Introducción 2FA

2FA (Autenticación de dos factores) o Verificación en dos pasos, es un intento por aumentar la seguridad en el uso de aplicaciones, cuentas de correo, cuentas de usuario, etcétera. De hecho, es muy probable que ya estés usando algún tipo de 2FA aún sin tener claro del todo en qué consiste.

La cuestión es que desde el anuncio por parte de Google de imponer de forma obligatoria la 2FA para acceder a sus servicios, el tema ha vuelto a ganar relevancia. Y por tanto, no viene mal tener claro algunos conceptos básicos.

El fundamento se basa en:

  1. Algo que el usuario sabe (una contraseña, número de identificación personal (código PIN) o respuesta a una pregunta secreta)
  2. Algo que el usuario tiene (un token, un teléfono móvil, un USB)
  3. Algo que el usuario es (reconocimiento de rostro o voz, biometría de comportamiento, huella digital, retina o escaneo del iris)

Por ejemplo; cuando realizas una operación bancaria y tu entidad te envía un código SMS que has de introducir para validarla, estás llevando a cabo una 2FA. Lo mismo si dicho código SMS es para acceder a tu correo electrónico, a tu cuenta de Amazon, etcétera.

De hecho, la 2FA mediante SMS es la más utilizada en la mayoría de casos, lo que puede llevar a situaciones surrealistas:

  1. Activas 2FA para acceder a tu cuenta de correo y lo haces desde el móvil.
  2. Te llega un SMS al móvil con el código a introducir.
  3. Pulsas sobre él y automáticamente lo añade y valida el ingreso a tu correo.

Todo el proceso tiene lugar desde un único terminal y sin protección de por medio. Pulsando sobre el mismo SMS ya te valida de forma inmediata.

Otro caso:

  1. Activas 2FA para acceder a tu cuenta de correo y lo haces desde el Pc.
  2. Te llega un SMS al móvil con el código a introducir.
  3. Tú móvil no tiene cobertura o batería, está apagado, no lo encuentras…
  4. NO puedes acceder.

Dicho esto, además de todos los problemas de seguridad que comporta, el uso de SMS es una alternativa a descartar de inmediato.

¿Qué hacemos entonces?

Pues seguir la recomendación de todos aquellos involucrados de alguna manera en el uso de 2FA: Aplicaciones de autentificación.

Aquí la cosa sube de nivel, tanto por tipo de protección, mecanismo utilizado y la abundante oferta de aplicaciones.

A grosso modo el funcionamiento básico es el siguiente:

  1. Instalas la aplicación 2FA y añades las cuentas, servicios, webs, etcétera que desees segurizar.
  2. Accede a alguna de tus cuentas, en ese momento te dirá que abras la aplicación (o lo hará de forma automática) y que bien, introduzcas el código (token) que acaba de generar o que valides mediante algún factor biométrico (huella, voz o rostro).
  3. Vuelves al servicio, el cual ya debe estar accesible.

Obviamente, es un sistema muchísimo más confiable que el SMS, aunque seguimos atados al teléfono móvil.

Dentro de las aplicaciones de autentificación encontraremos bastantes diferencias entre ellas, en función de:

  1. La forma de gestionar los tokens.
  2. Para un solo dispositivo o varios.
  3. Propietarias u Open Source.

Comentaremos algunas de ellas en una próxima entrada.