Los expertos en seguridad de la informaci\u00f3n hace tiempo que coinciden en que las aplicaciones de autenticaci\u00f3n son el m\u00e9todo m\u00e1s fiable para la autenticaci\u00f3n en dos pasos con un c\u00f3digo de un solo uso. La mayor\u00eda de los servicios ofrecen este m\u00e9todo como un segundo nivel de protecci\u00f3n de la cuenta, mientras que, en algunos casos, este tipo de autenticaci\u00f3n es la \u00fanica opci\u00f3n disponible.<\/p>\n
La cuesti\u00f3n es que rara vez se debate por qu\u00e9 estos c\u00f3digos de un solo uso se consideran tan seguros, por lo que surgen preguntas sobre si realmente son una buena opci\u00f3n, cu\u00e1l es su nivel de fiabilidad, qu\u00e9 peligros vale la pena considerar y qu\u00e9 debes tener en cuenta a la hora de usar este m\u00e9todo de autenticaci\u00f3n en dos pasos. A continuaci\u00f3n, responderemos a todas estas preguntas.<\/p>\n
Como norma general, estas aplicaciones funcionan de la siguiente forma: el servicio en el que te est\u00e1s autentificando y el propio autenticador comparte un n\u00famero, una clave secreta oculta en el c\u00f3digo QR que utilizas para activar la autenticaci\u00f3n en este servicio mediante la aplicaci\u00f3n. El autenticador y el servicio usan el mismo algoritmo simult\u00e1neamente para generar un c\u00f3digo basado en esta clave y el momento actual.<\/p>\n
Cuando introduces el c\u00f3digo que ha generado la aplicaci\u00f3n, el servicio la compara con el que ha generado \u00e9l mismo. Si el c\u00f3digo coincide, todo est\u00e1 correcto, ya tienes el acceso a tu cuenta, de lo contrario, no podr\u00e1s acceder. Pero cuando conectas la aplicaci\u00f3n de autenticaci\u00f3n mediante un c\u00f3digo QR, se transfiere mucha informaci\u00f3n adem\u00e1s de la clave secreta entre la que se incluye el periodo de expiraci\u00f3n de los c\u00f3digos de un solo uso (normalmente de 30 segundos).<\/p>\n
La informaci\u00f3n m\u00e1s importante, la clave secreta, se transmite una \u00fanica vez, cuando el servicio se conecta con el autenticador, luego ambas partes la recuerdan. Es decir, con cada nuevo inicio de sesi\u00f3n a la cuenta, no se transmite ning\u00fan tipo de informaci\u00f3n desde el servicio a tu autenticador, por lo que no hay nada que interceptar. De hecho, las aplicaciones de autenticaci\u00f3n ni siquiera necesitan acceso a internet para ejecutar su funci\u00f3n principal. Todo lo que podr\u00eda conseguir un ciberdelincuente es el c\u00f3digo de un solo uso que genera el sistema para que puedas acceder y este c\u00f3digo solo dura medio minuto, aproximadamente.<\/p>\n
Ya debatimos con m\u00e1s detenimiento c\u00f3mo funcionan las aplicaciones de autenticaci\u00f3n en otra publicaci\u00f3n<\/a>. No dudes en leerla si quieres saberlo todo sobre los est\u00e1ndares de autenticaci\u00f3n, la informaci\u00f3n que contienen los c\u00f3digos QR para conectarse con las aplicaciones y los servicios que son incompatibles con los autenticadores m\u00e1s comunes.<\/p>\n En resumen, estas son las principales ventajas de la autenticaci\u00f3n con c\u00f3digo de un solo uso desde una aplicaci\u00f3n:<\/p>\n Como has podido comprobar, el sistema est\u00e1 muy bien pensado. Sus desarrolladores han trabajado para conseguir el m\u00e1ximo nivel de seguridad posible, pero ninguna soluci\u00f3n se puede considerar completamente segura. Por lo que, a\u00fan cuando usas la autenticaci\u00f3n con un c\u00f3digo generado por aplicaci\u00f3n, hay algunos riesgos y precauciones que debes considerar y de esto vamos a hablar a continuaci\u00f3n.<\/p>\n\n He mencionado anteriormente que los c\u00f3digos de un solo uso desde una aplicaci\u00f3n son una protecci\u00f3n fant\u00e1stica contra las filtraciones de contrase\u00f1as y lo cierto es que lo ser\u00edan en un mundo perfecto. Por desgracia, no es nuestro caso. Hay un matiz importante: lo normal es que los servicios no quieran perder sus usuarios por un detalle tan peque\u00f1o, aunque molesto, como la p\u00e9rdida del autenticador (que le puede pasar a cualquiera), por ello suelen ofrecer un m\u00e9todo alternativo para iniciar sesi\u00f3n en sus cuentas: enviando un c\u00f3digo de un solo uso o enlace de confirmaci\u00f3n a la direcci\u00f3n de correo electr\u00f3nico vinculada a la cuenta.