Verificación en 2 pasos o 2FA: ¿qué es? ¿cómo funciona?
Cuando realizas un login o acceso a un sistema, ya sea un servicio web o de otra índole, existen diversos métodos de comprobar las credenciales y dar acceso a tu cuenta. Uno de ellos es la verificación en 2 pasos, que se está volviendo cada vez más interesante para evitar problemas de seguridad. Si aún no sabes qué es, cómo funciona, y qué puede aportarte, aquí te lo explicamos todo…
Índice de contenidos
¿Qué es la verificación en 2 pasos?
La 2FA (Two Factor Authentication) o autenticación en dos pasos, también llamada verificación en 2 pasos, es un concepto que implica un proceso adicional de seguridad al acceder a una cuenta. En lugar de depender únicamente de un nombre de usuario y contraseña, se requiere un segundo nivel de verificación. Este método también se conoce como verificación o identificación en dos pasos.
El propósito de la verificación en 2 pasos es confirmar la identidad del usuario al acceder a una cuenta o servicio. Esto se debe a la posibilidad de que las contraseñas se filtren en línea o puedan ser adivinadas, como en el caso de contraseñas débiles. Por lo tanto, cuando se ingresa la información de inicio de sesión correcta, es fundamental tener un medio adicional para asegurarse de que el usuario es legítimo. Es decir, con los credenciales no bastará.
Este enfoque implica agregar un segundo paso al proceso de inicio de sesión. Una vez que se proporciona la combinación correcta de nombre de usuario o correo electrónico y contraseña, el servicio en cuestión solicita un segundo paso de verificación.
Existen diversas formas de implementar la verificación en 2 pasos, como veremos más adelante, pero todas comparten el objetivo de establecer una autenticación sólida y exclusiva para el usuario. Este método busca una manera infalible de garantizar que la persona que está ingresando la información es la legítima titular de la cuenta, presente en el dispositivo en el momento del inicio de sesión.
La 2FA tiene el propósito de prevenir que terceros no autorizados accedan a una cuenta, incluso si han obtenido la contraseña de alguna forma. Esto se logra mediante un segundo paso de verificación que solo el usuario legítimo puede completar. Ya sea a través de contraseñas temporales o mediante una aplicación, en ambos casos se requiere que la verificación se realice a través de un SMS o en una aplicación instalada en el dispositivo móvil del usuario. Esta capa adicional de seguridad es difícil de replicar, a menos que se tenga acceso al dispositivo móvil.
La esencia de esta medida es que, supongamos que tengo tu nombre de usuario y contraseña en un servicio dado, como puede ser GMAIL. Sin embargo, al intentar acceder, me encontraré con un último paso que implica una acción adicional para entrar. Además de proporcionar seguridad, esto también permite al usuario detectar intentos no autorizados de acceso y cambiar la contraseña si se sospecha de una brecha de seguridad.
Métodos de verificación
Como antes he dicho, la verificación en 2 pasos puede implementarse usando distintos métodos para verificar la autenticidad del acceso. Y estos métodos pasan por:
Vía SMS: una vez que ingresas tu nombre de usuario y contraseña, recibirás una contraseña temporal a través de un mensaje de texto (SMS) que debes ingresar. Este método es rápido y no requiere aplicaciones adicionales. No obstante, implica compartir tu número de teléfono con el servicio y existe la posibilidad de que personas no autorizadas accedan si roban tu tarjeta SIM.
Por correo electrónico: después de introducir tus datos de inicio de sesión, recibirás una contraseña temporal por correo electrónico. Es una opción sencilla, ya que no requiere más que acceso a tu correo electrónico. Sin embargo, es vulnerable en caso de que tu cuenta de correo sea comprometida o si dejas tu correo abierto en un dispositivo.
Pregunta de seguridad: una vez que ingreses tus credenciales, te enfrentarás a una pregunta de seguridad que previamente has configurado. Esta pregunta puede resultar riesgosa si las respuestas son conocidas por personas cercanas a ti. Además, debes establecer las respuestas de antemano y estas no pueden cambiarse.
Aplicaciones de autenticación: tras ingresar tus datos de inicio de sesión, debes confirmar tu identidad con una contraseña temporal generada por una aplicación de verificación en dos pasos que hayas configurado. Este método es altamente recomendado y existen aplicaciones como Microsoft Authenticator, Google Authenticator, Duo o Authy, que son sencillas de configurar.
Códigos en la propia app: algunas aplicaciones móviles, como las de Facebook, pueden generar códigos para cuando inicias sesión en nuevos dispositivos. Aunque es similar a las aplicaciones dedicadas para este fin, es específico de ciertos servicios. La desventaja es que debes tener la aplicación instalada en todos los servicios. Otros servicios, al identificarte, puedes generar códigos de recuperación que debes anotar o imprimir. Es un método útil, pero estos códigos tienden a ser extensos y necesitas asegurarte de conservarlos en un lugar seguro.
