(+34) 910 42 42 93 [email protected]

En 2013 publiqué en mi página un artículo titulado «El doble factor de autenticación como medida de seguridad mínima» en mi otro blog.

Me parafraseo:

Hay mucha diferencia entre almacenar un universo de credenciales en texto plano, a exponerlo bajo un algoritmo de cifrado robusto. En el primero, que lamentablemente sigue siendo la tónica de muchos servicios, estamos hipotecando el futuro de nuestros usuarios/clientes, delegando la seguridad de su identidad digital en el buen quehacer que unilateralmente salga de ellos (y que ya le adelanto será más bien nulo). En el segundo, como mínimo, le estamos poniendo las cosas bastante más difíciles a los cibercriminales, salvaguardando de esta manera a los nuestros.

Llega 2015, y publico otra pieza titulada «El segundo factor de autenticación o 2FA es el único sistema seguro» también en el otro blog. El artículo es semejante al anterior, pero con un matiz. Fíjate que hemos pasado de considerar el 2FA un sistema de seguridad mínimo, a considerarlo EL ÚNICO sistema de seguridad recomendable.

Un artículo en el que repaso uno a uno la seguridad de los sistemas de identificación que usamos en la actualidad (basados en conocimiento, basados en la posesión o basados en la inherencia), para llegar a la conclusión de que da igual qué sistema utilicemos. La única manera de asegurarnos que el sistema sea seguro, es uniendo dos de ellos, y siendo dos distintos.

Así llego al quid de la cuestión. Años peleándome con la generación de un patrón semi-aleatorio (soy humano, y necesito algo en lo que basarme para no olvidar la infinidad de contraseñas que tengo) para que ahora caiga en la consideración que conforme más avanza la tecnología, más expuestos estamos a que los sistemas de seguridad basados en el conocimiento sean «fácilmente» explotables. 

Y esto es solo la punta del iceberg de lo que nos espera. Me comentaba muy acertadamente en una charla el otro día con un profesional del sector que todo el paradigma de seguridad que tenemos ahora montado se irá al cuerno tan pronto los primeros ordenadores cuánticos entren en el juego. Y al paso que vamos, llegarán dentro de poco.

Así pues, «que me quiten lo bailao«. El único método que de verdad me da seguridad hoy en día es la doble autenticación o 2FA, y de ahí que la tenga activa en cuantos servicios me lo permiten.

Estos días dos noticias me vuelven a animar a escribir unas palabras sobre el tema:

  • La primera, por parte de Google, que informa que dentro de unas semanas el 2FA será OBLIGATORIO (EN) para todas las cuentas.
  • La segunda, por parte de Facebook, que va alineada exactamente igual. En unas semanas toda cuenta de Facebook que la plataforma considera «de alto riesgo» (sea esto el corte que consideren ellos oportuno) tendrá que tener, sí o sí, un 2FA activo (EN) para poder acceder.

Han pasado ocho años desde lo primero a lo segundo, que ya es tiempo, pero sinceramente me alegro de que así sea.

Con matices, por supuesto, y es que hay una lectura interesante a considerar a raíz de esto.

Me refiero a que con la obligatoriedad de tener un 2FA activo para utilizar estas dos plataformas (las más importantes, nos guste o no, de Internet), se puede leer entre líneas que pasará a ser obligatorio tener un dispositivo móvil.

¿La razón? Pues porque la mayor parte de 2FA están basados o en el envío de un SMS, o en la instalación de una aplicación de tokens temporales. Y ambas cosas solo se pueden hacer en un dispositivo móvil.

Que es cierto que también existe la opción de recibir ese token mediante email, pero este sistema ya no es tan habitual, y en todo caso, teniendo en cuenta que hablamos de Google, el principal proveedor de correos electrónicos de occidente, lo mismo ni tan siquiera pasa a ser viable (para recibir un token por email necesitarás tener acceso a un correo alternativo… y para acceder a ese correo alternativo necesitarás tener activo un 2FA que te requiere tener acceso a otro correo alternativo… y vuelta a empezar).

En fin, que obviando este pequeño handicap, y el posible impacto a nivel de barreras de entrada para según qué porcentaje de la sociedad (cada vez menos, sinceramente, ya que incluso en mercados emergentes es más común tener un dispositivo móvil que un dispositivo de escritorio), en unas semanas veremos cómo, con esta obligatoriedad, unido a los movimientos que hace ya unas semanas hizo Microsoft con Windows y Office, el mayor riesgo digital de la actualidad (robo de cuentas) pasa a ser algo minoritario.

Con un solo movimiento. Con un sistema que ha demostrado, como ya dije, ser el único sistema de seguridad seguro.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