<\/p>\n Por tanto, si hubiera una filtraci\u00f3n y los atacantes conocieran tanto la contrase\u00f1a como la direcci\u00f3n de correo electr\u00f3nico a la que est\u00e1 vinculada, podr\u00edan intentar usar este m\u00e9todo alternativo para iniciar sesi\u00f3n en tu cuenta. Y, si tu correo no est\u00e1 bien protegido, sobre todo si usas la misma contrase\u00f1a en \u00e9l y no tienes activada la autenticaci\u00f3n en dos pasos, es muy probable que los ciberdelincuentes puedan evitar la introducci\u00f3n de un c\u00f3digo de un solo uso de una aplicaci\u00f3n.<\/p>\n Qu\u00e9 merece la pena hacer:<\/p>\n Alguien podr\u00eda estar husmeando a tus espaldas cuando usas una aplicaci\u00f3n de autenticaci\u00f3n y ver el c\u00f3digo de un solo uso. Bueno, o no solo un c\u00f3digo, dado que a menudo los autenticadores muestran varios c\u00f3digos seguidos en pantalla. Por tanto, un intruso podr\u00eda iniciar sesi\u00f3n en cualquiera de tus cuentas si ha visto alguno de estos c\u00f3digos. Evidentemente, los ciberdelincuentes no tendr\u00edan mucho tiempo, pero es mejor no correr riesgos: 30 segundos podr\u00edan ser m\u00e1s que suficientes para un delincuente de dedos \u00e1giles\u2026<\/p>\n La situaci\u00f3n es mucho m\u00e1s peligrosa si alguien consigue hacerse con un smartphone desbloqueado con una aplicaci\u00f3n de autenticaci\u00f3n instalada. En este caso, cualquiera podr\u00eda aprovechar la oportunidad para iniciar sesi\u00f3n en tus cuentas sin prisas ni dificultades.<\/p>\n C\u00f3mo minimizar estos riesgos:<\/p>\n La mayor\u00eda de los sitios de phishing dise\u00f1ados para ataques masivos son bastante primitivos. Sus creadores generalmente se contentan con robar nombres de usuario y contrase\u00f1as y venderlos baratos al por mayor por la dark web. Por supuesto, la autenticaci\u00f3n en dos pasos es la protecci\u00f3n perfecta contra estos ciberdelincuentes: incluso aunque alguien obtuviera tus credenciales de inicio de sesi\u00f3n, son completamente in\u00fatiles sin el c\u00f3digo de un solo uso de una aplicaci\u00f3n.<\/p>\n No obstante, en los sitios phishing m\u00e1s cre\u00edbles dise\u00f1ados con especial cuidado, sobre todo aquellos dedicados a los ataques dirigidos, los ciberdelincuentes tambi\u00e9n imitan el mecanismo de verificaci\u00f3n de la autentificaci\u00f3n en dos pasos. En este caso, los atacantes no solo interceptar\u00e1n tu nombre de usuario y contrase\u00f1a, sino tambi\u00e9n el c\u00f3digo de un solo uso. Despu\u00e9s, podr\u00edan iniciar sesi\u00f3n en la cuenta real de la v\u00edctima, mientras el sitio de phishing puede estar mostrando un mensaje de error o sugiriendo que vuelva a intentarlo.<\/p>\n Por desgracia, a pesar de su simplicidad aparente, el phishing sigue siendo uno de los trucos m\u00e1s eficaces de los ciberdelincuentes. Puede resultar complicado protegerte contra las estafas m\u00e1s sofisticadas, por lo que te recomendamos que sigas estas recomendaciones generales:<\/p>\n Por decirlo suavemente, a la gente no le suele gustar pasar por todo el proceso de autenticaci\u00f3n. Despu\u00e9s de iniciar sesi\u00f3n, el servicio guarda una cookie<\/a> en tu ordenador, que contiene un n\u00famero secreto muy largo. Este archivo es lo que tu navegador presentar\u00e1 al servicio de autenticaci\u00f3n de ahora en adelante. Por tanto, si alguien consiguiera robar este archivo, podr\u00eda iniciar sesi\u00f3n en tu cuenta; sin necesidad de contrase\u00f1a o c\u00f3digo de un solo uso.<\/p>\n Estos archivos, junto con mucha m\u00e1s informaci\u00f3n como las contrase\u00f1as almacenadas en el navegador, claves de monederos de criptomonedas y otros bienes similares, pueden robarse con troyanos stealers<\/em><\/a>. Si, por desgracia, un stealer<\/em> infectara tu ordenador, hay muchas probabilidades de que tus cuentas acaben secuestradas, incluso aunque hayas seguido todas las precauciones.<\/p>\n Para evitar que esto suceda:<\/p>\n Tambi\u00e9n puedes perder el acceso a tus cuentas por usar una protecci\u00f3n demasiado fuerte. Imag\u00ednate que despu\u00e9s de haber prohibido el acceso a tus cuentas sin un c\u00f3digo de una aplicaci\u00f3n, perdieras de alguna forma el autenticador. En este caso, podr\u00edas perder tus cuentas y la informaci\u00f3n que contienen de forma permanente o, como m\u00ednimo, pasar un par de d\u00edas \u201cdivertidos\u201d de correspondencia con el soporte para poder recuperar el acceso<\/a>.<\/p>\n Lo cierto es que hay bastantes formas de perder tu autenticador, tu smartphone:<\/p>\n Todas estas situaciones son impredecibles, por lo que es mejor prepararse de antemano para evitar consecuencias desagradables:<\/p>\n En resumen, la autenticaci\u00f3n en dos pasos por s\u00ed misma reduce considerablemente el riesgo de que tus cuentas acaben secuestradas, pero no garantiza una seguridad completa. Por tanto, merece la pena tomar una serie de precauciones adicionales:<\/p>\n Te explicamos c\u00f3mo funciona la autenticaci\u00f3n en dos pasos con c\u00f3digos de un solo uso, cu\u00e1les son los beneficios y riesgos y qu\u00e9 m\u00e1s puedes hacer para proteger mejor tus cuentas.<\/p>\n","protected":false},"author":2726,"featured_media":28522,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,2019],"tags":[1396,3533,3520,3521,123,2679,176,43,2958],"class_list":{"0":"post-28521","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-technology","9":"tag-2fa","10":"tag-aplicaciones-de-autenticacion","11":"tag-autenticacion-en-dos-pasos","12":"tag-autenticadores","13":"tag-contrasenas","14":"tag-filtraciones","15":"tag-kaspersky-password-manager","16":"tag-phishing","17":"tag-stealers"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/authenticator-apps-and-security\/28521\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/authenticator-apps-and-security\/25345\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/authenticator-apps-and-security\/20786\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/authenticator-apps-and-security\/27957\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/authenticator-apps-and-security\/25638\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/authenticator-apps-and-security\/26070\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/authenticator-apps-and-security\/34781\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/authenticator-apps-and-security\/47426\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/authenticator-apps-and-security\/20291\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/authenticator-apps-and-security\/20916\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/authenticator-apps-and-security\/29890\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/authenticator-apps-and-security\/25948\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/authenticator-apps-and-security\/31660\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/authenticator-apps-and-security\/31367\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28521","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28521"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28521\/revisions"}],"predecessor-version":[{"id":28524,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28521\/revisions\/28524"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28522"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28521"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28521"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28521"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pero \u00bfes realmente segura la 2FA con un c\u00f3digo de un solo uso?<\/h2>\n
\n
Las filtraciones, el hackeo del correo electr\u00f3nico y las soluciones<\/h2>\n
\n
El acceso f\u00edsico y las miradas indiscretas<\/h2>\n
\n
Los sitios de phishing<\/h2>\n
\n
Los troyanos stealers<\/em><\/h2>\n
\nPor ello, los servicios intentan no molestar a sus usuarios innecesariamente; de hecho, en la mayor\u00eda de los casos, solo tienes que autenticarte por completo con contrase\u00f1a y c\u00f3digo de autenticaci\u00f3n cuando inicias sesi\u00f3n en tu cuenta en un dispositivo por primera vez; puede que tambi\u00e9n m\u00e1s adelante, si borras por accidente las cookies del navegador.<\/p>\n\n
Las copias de seguridad del autenticador<\/h2>\n
\n
\n
C\u00f3mo protegerte<\/strong><\/h2>\n
\n