Por Alessandro Bazzoni<\/p>\n
ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, explica qu\u00e9 es la a autenticaci\u00f3n en dos pasos y c\u00f3mo configurarla para que la seguridad de las cuentas no dependa solo de la contrase\u00f1a.<\/p>\n Las contrase\u00f1as son la llave a la informaci\u00f3n digital. Por eso, durante a\u00f1os se habl\u00f3 de la importancia de protegerlas,\u00a0d\u00f3nde almacenarlas<\/a>\u00a0y buenas pr\u00e1cticas para que crear contrase\u00f1as fuertes y seguras<\/a>, evitando cometer alguno de los\u00a0errores m\u00e1s comunes<\/a>\u00a0que puedan comprometerla. Sin embargo, por m\u00e1s cuidado que se tenga, es posible que las contrase\u00f1as puedan ser expuestas en una filtraci\u00f3n de informaci\u00f3n. \u201cEste tipo de acontecimientos es cada vez m\u00e1s frecuente. Tan solo en lo que va del a\u00f1o se han filtrado m\u00e1s de 1000 millones de cuentas provenientes de diferentes incidentes de seguridad, entre los que se destaca la reciente publicaci\u00f3n de\u00a0<\/em>datos de 533 millones de usuarios de Facebook.<\/em><\/a>\u201d, <\/em>comenta Cecilia Pastorino, investigadora de Seguridad Inform\u00e1tica del Laboratorio de ESET Latinoam\u00e9rica.<\/p>\n La contrase\u00f1a no es la \u00fanica forma de autenticarse frente a un sistema. De hecho, existen tres formas diferentes de hacerlo:<\/p>\n En el proceso de autenticaci\u00f3n tradicional se utiliza solo una de estas tres formas, generalmente la contrase\u00f1a. La verificaci\u00f3n en dos pasos -o multifactor- propone combinar dos m\u00e9todos de autenticaci\u00f3n de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la informaci\u00f3n.<\/p>\n La gran mayor\u00eda de los sistemas actuales aplican este principio para brindar una capa extra de protecci\u00f3n a las cuentas de sus usuarios, combinando la contrase\u00f1a (algo que sabes) con un token digital o c\u00f3digo de acceso temporal que se recibe o generas en el tel\u00e9fono (algo que se tiene). Es decir que, tras introducir la contrase\u00f1a habitual, se pedir\u00e1 un c\u00f3digo que se recibir\u00e1 por SMS o a trav\u00e9s de una app en el smartphone. De esta forma, si un atacante obtuviese una contrase\u00f1a -ya sea porque se ha sido v\u00edctima de un enga\u00f1o o bien porque se ha filtrado en una brecha- no podr\u00e1 finalizar la autenticaci\u00f3n si no tiene acceso al tel\u00e9fono donde recibir el c\u00f3digo temporal.<\/p>\n Dependiendo del sistema o servicio donde se configure la autenticaci\u00f3n en dos pasos, variar\u00e1 la forma en que se debe utilizar el smartphone para generar el c\u00f3digo de acceso. La mayor\u00eda de los servicios piden ingresar el n\u00famero de tel\u00e9fono en el cual se va a recibir un SMS para confirmar la configuraci\u00f3n y luego cada vez que se inicie sesi\u00f3n. Otra opci\u00f3n es asociar la cuenta con una app de autenticaci\u00f3n, como\u00a0Google Authenticator<\/a>,\u00a0Authy<\/a>\u00a0o\u00a0ESET Secure Authentication<\/a>. Estas aplicaciones se vinculan con el servicio a autenticar y funcionan como tokens digitales generando c\u00f3digos aleatorios cada 1 minuto<\/p>\n En algunos casos no se utiliza un c\u00f3digo de acceso, sino que el usuario recibe un mensaje con una solicitud de autorizaci\u00f3n en su tel\u00e9fono, la cual debe aceptar colocando adem\u00e1s su huella digital. En este caso, se aprovecha tambi\u00e9n el lector de huella de los tel\u00e9fonos para utilizar las 3 formas de autenticaci\u00f3n, ya que adem\u00e1s de la contrase\u00f1a y el tel\u00e9fono el usuario debe verificar su huella.<\/p>\n A continuaci\u00f3n, ESET comparte una lista con el paso a paso de c\u00f3mo configurar la autenticaci\u00f3n en dos pasos para algunos de los servicios m\u00e1s populares: Google<\/a>, Yahoo<\/a>, Microsoft<\/a>\u00a0(Live, Outlook, Hotmail, etc.), Facebook<\/a>, Instagram<\/a>, Twitter<\/a>, Twitch<\/a> y Tiktok<\/a>. Los servicios de mensajer\u00eda tambi\u00e9n pueden configurarse con la verificaci\u00f3n en dos pasos: WhatsApp<\/a>, Telegram<\/a>, Signal<\/a> e incluso muchos herramientas para realizar videoconferencias o juegos online incluyen\u00a0 la misma, como es el caso de\u00a0Zoom<\/a>\u00a0o\u00a0Fortnite<\/a>.<\/p>\n \u201cSe demostr\u00f3 que la autenticaci\u00f3n en dos pasos es la manera m\u00e1s efectiva para evitar el secuestro de las cuentas; sin embargo, muchos usuarios -e\u00a0<\/em>incluso empresas<\/em><\/a>– no lo implementan por desconocimiento o falta de conciencia sobre los riesgos a los que est\u00e1n expuestos. Por lo tanto, si bien activar este mecanismo de seguridad es opcional, se deber\u00eda considerar activarlo siempre para estar m\u00e1s protegidos y de esta manera no depender solamente de una contrase\u00f1<\/em>a.\u201d, concluye Cecilia Pastorino, de ESET.<\/p>\n\n