Posiblemente has recibido correos o mensajes de texto notificando algún inicio de sesión (o intento de inicio) sospechoso, en algún país lejano y de un dispositivo extraño. Hoy en día, casi todas las personas han sido víctimas de intentos de hackeo y muchas de ellas han corrido con la mala suerte de verse efectivamente hackeadas. En un mundo donde nuestra presencia e identidad digital son cada vez más importantes, cuentas como la de nuestro correo electrónico se vuelven un blanco codiciado por delincuentes, principalmente porque en la mayoría de los casos nuestras redes sociales, cuentas bancarias, suscripciones, etc, están viculadas a una misma cuenta de correo electrónico.
Es por esto que, para preveneir el robo de cuentas, el proceso de autenticación de dos pasos está siendo utilizado en la mayoría de servicios online. En el caso de Twitter, por ejemplo, lo hacemos mediante el teléfono celular mientras que con los bancos podemos usar un token.
Como sea, la idea siempre es la misma: añadir una verificación extra que compruebe que realmente eres tú quien ingresa y no un delincuente. Por eso, la premisa de este tipo de verificiación es solicitar algo que sabes (como tus credenciales de usuario y contraseña) más algo que sólo tú podrías tener (como tu teléfono móvil o un token físico). En la mayoría de los casos, después de ingresar tu usuario y contraseña, debes ingresar un código temporal enviado a tu teléfono vía SMS para terminar de ingresar.
La principal ventaja de la autenticación en dos pasos es que nos da una capa extra de seguridad a todas las cuentas o perfiles en las que lo estamos utilizando. Una capa adicional de protección por si nuestras contraseñas no son lo suficientemente seguras o si han sido hackeadas o filtradas. Aunque tengan la contraseña no pueden entrar en nuestra cuenta bajo ningún concepto y es una opción al alcance de todos que no requiere ningún tipo de conocimiento extra ni ser experto en informática o tecnología para poder utilizarlo.
Otra ventaja interesante es que sabremos si alguien nos está intentando robar una cuenta. Si recibimos el código de autenticación en dos pasos y no hemos sido nosotros significaría que hay alguien que está tratando de acceder sin permiso.
¿Cómo funciona?
Hay varias formas de autenticación. La más habitual es hacerlo por SMS, pero no es la única y también hay aplicaciones que te permiten consultar ese código si previamente las hemos vinculado. Existen diferentes tipos de verificiación:
Verificación por SMS. Escribimos nuestro usuario y contraseña en la aplicación o web que queramos y se enviará un mensaje al teléfono móvil vinculado a la cuenta. Tiene la ventaja de que no necesitemos descargar nada más porque todos podemos recibir SMS siempre y cuando tengamos una tarjeta SIM activa así que es universal y sencillo. Recibimos el código por SMS y lo introducimos en la web para confirmar la sesión. Suele ser lo habitual en el caso de algunas entidades bancarias, redes sociales, etc.
Verificación por correo electrónico. Otra opción es que la confirmación o contraseña temporal sea por correo electrónico, aunque es menos seguro que lo anterior porque es más hackeable que un SMS (que requiere que te roben el móvil o clonen tu SIM) y pueden acceder si tienen tu contraseña. Aun así, es otra opción que podemos usar para la verificación en dos pasos.
Verificación por aplicaciones. Otro de los métodos más utilizados y recomendables es usar aplicaciones de autenticación especializadas que generan la contraseña temporal para que la puedas copiar y pegar. Hay muchas aplicaciones como Google Authenticator. El inconveniente es que necesitaremos descargar algo extra en nuestro teléfono móvil que ocupará espacio, pero son fáciles de configurar y fáciles de utilizar una vez que necesitemos el código correspondiente.
Hay otras opciones como códigos o claves dentro de la propia aplicación en caso de ser de mensajería o con la capacidad de generar un código en tu móvil que debes usar en tu ordenador, por ejemplo. U otros métodos como usar la huella dactilar para verificar tu identidad además de utilizar la contraseña, por ejemplo.
El único inconveniente que vemos a este método de seguridad es que implica que dediquemos unos segundos más a acceder en nuestra cuenta cada vez que lo necesitemos. Tardaremos un poco más y puede ser algo molesto tener que buscar el código en tu teléfono o depender de que llegue el SMS si queremos acceder. En caso de perder nuestro teléfono puede significar tener que reportar la pérdida con el prestador de servicio para acceder a otra forma de verificiación y muchas veces estos procesos pueden ser demorados o engorrosos, como por ejemplo con Microsoft que puede tardar hasta 30 días en recuperar una cuenta con todas las preguntas de seguridad.
Desde Lobostech recomendamos activar la autenticación en dos pasos siempre que puedas. Es una capa más de seguridad y probablemente te evitará algún susto con tus cuentas. ¿Molesta? Sí, es un poco más complejo que ingresar sólo usuario y contraseña, pero las ventajas superan bastante a los inconvenientes.