizar estas aplicaciones en varios dispositivos. Además no vamos a recibir un código por SMS que pueda ser interceptado, ya que simplemente nos lo muestra esa aplicación que estamos usando.

Uno de los inconvenientes más importantes es que deberemos tener acceso al móvil. Esto significa que si por ejemplo está sin batería no podremos utilizar este servicio. También el tiempo puede ser un inconveniente en algunos casos.

Las 3 mejores aplicaciones 2FA

Google Authenticator

Google Authenticator es probablemente la aplicación de autenticación de dos factores más popular. La propia compañía recomienda su uso para todas las cuentas de la compañía, pero además, funciona para una gran variedad de servicios. Tanto es así, que resulta raro que un servicio sea compatible con este tipo de aplicaciones y no sea compatible con la de Google.

Su funcionamiento es bastante sencillo, lo primero que tenemos que hacer es instalar la app en nuestro móvil y a continuación, configurar la cuenta que queremos proteger con este método. Para ello, nos ofrece la posibilidad de escanear un código QR con toda la información de la cuenta y su configuración. Una vez hecho esto, a la hora de tratar de identificarnos en algún servicio protegido con Google Authenticator, la propia aplicación generará un código, válido durante unos segundos, que se comprobará para autorizar el inicio de sesión. Descargar Google Authenticator para iOS y Android.

Authy

Aunque la herramienta de Google es una de las más populares, puesto que ofrece un gran funcionamiento y es muy sencilla de manejar, para aquellos que busquen una aplicación de autenticación de dos factores más completa Authy puede ser la mejor opción.

Y es que además de ser compatible con la gran mayoría de servicios de autenticación 2AF, cuenta con una serie de funciones adicionales muy interesantes. Entre ellas, cabe destacar la opción que nos ofrece para realizar una copia de seguridad de nuestras cuentas y que permite usar huella digital o identificación facial para identificarnos. Es multiplataforma, por lo que está disponible para iOS, Android, Windows y macOS.

LastPass Authenticator

Se trata de la app para la verificación en dos pasos propia de LastPass, el famoso gestor de contraseñas. Como el resto de herramientas de este listado, LastPass Authenticator permite configurar la verificación de dos factores en cualquiera de los servicios compatibles. A través del envío de un código de 6 dígitos, igual que en Google Athenticator, y su comprobación, podremos acceder a nuestras cuentas de manera más segura.

LastPass Authenticator está disponible para dispositivos de Apple, Android y Microsoft. Descargar en la web oficial.

Llaves U2F

Otro método de autenticación en dos pasos es hacer uso de llaves U2F. Son dispositivos físicos que nos permiten autenticarnos a la hora de iniciar sesión en determinados servicios. Son muy útiles también para ganar seguridad.

Sin duda una de las ventajas más importantes es que es un dispositivo físico. Por tanto vamos a poder llevarlo a todas partes y no vamos a depender de posibles problemas con nuestro dispositivo móvil, fallos de software, etc. Es uno de los métodos más seguros ya que están diseñados contra ataques Phishing.

Una de las desventajas principales es su difícil implantación en muchas ocasiones. Es una tecnología relativamente nueva y no está tan extendida. Además también podemos tener incompatibilidad con algunos dispositivos al ser un puerto USB.

Cómo funciona el U2F

A diferencia de los otros sistemas de doble autenticación anteriores, que están basados en software, este está basado en hardware y, al ser estándar, podemos encontrar dispositivos U2F por menos de 10 euros, como el que os dejamos a continuación que, además, cuenta con certificación FIDO.

Para poder usar este dispositivo, lo único que debemos hacer es conectarlo a nuestro ordenador a través del puerto USB. La primera vez que lo hagamos se generará un número aleatorio, a través del cual se generarán los distintos hashes que se utilizarán para iniciar sesión en las plataformas con las que lo vinculemos.

Cuando tengamos que iniciar sesión en una página, lo único que tendremos que hacer es conectar esta llave a nuestro puerto USB y esperar a que nuestro navegador la reconozca y verifique, sin tener que hacer nada más. Ninguna persona sin esta llave podrá acceder a nuestra cuenta, aunque se haga con nuestra contraseña.

Compatibilidad de las llaves U2F

Este sistema de doble autenticación es muy seguro y cómodo, pero su principal problema reside en la compatibilidad.

Los principales navegadores, como Google Chrome, Firefox y Opera, son compatibles con este tipo de dispositivos desde hace ya varias versiones, por lo que si usamos una versión reciente de estos navegadores podremos usar estas llaves sin problemas.

A día de hoy, hay varias plataformas web que son compatibles con estas llaves U2F, como, por ejemplo, Facebook, Dropbox, GitHub y Google, pero la lista, especialmente en lo relacionado a plataformas que utilicemos a diario, no va mucho más allá. Si la lista fuera más grande, este sistema podría ser una excelente alternativa, más cómoda, avanzada y segura, a la doble autenticación que conocemos ahora.

Los 3 mejores dispositivos U2F

Yubico – YubiKey 5 NFC

  • Con USB A y NFC
  • Soporta WebAuthn, FIDO2 CTAP1, FIDO2 CTAP2, Universal 2nd Factor (U2F), Smart card (PIV-compatible), Yubico OTP, OATH – HOTP (Event), OATH – TOTP (Time), Open PGP, Secure Static Password 
  • Criptografía: RSA 2048, RSA 4096 (PGP), ECC p256, ECC p384
  •  Compatible con gestores de contraseñas como 1Password, Dashlane Premium, Keeper, LastPass Premium
  • Resistente al agua y a los golpes

Nuestra primera recomendación es este modelo. Por una sencilla razón. Tiene un buen precio, se puede conectar mediante USB A a tu ordenador y dispone de NFC por lo que se puede usar en smartphones Android.

