PrivacyTools.io

Asegura tus cuentas en línea: usa siempre la autenticación de dos factores

Asegura tus cuentas en línea: usa siempre la autenticación de dos factores

Con suerte, a estas alturas ya te has registrado para una cuenta de ProtonMail o Tutanota y estás listo para empezar a transferir algunas cuentas. Así que es hora de hablar de algunos consejos para mantener tus cuentas bien cerradas y que un adversario no te las robe. Esta sección en realidad solo se aplica a entidades no gubernamentales que te atacan con intención maliciosa. Si un organismo gubernamental como el FBI quiere entrar, lo único que necesita es una orden judicial.

Lo más importante que hay que considerar es cómo se verifica tu cuenta. La mayoría de los sitios de internet usan el correo electrónico porque lleva existiendo mucho tiempo. Así que vincular tu cuenta de ProtonMail hace las cosas mucho más seguras, porque tu correo de ProtonMail es increíblemente seguro frente a un robo, a menos que alguien te vea escribir ambas contraseñas (algo que se frustra usando la extensión de LastPass en tu navegador), o que te metan un keylogger en el ordenador (algo que probablemente también se frustre con la extensión de LastPass). Incluso si tu cuenta de ProtonMail es visible para una buena parte del público, porque la has dado o la has publicado en algún lugar público como tu blog, aun así necesitan entrar en ella para restablecer la contraseña de tu cuenta.

A continuación, vas a asegurarte de repasar los ajustes de seguridad que la web te ofrece y de investigar un poco sobre la seguridad adicional que aportan esas opciones. Toma Twitter, por ejemplo: te permiten exigir información personal para restablecer tu cuenta. Esto significa que un adversario tiene que escribir tu correo electrónico o tu número de teléfono para siquiera empezar el proceso de restablecimiento de tu contraseña. Otro ejemplo sería PayPal, que exige que introduzcas la información de tu tarjeta de crédito Y recibas un correo electrónico o un mensaje de texto con un código de restablecimiento antes de permitir un cambio de contraseña. Pero donde sea posible, usa siempre la autenticación de dos factores.

Verificación en dos pasos y autenticación de dos factores

Hay una gran discusión sobre si existen diferencias entre la verificación en dos pasos y la autenticación de dos factores. Parece que Google, Apple y Microsoft tienden a usar la primera de las dos, mientras que la mayoría de los demás sitios usan la autenticación de dos factores (2FA). La idea al separar las dos es que 2FA es algo físico que tienes, como un Yubikey, una smartcard, una huella dactilar o un CryptoKey. La verificación en dos pasos requiere una segunda forma de autenticación junto a tu contraseña, como un código TOTP (Time-based One-time Password Algorithm) de una app de autenticación o un mensaje de texto enviado a tu teléfono.

No debería… pero uso los dos anteriores de forma bastante intercambiable. Creo que el término que uso con más frecuencia es autenticación de dos factores (2FA), y hay una posibilidad muy alta de que me equivoque al usar esa terminología para definir métodos como SMS-Auth y TOTP, pero la voy a usar durante el resto de este texto. Por lo general, recibir un código de verificación enviado a tu correo electrónico se consideraría una forma insegura de autenticación de dos factores, porque si tu correo está comprometido, tienen tanto tu método de 2FA como el correo necesario para restablecer tu contraseña. Del mismo modo, la 2FA basada en SMS o voz también es bastante insegura, ya que a tu proveedor de telefonía se le puede “engañar” (http://www.securityweek.com/hackers-tricked-att-network-solutions-employees-tesla-attack) para que entregue suficientes detalles sobre tu cuenta como para reenviar tus mensajes a otro número, y con el avance de la tecnología, algunos proveedores también te dan la opción de leer tus mensajes a través de su portal de cuenta en línea. Los mejores métodos de 2FA son un TOTP correctamente implementado, un Yubikey o la autenticación biométrica.

“Time-based One-time Password Algorithm (TOTP) es un algoritmo que calcula una contraseña de un solo uso a partir de una clave secreta compartida y la hora actual” (Wikipedia). Básicamente, instalamos una aplicación como Google Authenticator en nuestro teléfono y vinculamos nuestra cuenta con ella generando e introduciendo el secreto compartido. Esto se sincroniza con la hora actual y genera un nuevo código de 6 dígitos cada 30 segundos (normalmente). Después de introducir su correo/nombre de usuario y su contraseña en la web, el usuario debe entonces escribir el código de 6 dígitos generado en ese momento por la app de autenticación. Esto sería usar algo que sabes (la contraseña) y algo que tienes (el código TOTP) para asegurar tu cuenta. Este es mi método preferido para asegurar mis cuentas en línea. Todos los códigos TOTP se envían a mi reloj inteligente y se guardan de forma segura en mi muñeca. La mayor parte del tiempo ni siquiera necesito el teléfono para iniciar sesión.

Creo que Yubico da una descripción mejor de cómo funciona una YubiKey para 2FA de la que yo podría dar, así que aquí está el extracto de su sitio:

Una YubiKey es un pequeño dispositivo que registras con un servicio o sitio que admite la autenticación de dos factores. La autenticación de dos factores significa que cada vez que inicias sesión, el servicio pedirá una prueba de que tienes tu YubiKey además de tu nombre de usuario y contraseña habituales. El phishing, el malware y otros métodos de ataque no funcionan porque necesitarían tanto tu llave física como tus contraseñas para vulnerar tus cuentas. La autenticación de dos factores con una YubiKey hace que tu inicio de sesión sea seguro y mantiene tu información privada. La YubiKey no requiere más que un simple toque o contacto. No hacen falta controladores ni software especial. Puedes usar tu YubiKey en varios ordenadores y dispositivos móviles, y una sola llave admite cualquier número de tus cuentas. Las YubiKeys son casi indestructibles, solo añádela a tu llavero junto a las llaves de tu casa y tu coche.

En cuanto a las preguntas y respuestas de seguridad, harías bien en guardarlas dentro de tu cuenta de LastPass para poder mantenerlas alejadas de lo obvio. Lo que quiero decir con esto es que, en lugar de usar el nombre de tu perro (que podría adivinarse o identificarse), podrías añadir un símbolo delante o detrás de tu respuesta, por ejemplo: %Baxter en lugar de Baxter. Una sugerencia de máxima seguridad sería usar caracteres aleatorios y guardarlos para que no los olvides.

Para personas que son muy activas o famosas en las redes sociales, o para gente de negocios que asegura sitios web importantes que pueden estar manejando datos importantes de clientes, la autenticación de dos factores es algo increíblemente importante que hay que activar en todos los sitios web y servicios que te dan la opción. Puede que tenga una curva de aprendizaje, pero al final te salvará de un ataque contra tu identidad.