Sistema de acceso en dos pasos

Si esto de la autenticación en dos pasos no te suena ya, probablemente pronto te empiece a sonar, como tal o bajo su rimbombante nombre en versión original de Two Step Authoritation Pass. Este sistema cuyo nombre técnico se antoja harto difícil y aparentemente faltoso realmente en español se escribe así:

Autenticación en dos pasos

¿Qué que es lo que es? Pues verás se trata de un sistema de seguridad superior al habitual de usuario y clave que se implementará primero opcionalmente y luego de forma obligada en muchos de los servicios online habituales, tales como el correo, el acceso a tiendas online, etc que se está poniendo últimamente muy de moda y cuyo objetivo no es otro que el de securizar un poco más el acceso a dichos sitios webs o aplicaciones.

Realmente es un coñazo, pero deberás utilizarlo si no tienes otra opción, bien por temas de exigencia de tu empresa o sencillamente porqué eres receloso de que tu información personal o quieres proteger al máximo el acceso a determinados servicios. Así que sin duda te interesa este aburrídisimo artículo sobre seguridad, lo siento.

¿En que consiste esto de la autorización en dos paso? Ei! he escrito autorización cuando antes he recalcado que se dice autenticación, bueno vale, tenía más razón antes, pero es que me suena tan faltosa esa palabra y creo que autorización és más que correcta, en fin, que me voy… vamos a decir en que consiste, toma nota.  Pues consiste en dificultar y mucho el acceso al usuario, sin este sistema cuando alguien te usurpa tu nombre de usuario y clave de un servicio concreto podrá acceder a dicho servicio desde su ordenador sin que tu ni te des cuenta. Con este sistema además del usuario y clave precisará de un código numérico que generará tu teléfono móvil, y sólo tu teléfono móvil, ningún otro. Es decir, a menos que te roben además de la cuenta y la clave el teléfono móvil, el malintencionado hacker, ojo, no todos son malos, ni muchos menos, poco o nada podrá hacer para violar tu cuenta y tus datos.

Autenticación normal

Mejor empecemos por donde estamos, hasta ahora para acceder a un servicio web como puede ser leer el correo de tu cuenta de Gmail tan sólo debías introducir tu dirección de email y tu clave de acceso, esto es lo que se denomina ahora autenticación de un paso y es considerada como poco segura. Además la gente recurre a utilizar la misma clave para todo pues es más fácil de recordar, pero piénsalo sólo durante un momento, si tienen tu clave de acceso a la tienda X, podrán acceder a todas las demás, pues si utilizas la misma clave para todo será para el ladrón digital un coser y cantar.

Hackeando tu cuenta

Precio: EUR 45,50
Precio recomendado: EUR 47,90
Puede parecer que conseguir tu nombre de usuario y clave es difícil, lo es, pero mucho menos de lo que te puede parecer, tan sólo se necesita la necesidad real y la voluntad para hacerlo, además de conocimientos sobre seguridad y hackeo informático. Vamos a ver algunos ejemplos de hackeo de tu cuenta de correo electrónico de forma relativamente sencilla.

Supongamos que yo soy un hacker y quiero acceder a tu cuenta, primero me fijo si tienes móvil, te sigo en el autobus, me tomo un café cerca tuyo y reparo en si utilizas algún sistema de securización en tu móvil, muchas personas por comodidad pasan y tienen el móvil desbloqueado, ¿Quién me lo va a robar a mi? cuidadín con eso. Si no lo tienes securizado será fácil, me hago con tu móvil en un descuido, o a la carrera mientras andas con él por la calle mano en alto, acto seguido cojo un ordenador y solicito en la web de tu correo electrónico o del servicio que quiera hackear la recuperación de clave, esta clave o un enlace para generar una nueva clave llega a tu correo electrónico, al que yo tengo acceso porqué tengo tu móvil sin bloqueo de seguridad. Genero una nueva clave y ya te he “raptado” tu cuenta, a partir de aquí… bufff.

