August 20, 2020

¿Qué es y como funciona la autentificación de dos pasos o doble factor (2FA)?

La autentificación de dos pasos o doble factor no es un concepto nuevo. La mayoría de nosotros lo hemos utilizado por ejemplo para operar con la banca tradicional, cuando realizamos una transferencia y nos es requerida una clave de una tarjeta de coordenadas o un código enviado por SMS. También, cuando queremos disponer de dinero en efectivo de un cajero, tenemos que introducir la tarjeta (algo que tenemos), y un código pin (algo que sabemos).

La autentificación de dos pasos o doble factor también es utilizada para incrementar la seguridad de las cuentas en internet. De esta forma, cuando ingresas la contraseña de usuario o para realizar algunas acciones de algún servicio concreto, es requerida una clave adicional como segunda capa de seguridad, por lo que dificulta un acceso fraudulento en caso de robo de la contraseña.

Como norma general, se puede escoger entre recibir de manera puntual una clave a través de un mensaje SMS en el móvil, o bien utilizar aplicaciones especificas como pueden serlo Google Authenticator o Authy.

¿Debo usar SMS o una app?

Recibir la clave por SMS es menos seguro, una tercera persona puede interceptar el mensaje de texto o simplemente, empleando ingeniería social podría convencer a la operadora telefónica para que lo transfiera a otro dispositivo. También existe la posibilidad que tengas vinculado el móvil con la computadora, y si está comprometida, un tercero podría tener acceso a los códigos SMS.

Un SMS no es algo que tienes, es algo que te envían.

También, hay que tener en cuenta el grave defecto en el protocolo que utilizan la mayoría de operadoras de telecomunicaciones Signaling Signaling System Member 7 (SS7). Se utiliza cuando hacemos llamadas, enviamos mensajes o intercambiamos datos por internet, y cuenta con una infraestructura totalmente desfasada que facilita a los hackers redirigir llamadas y mensajes a sus propios dispositivos.

Cuando utilizamos una aplicación 2FA (second factor authenticator) se introduce una clave secreta facilitada por el proveedor de servicios, bien sea de forma manual o a través de un código QR. Esta clave secreta conocida como semilla, es un número que se instala en la aplicación y que calcula un código basado en el tiempo partiendo de esta. Este código va cambiando cada X segundos. Una vez introducida la semilla, no se requiere acceso a internet para funcionar, solo es necesario tener la hora correctamente sincronizada con internet, ya que unos segundos de diferencia podrían alterar el código final de acceso.

Por lo tanto, el proveedor de servicios y tu dispositivo poseen la misma clave secreta, y eso permite replicar el mismo cálculo para generar un código basado en el tiempo y comparar así que coinciden y que se trata del usuario legítimo.

Nota importante: Si estas siendo víctima de phishing, y capturan el resultado generado por la semilla y la hora exacta, se podría deducir la semilla empleando ingeniería inversa, por lo cual, tendrían acceso constante a la clave generada por el 2FA. Para evitar esto, muchos portales web muestran la página correcta, que debe coincidir con la del navegador.

ordenador portátil con pantalla de inicio de sesión y una mano sujetando un móvil con claves

¿Cómo configurar la autentificación de doble factor o 2FA con Google Authenticator o Authy?

El proceso para configurarlo es prácticamente igual en todos los sitios web que soportan este tipo de verificación.

Ambas aplicaciones funcionan prácticamente de la misma forma, con la diferencia que Authy guarda todas las semillas en una cuenta de usuario. Con Google Authenticator se recomienda almacenar una copia de seguridad para restablecer en caso de pérdida o robo.

  • Primero nos dirigiremos a la apple store o play store y procederemos a la descarga e instalación de Google Authenticator o Authy.

  • Nos dirigimos a iniciar sesión en nuestra cuenta, y posteriormente hacemos clic en Seguridad dentro del menú.

  • En el apartado 2FA, donde pone Autenticador de Google, le daremos al botón Activate

Pantalla de inicio de sesión Kuailian

  • El sistema nos mostrará un código QR que escanearemos con la aplicación, dándole al botón “+“ e indicaremos escanear código de barras

pantallazo con flechas indicando seguridad y boton activar autenticador de google

  • Introducimos el código que nos da la aplicación en la web antes de que se acabe el tiempo

2 pantallas de móvil con 2 aplicaciones de autentificación de doble factor

  • Una vez realizados estos pasos, ya tenemos activada la autentificación de doble factor. Si nos genera un error, debemos ir al menú de opciones – configuración y seleccionar corrección de hora de códigos. Esto puede pasar en el caso que exista una diferencia en la hora del móvil respecto la hora en el servidor.

El proceso de activar la autentificación de doble factor no te llevará más de 5 minutos y te permitirá dormir mas tranquilo.

Source: Genbeta