Biometría: ampliamente utilizado en dispositivos móviles y tabletas, y ocasionalmente en computadoras. Verificas tu identidad mediante reconocimiento facial o huella dactilar. Por supuesto, para que esto sea posible, también se necesita un hardware preparado para esta biometría…
Hardware
Las llaves de seguridad por hardware añaden seguridad extra a cuentas en línea al verificar la identidad y la URL de inicio de sesión a través de cifrado. Son resistentes a ataques y suplantación, conectándose a dispositivos a través de USB, NFC, Bluetooth, etc. Siguen el estándar FIDO U2F o FIDO2, algunos con resistencia a ataques físicos. Fabricadas por varios fabricantes (e.j.: Yubico y Google), son compatibles con navegadores y aplicaciones populares. Son fáciles de usar, económicas y más seguras que otras formas de verificación en 2 pasos.
Su funcionamiento es simple:
Tu llave de seguridad física generará de manera aleatoria un conjunto de claves: una pública y otra privada.
La clave privada permanecerá exclusivamente en la llave de seguridad y nunca saldrá de ella.
Sin embargo, la clave pública será enviada al servidor correspondiente.
Además, tu llave de seguridad física enviará dos números al azar: uno denominado «nonce», esencial para la generación de tus claves, y otro llamado «checksum», utilizado para identificar de manera única tu llave de seguridad.
Cuando ingreses tus credenciales para acceder a una cuenta en línea, el servidor transmitirá tanto el «nonce» como el «checksum» a tu llave de seguridad física, acompañados por otro número distinto.
La llave física utilizará el «nonce» y el «checksum» para regenerar su clave privada y posteriormente firmará el número proporcionado por el servidor.
Esta firma del número permitirá verificar y desbloquear tu cuenta en línea a través de la validación de tu clave pública mediante la llave de seguridad física.
Ventajas y desventajas de la verificación en 2 pasos
Como todo, la verificación en 2 pasos tiene sus ventajas y desventajas. Entre las que encontramos:
Ventajas:
Mayor seguridad: agrega una capa adicional de seguridad a tus cuentas en línea, ya que requiere un segundo método de autenticación además de la contraseña.
Protección contra robo de contraseñas: incluso si alguien obtiene tu contraseña, no podrán acceder a tu cuenta sin el segundo factor de verificación.
Prevención de suplantación de identidad: dificulta que alguien más se haga pasar por ti, ya que necesitarían ambos factores para ingresar.
Notificaciones de intentos no autorizados: algunos métodos de verificación en dos pasos te alertan si alguien intenta acceder a tu cuenta sin tu permiso.
Desventajas:
Dependencia de dispositivos: necesitas tener acceso a tus dispositivos de verificación (teléfono, aplicación, llave) para iniciar sesión, lo que puede ser inconveniente si no los tienes a mano.
Bloqueos por pérdida de dispositivos: si pierdes el dispositivo de verificación y no tienes medidas de respaldo, podrías quedar bloqueado de tus propias cuentas.
Posibles problemas técnicos: las aplicaciones o dispositivos de verificación pueden enfrentar problemas técnicos que te impidan acceder a tus cuentas.
Requiere tiempo adicional: el proceso de verificación en dos pasos agrega un paso adicional al inicio de sesión, lo que puede ser un poco más lento.
Recomendaciones para mejorar la seguridad
Para finalizar, es importante agregar que la verificación en 2 pasos no es infalible. Ningún sistema es 100% seguro, por lo que también deberías considerar algunos consejos adicionales para mejorar la seguridad:
Usa apps de autenticación conocidas: opta por aplicaciones de autenticación como Google Authenticator, Authy o Microsoft Authenticator en lugar de depender únicamente de SMS o correos electrónicos. Estas aplicaciones generan códigos temporales sin necesidad de conexión a Internet.
Utiliza llaves de seguridad físicas: las llaves de seguridad físicas son uno de los métodos más seguros para la verificación en dos pasos. Asegúrate de comprar llaves de seguridad de fabricantes confiables y mantenlas en un lugar seguro.
Establece una segunda forma de acceso: configura una opción de respaldo en caso de que pierdas tu dispositivo principal de verificación. Esto podría ser otra aplicación de autenticación o códigos de respaldo.
Mantén tus dispositivos seguros: asegúrate de que tus dispositivos de verificación (teléfono, llave de seguridad, etc.) estén bien protegidos, ya sea a nivel de software con las últimas actualizaciones, a nivel físico para evitar robos, etc.
Verifica la páginas de inicio de sesión: antes de ingresar tus códigos de verificación, asegúrate de que la URL de la página de inicio de sesión sea la correcta y no una página falsa. Existen muchas estafas por Phishing de este tipo…
Revisa regularmente tus sesiones activas: muchos servicios te permiten ver dónde has iniciado sesión en diferentes dispositivos. Revisa estas sesiones activas y cierra las que no reconozcas.