Seguro  que pensarás que con un número PIN o patrón de bloqueo es suficiente, el PIN, mientras me tomo el café y te veo desbloquearlo puedo intuirlo, haces un movimiento de cuatro direcciones, yo lo dibujo en una servilleta y luego cuando tengo tu dispositivo lo repito, me puedo equivocar una o dos veces no más. Además depende de si sólo desbloqueas tu móvil para ver la hora quedará marcado en la pantalla el camino que has seguido pues la grasa del dedo siempre deja un dibujo. Cuidadín si el PIN del móvil es el mismo que el de tu tarjeta de crédito porqué fácilmente te pueden robar ambas cosas simultáneamente y antes que puedas hacer una denuncia y hablar con los bancos, recuerda que te han dejado si teléfono, puedes tener un buen susto económico en tu tarjeta.

Desde luego existen mejores métodos para securizar tus dispositivos, aquellos que ahora equipan reconocimiento dactilar tan de moda ahora en los nuevos móviles, como el Samsung Galaxy S7, los LG G5 y G6, los iPhone 7 etc. pero si te lo roban el móvil de las manos en carrera cuando lo estabas manipulando ese periodo de tiempo que todos los móviles tienen entre el desbloqueo y el bloqueo automático por inactividad pueden ser suficiente para desactivar la seguridad del móvil incluso si previamente te han podido instalar un simple programa del tipo keylogger en tu móvil o en tu PC portátil instalado a través de una página web malintencionada, o si te conectas a una red no segura donde con un método más sofisticado pero al alcance de muchos suplantan una web oficial, con un formulario que envía las claves al hacker, cualquiera de ellos, y muchos más que dejo en el tintero serán métodos más que suficientes para hacerse con tu clave.

¿Cómo activar la autenticación en dos pasos?

Es por esta razón que ahora se está poniendo de moda la autenticación en dos pasos, vamos a ver en que amplía la autenticación normal. La autenticación en dos pasos incluye ese primer paso normal y típico de introducción de nombre de usuario y contraseña para acto seguido solicitarte un código, generalmente numérico y que deberás conseguir de un dispositivo previamente asociado a tu cuenta por norma general un teléfono móvil. Hasta aquí el que es, ahora vamos a ver que necesitas exactamente para conseguir ese segundo código.

Casi seguro que tienes un teléfono móvil con sistema operativo Android o iOS, ¿no es así? Pues deberás descargarte alguna aplicación del tipo Google Authenticator, Microsoft Authenticator, DUO Security o alguna otra, nosotros preferimos la de Google ya que es multicuenta.

Con la aplicación una vez instalado vamos a acceder a nuestro correo de forma totalmente normal y desde allí vamos a buscar si existe la posibilidad de activar la autenticación en dos pasos, buscas en configuración, acceso a cuenta o similar. Actívala, posiblemente al activarle te muestre un código QRcode en pantalla, abre la aplicación en tu teléfono móvil y escanea dicho código, la cuenta de dicho servicio quedará configurada en tu teléfono móvil y verás que te muestra un número por norma general de 6 dígitos, esos dígitos serán los que te pida la próxima vez que accedas a ese servicio.

La mayoría de estas apps son multicuenta, es decir permiten disponer de tantos códigos para la securización en dos pasos como servicios necesitas.

En la pantalla de introducción de dicho código posiblemente te aparezca una casilla que podrás marcar para que no te vuelva a pedir el código en ese dispositivo.

Esta operación la deberás de realizar para cada dispositivo que tengas y uses para conectarse a esos servicios, es decir si tienes un portátil y un PC de sobremesa más una tablet y con todos ellos te conectas a un servicio que requiere o en el que hallas activado la autenticación en dos pasos deberás de introducir dicho código una vez en cada uno de ellos la primera vez que te intentes conectar tras la activación del sistema de autenticación en dos pasos.

Seguro que te habrás preguntado y que pasa si estoy sin cobertura o no tengo internet en el móvil porque estoy en el extranjero viajando, tranquilo, tranquila, no pasa nada, esta app no precisa de conexión a Internet digamos que genera un código cada ciertos segundos basándose en algún sistema de cálculo relacionado con el tiempo y no con conexión a internet.

Por el momento es uno de los sistemas más seguros. Eso sí, el problema es que si te roban el móvil tendrán acceso a tu “generador” de claves de autenticación en dos pasos, así que a lo mejor si eres un fanático de la seguridad lo mejor será que una vez configurado, la elimines de tu teléfono móvil, eso sí, si la vuelves a necesitar ¿Qué sucederá? pues, sorry, pero hasta ahí no he llegado, esto es tan sólo un artículo introductorio sobre dicho sistema de seguridad.