English
Aparte del uso de contraseñas seguras, una de las recomendaciones básicas a la hora de proteger nuestras cuentas online es el uso de múltiples factores de autenticación.
Esta forma de autenticación nos permite proteger una cuenta solicitando varias pruebas diferentes al usuario con el objetivo de verificar si se trata de un usuario autorizado en un sistema.
Los métodos de autenticación más comunes se dividen en:
- Algo que sé: el método más utilizado, y es dar al sistema un secreto que sólo el usuario debería conocer. Es el caso, por ejemplo, de los pin, patrones, las contraseñas y las frases de paso.
- Algo que soy: en los que se utilizan características propias del sujeto para poder identificarlos en un sistema. Dentro de esta categoría caerían las huellas dactilares y otras propiedades biométricas.
- Algo que tengo: en este caso, se hace uso de un elemento que sólo el usuario debería tener, como son los token de seguridad, un teléfono móvil, etc.
Hoy en día la mayoría de servicios permiten habilitar mecanismos de doble factor de autenticación, generalmente combinando el uso de contraseñas con el envío de códigos de seguridad mediante SMS a teléfonos móviles. También existen aplicaciones móviles que permiten generar códigos de doble factor, como son Google Authenticator o Authy.
Por otro lado, podemos fijarnos en que cada cierto tiempo un servicio con miles de usuarios es hackeado, y en numerosas ocasiones este servicio no había protegido debidamente las contraseñas almacenadas en la base de datos. El resultado es que en apenas unas horas miles de usuarios y contraseñas quedan expuestas en Internet. Por si esto no fuese suficiente, acto seguido se comienzan a detectar intrusiones en numerosos servicios ajenos al hackeo, siempre a consecuencia de la gran cantidad de usuarios que reutilizan el mismo correo y contraseña para toda su vida online. En cuanto unas credenciales son descubiertas, se verifican inmediatamente esos datos en los mayores servicios de Internet para continuar comprometiendo cuentas y acceder a más información, robar datos o extorsionar a la posible víctima.
Dejando de lado que nunca deberíamos reutilizar contraseñas, y que todo el mundo debería utilizar programas como Keepass para generar contraseñas únicas para cada servicio utilizado, ¿qué sucedería en el caso anterior si un usuario que ha reutilizado contraseñas tiene el doble factor de autenticación habilitado? Pues que los criminales intentarían iniciar sesión, el sistema mandaría un código de seguridad al teléfono del usuario, y como los criminales no tienen forma de acceder a esta información ahí se acabaría el problema. Fin de la intrusión.
¿Pero qué sucede si el ataque es dirigido? Pues generalmente tres cuartos de lo mismo. El atacante casi siempre busca el vector más débil de entrada. Es por ello que en muchísimos ataques no hay necesidad de encontrar un 0-day en el firewall de la organización, ni adivinar complejas contraseñas mediante fuerza bruta... es tan sencillo como mandar una campaña dirigida de phishing (spear-phishing) a determinados empleados para que ellos mismos nos den las llaves del castillo tras ser engañados. Sin embargo, si estos mismos empleados están protegidos por un doble factor de autenticación, el potencial atacante que está intentando conectar con la contraseña recién robada se va a topar con un problema difícilmente franqueable, como es tener acceso al teléfono móvil del empleado.
Por ejemplo, reciéntemente se ha sabido que si bien durante la campaña de Obama se hizo uso de doble factor de autenticación a través de tokens de la empresa Yubico, durante los ataques mediante spear-phishing contra la campaña de Clinton o al DNC no se estaba protegiendo las cuentas con 2FA. ¿Habría evitado esto lo sucedido? Muy probablemente el resultado de los ataques habría sido distinto.
Google mismo ha reconocido que, desde que habilitó 2FA con tokens físicos a principios de 2017 para todos sus empleados, no se ha producido ni un sólo robo de cuentas.
Por tanto, os recomendamos encarecidamente que habilitéis el doble factor de autenticación en todas vuestras cuentas online.
Por cierto, ¿sabíais que podéis proteger vuestra base de datos Keepass con una Yubikey configurada en modo Challenge-Response? Para ello, sólo tenéis que descargar el plugin KeeChallenge y seguir las instrucciones de configuración paso a paso. Es muy sencillo, y una vez configurada, vuestra base de datos quedará protegida por la combinación de vuestra frase de paso y un token físico.