¿Y en iOS? Pues depende. No se puede usar en iPadOS, y para el iPhone esta disponible desde el iPhone XS en adelante (ya funciona NFC). Tienes toda la información en Getting Started on iOS.

También puedes optar por la YubiKey 5Ci, que tiene una conexión lightning y otra USB-C.

Es una llave que puedes llevar siempre en el llavero, pero claramente no es la que esta mejor fabricada de la gama de Yubico.

Yubico YubiKey 5C

  •  Puerto USB-C (sin NFC)
  •  Soporta WebAuthn, FIDO2 CTAP1, FIDO2 CTAP2, Universal 2nd Factor (U2F), Smart card (PIV-compatible), Yubico OTP, OATH – HOTP (Event), OATH – TOTP (Time), Open PGP, Secure Static Password
  •  Criptografía: RSA 2048, RSA 4096 (PGP), ECC p256, ECC p384
  •  Compatible con gestores de contraseñas como 1Password, Dashlane Premium, Keeper, LastPass Premium

La llave de seguridad perfecta si tu ordenador tiene un puerto USB-C. Es pequeña y se puede dejar conectada siempre al mismo.

En los laterales tiene dos pestañas doradas que hay que pulsar cuando nos lo indiquen para acceder la web donde hayamos dado de alta la llave.

Se puede usar en combinación con el modelo anterior. El backup perfecto para tu llave. Una la dejas en el llavero y otra en el ordenador de casa.

La construcción es solida y tiene pinta de durar hasta el infinito y más allá.

Nitrokey FIDO2

  • Puerto USB A FIDO U2F, FIDO2
  • Compatible con WebAuthentication (WebAuthn), CTAP2/FIDO2, CTAP1/FIDO U2F 1.2
  •  Login sin nombre de usuario para un máximo de 50 cuentas (FIDO2)

Una llave de seguridad USB con un precio realmente bueno: solo 29 euros. La fabrica una empresa que se dedica a la seguridad informática y tiene muy buena reputación.

También ofrecen almacenamiento USB seguro y encriptado NitroKey Storage e incluso un portátil para los más paranoicos, el NitroPad X230 (te instalan si quieres el Qubes OS).

La fabricación es más tosca que con Yubico, pero te dan una esperanza de vida del dispositivos de 20 años apr



Biométricos

Por otra parte también tenemos métodos biométricos para autenticarnos. En este caso podremos utilizar nuestra huella, iris, reconocimiento facial, voz…

El punto más positivo es que es muy difícil de falsificar. Es complicado que un intruso pueda suplantar nuestra voz o huella dactilar, por ejemplo.

Sin embargo también hay desventajas. Una de las principales es que es complicado de implantar. No está presente en muchas plataformas y además muchos usuarios no se fían de que empresas externas puedan tener su huella, voz o imagen.

Qué es la autenticación de dos factores (2FA) y sus diferentes tipos

Notificaciones automáticas

Una forma más de autenticación en dos pasos son las notificaciones automáticas. En este caso nos aparece una ventana en nuestro móvil y tenemos que aprobar o rechazar ese inicio de sesión. Por ejemplo cuando vamos a iniciar sesión en la cuenta de Gmail podemos configurarla para que nos lance una notificación automática en nuestro móvil y de esta forma aprobarlo para evitar que otros intrusos puedan entrar.

Una de las ventajas es que es más cómodo de utilizar. No vamos a tener que abrir una aplicación externa y tener que copiar un código. En este caso simplemente nos aparecerá esa notificación automática y tendremos que aceptar o rechazar ese inicio de sesión fácilmente a través de un cuadro de diálogo.

Normalmente nos indica quién está intentando iniciar sesión, ya que muestra información sobre la IP, el dispositivo desde el que están intentando acceder, etc. Datos que pueden permitirnos aceptarlo o no en caso de que compartamos una cuenta con alguien más. También es una ventaja que un posible pirata informático no pueda copiar ningún tipo de código que recibamos, como ocurren con otros métodos. En esta ocasión va vinculado a nuestro teléfono móvil y simplemente es un mensaje emergente.

Entre los inconvenientes podemos mencionar que es necesario que el dispositivo móvil tenga conexión a Internet. Esto significa que si no tenemos red o no estamos conectados al Wi-Fi no podremos iniciar sesión en nuestra cuenta. Además también podremos aceptar esa conexión sin querer. Pongamos que nos aparece el cuadro de diálogo y sin darnos cuenta le damos a aceptar y en realidad estamos permitiendo que algún intruso acceda a nuestra cuenta.

Pregunta de seguridad

Seguramente sea la opción menos segura de todas. En este caso tendremos que poner una pregunta de seguridad para poder acceder a un determinado servicio. Nos pueden preguntar cosas como nuestra fecha de nacimiento, color favorito, lugar donde vivimos en la infancia, etc.

Una ventaja es que es muy sencillo de llevar a cabo. Simplemente es información que ya sabemos y que podemos utilizar en estos casos.

Ahora bien, tiene puntos negativos muy importantes. Cualquiera que nos conozca muy bien o haya investigado sobre nosotros podría averiguar esas respuestas y llegar a robar nuestras cuentas. No es un método seguro.


😃 Puntúa este contenido con unas sonrisas:

Promedio de puntos 5 / 5. Recuento de votos: 1

Comparte con otros: