Conocida por sus varios nombres, como doble autenticación, autenticación de dos factores, doble factor de autenticación o también autenticación en dos pasos, es una medida de seguridad que ofrecen prácticamente todas las plataformas y apps de servicios online y que es fundamental activar para proteger las cuentas online de accesos indebidos. Si bien para acceder a una cuenta online es necesario una contraseña y nombre de usuario, la autenticación en dos pasos es una capa de seguridad adicional que protege las cuentas en caso de que cibercriminales hayan obtenido nuestras credenciales de acceso.
Esta medida de seguridad adicional puede ser configurada para recibir en nuestro teléfono un mensaje vía SMS con un código de un solo uso de seis dígitos que debemos ingresar para acceder a nuestras cuentas. En caso de que un cibercriminal haya obtenido nuestras credenciales, necesitará tener en su poder nuestro teléfono para recibir este código y acceder a nuestra cuenta.
Lectura recomendada: 5 formas en que los cibercriminales roban contraseñas (y cómo evitarlo)
Si bien la mayoría de las apps y plataformas solicitan solamente un número de teléfono para enviar el código vía SMS, en muchos casos también es posible configurar esta capa de seguridad adicional utilizando una app de autenticación, como Google Authenticator o Microsoft Authenticator. En muchos casos es posible incluso verificar nuestra identidad utilizando nuestra huella dactilar en lugar del código de seis dígitos.
Esquema que muestra el proceso de autenticación a una cuenta con la capa de seguridad adicional activada.
Si utilizamos algunas de estas aplicaciones no necesitamos que nos llegue un mensaje vía SMS —lo cual es más seguro—, ya que será la app la que nos proporcionará el código de seis dígitos que necesitamos para verificar nuestra identidad al iniciar sesión.
Es muy importante jamás compartir este código con nadie. Los estafadores suelen contactar a las personas vía WhatsApp utilizando distintas excusas y solicitan que les reenvíe un código de seis dígitos que enviaron vía SMS al número de la víctima. El verdadero fin es que comparta el código de la autenticación en dos pasos para robar el acceso a la cuentas.
Es más seguro utilizar una app de autenticación que recibir el código vía SMS, ya que en caso de ser víctimas de SIM Swapping, que es un ataque en el cual secuestran nuestra línea de teléfono mediante la clonación de chip, el atacante recibirá en su teléfono el código de seis dígitos para acceder a nuestras cuentas. También es importante tener presente que en caso de que el atacante haya robado nuestro teléfono el escenario cambia, ya que tendrá grandes chances de acceder al código de verificación, ya sea vía la app de autenticación o vía SMS.
Servicios como Google, Microsoft, Facebook, WhatsApp, Instagram, Twitter, Twitch, TikTok o LinkedIn permiten configurar la autenticación en dos pasos para no depender solo de la seguridad de una contraseña. En este artículo explicamos cómo configurar la autenticación en dos pasos en cada uno de estos servicios.
Proteger nuestras cuentas únicamente con contraseñas nos expone a eventuales. Los cibercriminales suelen comprar y vender en foros de la dark web contraseñas o pueden obtenerlas de filtraciones que sufrió en el pasado alguna plataforma. Con esta información pueden realizar ataques de fuerza bruta para intentar descifrar contraseñas de forma masiva y robar cuentas. Este tipo de ataque aprovecha filtraciones y el hecho de que muchas personas utilizan contraseñas débiles, fáciles de predecir y que incluso reutilizan la misma contraseña para acceder a otras cuentas.
Sin embargo, también es importante recordar que no hay soluciones mágicas: implementar la autenticación en dos pasos es mejor que utilizar únicamente contraseñas, pero los cibercriminales también utilizan distintas técnicas para obtener el código de verificación.
Lectura relacionada: Bots de voz para robar el código de verificación mediante llamadas
La efectividad de la autenticación en dos pasos está demostrada
Diversos estudios realizados por compañías como Microsoft o Google han demostrado la efectividad que tiene el uso del doble factor de autenticación para proteger las cuentas. En 2019 Google realizaba un estudio que aseguraba que la autenticación en dos pasos es la solución más efectiva para prevenir el secuestro de cuentas, y en 2020 Microsoft decía que el 99% de las cuentas vulneradas no tienen activada la autenticación en dos pasos.
¿Cómo la activo en mis redes sociales, apps de mensajería, y otras plataformas? En el siguiente artículo te contamos paso a paso cómo configurar la autenticación en dos pasos en algunas de las apps más utilizadas.
¿La autenticación en dos pasos es infalible?
No es infalible, pero es una capa de protección extra que te convierte en un blanco más difícil para los atacantes. Existe malware que incluye entre sus capacidades mecanismos para evadir esta capa de protección, pero en la mayoría de las situaciones, los sistemas de doble factor ofrecen una valiosa capa adicional de protección para personas y empresas.
Lecturas recomendadas:
