¿Qué es la verificación en dos pasos? ¿Dónde deberías usarla?

Habilitar la verificación en dos pasos hace que sea mucho más complicado para un atacante comprometer tus cuentas online, pero ¿qué es y cuándo deberías usarlo?

verificación en dos pasos

Hemos grabado podcasts al respecto. Lo hemos discutido detenidamente en varios screencasts (que por cortesía están integrados más abajo). Lo hemos mencionado de forma indirecta en incontables artículos. Pero nunca le hemos dedicado un artículo que de forma exclusiva explique lo que es este factor de la verificación en dos pasos, cómo funciona y dónde deberías usarlo.

¿Qué es la verificación en dos pasos?

La verificación en dos pasos es una función ofrecida por varios proveedores de servicios online. Dicha función añade una capa adicional de seguridad al proceso de acceso a la cuenta, al pedir al usuario que aporte dos formas de autentificarse. La primera – en general- es l contraseña. El segundo factor puede consistir en un sinfín de sistemas o procesos. Quizás la forma de autentificación más popular es a través de un código recibido por SMS o email. La teoría general detrás de la doble verificación es que, para poder acceder, tienes que saber algo y también poseer algo. De este modo, para poder entrar en la red virtual privada de tu compañía, podrías necesitar una contraseña y un pendrive.

La doble verificación no es la panacea para impedir el secuestro de cuentas, pero es una barrera formidable contra todo aquello que intente comprometer una cuenta que está protegida por este sistema.

La verificación en dos pasos no es la panacea para prevenir el secuestro de cuentas, pero es una barrera formidable para cualquier cosa que intente comprometer una cuenta protegida con este sistema. Todos sabemos que las contraseñas son muy deficientes: las débiles son fáciles de memorizar y de averiguar; las fuertes son difíciles de averiguar pero también de recordar. En consecuencia, las personas que ya son de por sí malas creando contraseñas, usan las mismas una y otra vez. La doble verificación por lo menos implica que un hacker tenga que descifrar tu clave y además tener acceso a tu segundo factor de autentificación, lo cual generalmente significaría robar tu teléfono móvil o comprometer tu cuenta de correo electrónico.

La costumbre de cambiar la contraseña, de moda tiempo atrás, no ha terminado de calar entre los usuarios. Por esto, un buen sistema de doble verificación es prácticamente la mejor protección que puedes tener. El segundo beneficio de los sistemas de doble verificación, sobre todo aquellos que implican recepción de códigos por email o SMS, es que te hacen saber cuándo alguien ha adivinado tu clave. Como ya he dicho mil veces, si recibes una clave de doble autentificación en tu dispositivo móvil o en tu cuenta de correo electrónico y no estabas intentando acceder a la cuenta asociada, suele ser una señal obvia de que alguien ha adivinado tu clave y está intentando entrar en tu cuenta. Si esto ocurriera, cambia tu clave.

¿Con que criterios debo activar la verificación en dos pasos?

El criterio más sencillo para decidir dónde y cuándo activar la doble verificación es: si el servicio en cuestión lo ofrece y consideras que la cuenta tiene valor, actívalo. Entonces, ¿Pinterest? No lo sé. Tal vez. Si tuviera una cuenta de Pinterest probablemente no estaría dispuesto a afrontar el engorro de insertar dos verificadores cada vez que me quiera conectar.
Sin embargo, tu banca electrónica, tus cuentas de correo electrónico primarias y secundarias ( sobre todo en el caso de una dirección de correo electrónico dedicada para la recuperación de cuentas), tus redes sociales de valor (Facebook y Twitter tal vez), y sin duda tu AppleID o iCloud o sea cual sea la cuenta que controla tu dispositivo Android, en caso de tenerlo, deberían estar todos protegidos por un segundo factor de verificación.

Échale un vistazo a este vídeo donde se muestra cómo establecer el sistema de doble verificación para iCloud.

Obviamente también debes considerar ese segundo factor para cualquier cuenta de ámbito profesional. Si gestionas páginas web, deberías plantearte proteger tu cuenta en tu servidor de registro, sea WordPress o GoDaddy o NameCheap o cualquier otro, con la verificación en dos pasos. Recomendamos asimismo activarla para cualquier cuenta que lleve asociada datos de tarjetas de crédito o débito: PayPal , eBay, eTrade y demás. Nuevamente, tu decisión para activar, o no, la doble verificación debe basarse en cuantificar las consecuencias por perder el acceso a una cuenta que ofrece este servicio.


Este video muestra cómo activar la doble verificación en Facebook

¿Hay otras alternativas a la verificación en dos pasos?

Hasta ahora hemos hablado de la doble verificación como una clave enviada a tu dispositivo móvil o cuenta de correo electrónico y como un pendrive, frecuentemente utilizado para accesos a una RPV en conjunto con una clave.

También hay generadores de códigos, como SecurID de RSA, que normalmente se usan en contextos corporativos. Hasta ahora, éstas son los sistemas principales de verificación en dos pasos. Sin embargo, también hay otros.

Los números de autentificación para transacciones (TAN) son una forma un tanto anticuada de verificación en dos pasos. Fueron populares en Europa y nunca llegue a utilizar uno, pero tengo entendido que tu banco te enviaba un listado de TAN (en papel) y cada vez que realizabas una transacción online debías introducir una de esas TAN para verificar la transacción. Los cajeros automáticos son otro ejemplo clásico para verificación por dos factores. Lo que conoces es el PIN, lo que posees es la tarjeta correspondiente.

Del papel al futuro, ha habido mucho revuelo durante los últimos años sobre la verificación en dos pasos biométrica. Algunos sistemas requieren de una clave y una huella dactilar, un escaneado del iris, el reconocimiento del latido del corazón u otra medida biológica.
Los dispositivos vestibles también están ganando importancia. Algunos sistemas requieren llevar una pulsera u otro accesorio con un tipo de chip emisor de radiofrecuencia incrustado. He leído informes sobre investigaciones sobre tatuajes electromagnéticos que podrían ser utilizados como un segundo factor de verificación.

Tanto Google como Facebook disponen de generadores de códigos portátiles, que permiten al usuario crear su propia clave de un solo uso en vez de tener que usar un código recibido por SMS o email.

 
Este video muestra cómo activar la doble verificación en Gmail

Consejos