Doble (o múltiple) factor de autenticación

En la mayoría de las ocasiones, para el acceso a una cuenta en un sitio web o una aplicación, usamos una validación mediante usuario y contraseña personal. Este es el sistema clásico de validación que podemos encontrar en prácticamente todos los sitios. Aun así, únicamente esta validación en los tiempos actuales es insuficiente.

Foto de Daniel Consentini

Daniel Consentini Seguir

Tiempo de lectura: 8 min

Uno de los mecanismos que añaden un punto adicional de seguridad y nos ayuda a proteger nuestras cuentas, es el doble factor de autenticación. Como veremos a continuación, esta característica de seguridad está bastante extendida e incrementa enormemente la seguridad de nuestra información.

¿Qué es el doble factor de autenticación?

El doble factor de autenticación (2FA) es una capa adicional en el proceso de validación de una cuenta personal. Como se mencionaba anteriormente, la validación clásica de una cuenta consiste en unas credenciales basadas en usuario y contraseña. Sabiendo esta dupla, accedemos a la cuenta.

El doble factor añade la necesidad de tener otra validación adicional, además del usuario y contraseña típico. ¿Qué puede ser esta validación adicional? Simplemente una combinación de los siguientes grupos:

  • Algo que sabemos: Información que solo nosotros sabemos cómo contraseñas, pin o códigos de acceso, por ejemplo.
  • Algo que tenemos: Elementos como un dispositivo móvil, un documento de identidad físico, una llave de seguridad, etc. son activos perfectamente válidos.
  • Algo que somos: Este punto se refiere a aquellos rasgos que nos hacen únicos, como ejemplo, una huella dactilar o nuestro rostro. Pero también, patrones como la forma en la que pulsamos unas teclas.
  • Una ubicación determinada: Es posible que se pueda limitar una autenticación por el sitio donde nos encontramos, como por ejemplo un país o una ciudad.
  • Un tiempo determinado: Parecido al anterior, es viable limitar un acceso si se produce en un tiempo fuera del determinado.

De esta forma, un doble factor válido para nuestro usuario y contraseña, sería por ejemplo, la validación con un dispositivo móvil (algo que tenemos) o con una huella dactilar (algo que somos).

De igual manera, no sería válido combinar un usuario y contraseña, con un pin o un código de acceso, pues todos los mecanismos de autenticación estarían en el mismo grupo (algo que sabemos).

¿Por qué es necesario?

Llegado a este momento, si seguimos las recomendaciones habituales y tenemos contraseñas complejas y únicas para cada sitio, y además, las cambiamos regularmente, ¿por qué tenemos la necesidad de establecer otro mecanismo más en la validación de una cuenta?

Esta cuestión se puede resolver por varias vías. En primer lugar, existe una deficiencia en las contraseñas actuales por la cada vez mayor capacidad de procesamiento. Es decir, cada vez se tarda menos en conseguir una contraseña mediante “fuerza bruta” (probando combinaciones).

Por otro lado, cada vez más se observan ataques dirigidos a obtener la contraseña de forma legible. Es decir, no interesa tanto el realizar la fuerza bruta anterior, si no engañarnos o atraernos de alguna forma para conseguir las credenciales. Esto puede darse mediante ingeniería social como correos o webs maliciosas, o también, con ataques WiFi o MitM (man in the middle), por ejemplo.

Por último, otra de las posibles explicaciones que se pueden dar para disponer de un doble factor, es que tenemos que ser honestos con nuestra propia seguridad. De forma general, no tenemos contraseñas complejas, utilizamos la misma para diferentes sitios y además, suelen ser contraseñas con patrones conocidos y, por lo tanto débiles.

Dadas estas casuísticas, la activación o configuración del doble factor de autenticación nos puede salvar de muchos problemas. Pensemos que en caso de robo de credenciales, con esta solución, no podrían acceder siendo necesaria otra forma de validación.

Funcionamiento del doble factor

Aunque parezca una configuración compleja por lo que se ha visto hasta ahora, nada más lejos de la realidad, se trata de una solución muy sencilla de programar y usar. Si bien es cierto que depende del tipo de autenticación escogida puede variar, a continuación se trata de definir unos pasos generales de su funcionamiento:

  • Antes de nada, es necesario configurar el doble factor. Esto se hace vinculado el mecanismo elegido con la cuenta que queremos proteger. Para ello, en primer lugar entramos en la configuración de seguridad de la cuenta y buscamos la opción de doble factor de seguridad o 2FA. De las opciones que nos dan, elegimos la más conveniente siguiendo unos sencillos pasos.
  • Una vez que tenemos vinculado nuestro sistema de doble factor con la cuenta, al iniciar sesión en este sitio escogido se nos solicitará el doble factor. Lo más habitual es recibir un código de un solo uso que caduca en un tiempo determinado, lo que se conoce como OTP, aunque esto puede variar.
  • Identificamos este código de un solo (o el mecanismo que hayamos elegido), y lo ingresamos en la petición. Si todo está correcto, entraremos en nuestra cuenta.

