Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/02/2014
Doble factor de autenticación: ¿Qué es y por qué lo necesito?
Durante los últimos dos años, muchos servicios online han comenzado a ofrecer un doble factor de autenticación. Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio.
Para los usuarios de PC, que ya están cansados de tener que memorizar una docena de contraseñas, esta parece ser la última cosa que necesitan, pero el doble factor de autenticación puede ser la diferencia entre ser víctima de un cibercriminal y mantenerse protegido.
Twitter, Google, LinkedIn y Dropbox, entre otros servicios, ya ofrecen esta característica como un opcional de seguridad para las cuentas. Tanto Twitter como LinkedIn agregaron el sistema luego de ataques que alcanzaron caracter público, y otros sitios como Evernote también lo han implementado en el último año.
Los sistemas varían, pero usualmente involucran un mensaje SMS automático, o una aplicación que genera códigos de acceso. Luego de ingresar tu contraseña, el sistema solicitará el código de acceso, y en algunos sistemas, se utiliza una aplicación (separada de navegador web) para ingresar el código.
Los sistemas de doble factor de autenticación son mucho más seguros que las contraseñas. Muchos ataques que alcanzaron notoriedad pública, como los perpetrados contra cuentas de empresas de medios en Twitter el año pasado, no hubieran ocurrido si hubiera habido un sistema de doble factor implementado. Incluso si un atacante logra infectar un equipo y roba una contraseña, el acceso no podrá ser logrado ya que no cuentan con el código de acceso.
Pero es importante recordar que no hay soluciones mágicas: los sistemas de doble factor son mejores que la contraseñas solas, y más simples que las medidas biometricas (como pueden ser las huellas digitales o el reconocmiento facial), pero los atacantes eventualmente pueden encontrar el modo de vulnerarlos. Lo que el sistema garantiza es que los atacantes tendrán que trabajar más duro. Por ejemplo en un ataque reciente contra World of Warcraft, los cibercriminales crearon una replica del sitio web en la que se descargaba malware. Esto demuestra que el trabajo requerido para un atacante es mucho mayor, y eso es una buena noticia.
David Harley, ESET Senior Research Fellow, dice “Lo triste es que, las contraseñas estáticas son superficialmente baratas pero conceptualmente una solución insatisfactoria para un problema muy complicado, especialmente si no están protegidas por técnicas complementarias. Las contraseñas de uso único y los tokens son mucho más seguros, especialmente cuando se implementan en hardware como una medida de doble factor de autenticación”.