Generalmente, la configuración inicial de un doble factor suele constar de uno o dos minutos. Su uso al iniciar sesión puede dilatar unos treinta segundos más en este proceso de validación. Como vemos, su configuración y uso demanda un tiempo irrisorio en comparación con el nivel de protección que aporta.

Métodos de autenticación

Existen multitud de métodos o tipos de autenticación aprovechando el doble factor. En los siguientes puntos se exponen los más comunes, aun así, existen otros totalmente válidos:

  • Aplicaciones dedicadas en dispositivo móvil. Habitualmente es la opción preferida para este tipo de configuraciones. Consiste en una aplicación dedicada a este fin donde vamos a recibir códigos de un solo uso temporales (OTP). Estos mismos códigos serán usados al entrar en un sitio o aplicación.
  • Notificación emergente. Normalmente están asociadas a aplicación como las anteriores, y en este caso, en lugar de recibir un código de un solo uso, nos “salta” una notificación en el dispositivo que tenemos que aprobar.
  • Correo electrónico: Muy similar a la opción anterior, en el correo electrónico podemos recibir códigos temporales que serán solicitados en el momento de la validación.
  • Huella dactilar. Se trata de la opción más generaliza al identificarnos nosotros mismos de forma univoca, y también puede aportar esa doble barrera de seguridad.
  • Token hardware. Quizá sea el tipo de autenticación menos usado, pero no por ello el menos seguro, todo lo contrario. Se basa normalmente, en pequeñas llaves de seguridad físicas que transfieren un código único como validación.

Como se comentaba, existen otras muchas vías para la activación del doble factor. Aun así, existe una en concreto que muchos sitios usan y no ha sido listada anteriormente, pero requiere cierta atención, se trata del SMS.

Muchos portales usan el SMS como sistema de doble factor, y esto NO es lo más recomendable, incluso no deberíamos usarlo como mecanismo de validación. La problemática es sencilla, la información de los SMS conlleva ciertos riesgos, como que pueden ser interceptados por atacantes de diferentes formas. Además, la propia estructura del protocolo que hay detrás, no favorece que la información enviada por esta vía pueda ser segura. De esta forma, es preferible usar otros métodos disponibles antes que el clásico SMS.

Casos de uso

Como se ha podido observar, el doble factor de protección se centra en la seguridad de las cuentas personales, considerando una validación adicional y asegurando que realmente somos nosotros quienes tratamos de acceder a la información.

De esta forma, son bastantes los portales web o aplicaciones que implementan este tipo de opciones en el acceso. No es posible apuntarlos todos, pero sí que se describen los que más relevancia tienen y donde deberíamos tener activada esta protección:

  • Banca. Aunque por normativa es obligatorio su uso, en algunas aplicaciones permite configurarlo para realizar cualquier acción, dando un enfoque más seguro a nuestros datos y movimientos bancarios, evitando perdidas monetarias y de información sensible.
  • Mensajería y redes sociales. Actualmente las redes sociales representan una de las mayores exposiciones de información personal al exterior. Perder la cuenta podría significar perder reputación o incluso dinero. Igualmente, las aplicaciones de mensajería representan el único contacto con ciertos usuarios. Perder el control significa perder el contacto e incluso, ser usados para retransmitir malware.
  • Cuentas de correo. Las cuentas de correo, además de la propia información que puede encontrarse contenida, son usadas como medios de recuperación de otro tipo de cuentas. En caso de pérdida de la cuenta de correo, podrían utilizarlo para acceder a otros servicios y amplificar el ataque.
  • Almacenamiento online. Existen diversos portales donde nos ofrecen cierto espacio para almacenar información. Estos datos pueden ser privados y su exposición puede dañar nuestra imagen.

Agregando más capas. Múltiple factor

Como se ha visto en los anteriores apartados, el doble factor de autenticación consiste en la combinación de dos métodos de autenticación diferentes para el acceso a una cuenta. En este sentido, si seguimos agregando métodos de autenticación en dicho acceso tendríamos  que hablar de múltiple factor de protección o MFA.

El MFA va un paso más allá agregando todavía mas seguridad a una cuenta al combinar diferentes capas. Surge dada la necesidad de proteger la información mas valiosa o sensible,  como puede ser información corporativa o datos personales confidenciales, por ejemplo.

Un ejemplo de este tipo de autenticación con varias capas puede ser, usuario/contraseña (algo que sabemos), aplicación dedicada en dispositivo móvil (algo que tenemos), huella dactilar (algo que somos) y país desde donde accedemos (ubicación determinada). La  cuestión es ir agregando factores diferentes en base a los recursos que deseamos proteger.

Compártelo en tus redes sociales


Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.

Background formBackground form mobile

Suscríbete al blog de Telefónica

Por ejemplo, [email protected]

close-link