##Algo que sabes y algo que tienes
Los sistemas de inicio de sesión que solo requieren un nombre de usuario y una contraseña pueden ser vulnerables a que otra persona obtenga (o adivine) esa información. Los servicios que ofrecen autenticación de dos factores también requieren que proporcione una confirmación por separado de que es quien dice ser. El segundo factor podría ser un código secreto único que se le envía por correo electrónico o mensaje de texto, un número generado por un programa que se ejecuta en un dispositivo móvil o un dispositivo separado, como un token de autenticación USB que lleva y que puede usar para confirmar quién es usted. Empresas como exchanges, bancos y los principales servicios de Internet como Google, PayPal y Twitter ahora ofrecen autenticación de dos factores.
Ese segundo factor puede tomar varias formas, incluyendo:
- Un código de verificación único que se le envía a través de un mensaje de texto SMS
- Una contraseña de un solo uso basada en el tiempo (TOTP) generada por una aplicación dedicada, como Google Authenticator y Authy
- Un código de copia de seguridad descargable, imprimible y en papel
- Un token de hardware, como un Yubikey
La autenticación de dos factores, o 2FA, es una forma de proteger tu cuenta en línea usando dos métodos de identificación diferentes. En lugar de depender solo de una contraseña, también necesitas proporcionar otra pieza de información para demostrar que realmente eres tú.
Imagina que estás retirando dinero de un cajero automático. Para hacerlo, necesitas tanto tu tarjeta bancaria (que posees) como tu PIN (que conoces). De esta manera, el banco se asegura de que solo tú puedas acceder a tu cuenta y retirar dinero.
Con la autenticación de dos factores en línea, es similar. Cuando activas 2FA en tus cuentas, además de tu contraseña, se te pedirá que proporciones otro elemento para verificar tu identidad. Este segundo factor podría ser algo que solo tú poseas, como un código enviado a tu teléfono móvil, un token de seguridad o una clave física. También podría ser algo que esté asociado directamente contigo, como tus huellas dactilares o tu rostro si usas el reconocimiento facial.
En resumen, la autenticación de dos factores aumenta la seguridad en línea al agregar una capa adicional de protección, lo que hace que sea mucho más difícil para los atacantes acceder a tus cuentas incluso si conocen tu contraseña. Es una medida de seguridad importante que cada vez más servicios en línea están adoptando para proteger a sus usuarios.
##Como funciona 2FA
Varios servicios en línea, como Facebook, Google y Twitter, ofrecen la opción de habilitar la autenticación de dos factores (2FA) en lugar de depender únicamente de contraseñas para proteger sus cuentas. Cuando activas esta función, se te pedirá proporcionar tanto tu contraseña habitual como un segundo método de autenticación.
El segundo método suele ser un código de un solo uso que se envía a tu teléfono móvil a través de un mensaje de texto (SMS) o que se genera mediante una aplicación móvil especializada (como Google Authenticator, Duo Mobile, la aplicación de Facebook o Clef). De esta manera, tu teléfono móvil se convierte en algo que tú posees y que se usa como el segundo factor para verificar tu identidad.
Además, algunos sitios web, incluido Google, también permiten generar códigos de copia de seguridad de un solo uso. Estos códigos se pueden descargar, imprimir en papel y guardar en un lugar seguro, como una medida de respaldo adicional en caso de que no puedas acceder a tu teléfono móvil.
Una vez que hayas configurado 2FA, cada vez que intentes iniciar sesión en tu cuenta, se te pedirá ingresar tu contraseña y el código único que proviene de tu teléfono móvil para poder acceder correctamente a tu cuenta. Esta medida de seguridad adicional ayuda a proteger tus cuentas en línea contra posibles intentos de acceso no autorizado.
##¿Por qué debo habilitar 2FA?
2FA le ofrece una mayor seguridad de cuenta al exigirle que autentique su identidad con más de un método. Esto significa que, aunque alguien consiguiera tu contraseña principal, no podría acceder a tu cuenta a menos que también tuviera tu teléfono móvil u otro medio secundario de autenticación.
##Desventajas de usar 2FA
Aunque 2FA ofrece un medio de autenticación más seguro, existe un mayor riesgo de que se le bloquee el acceso a su cuenta si, por ejemplo, extravía o pierde su teléfono, cambia su tarjeta SIM o viaja a un país sin activar el roaming.
Muchos servicios 2FA proporcionan una lista corta de códigos de "respaldo" o "recuperación" de un solo uso. Cada código funciona exactamente una vez para iniciar sesión en su cuenta y ya no se puede utilizar a partir de entonces. Si le preocupa perder el acceso a su teléfono u otro dispositivo de autenticación, imprima y lleve estos códigos con usted. Todavía funcionarán como "algo que tienes", siempre y cuando solo hagas una copia y la mantengas cerca. Recuerde mantener los códigos seguros y asegurarse de que nadie más los vea o tenga acceso a ellos en ningún momento. Si usa o pierde sus códigos de respaldo, puede generar una nueva lista la próxima vez que pueda iniciar sesión en su cuenta.
Otro problema con los sistemas 2FA que usan mensajes SMS es que los mensajes SMS no son tan seguros. Es posible que un atacante sofisticado que tenga acceso a la red telefónica (como una agencia de inteligencia o una operación de crimen organizado) intercepte y use los códigos que se envían por SMS. También ha habido casos en los que un atacante menos sofisticado (como un individuo) ha logrado desviar llamadas o mensajes de texto destinados a un número al suyo propio, o ha accedido a servicios de compañías telefónicas que muestran mensajes de texto enviados a un número de teléfono sin necesidad de tener el teléfono.
Si le preocupa este nivel de ataque , desactive la autenticación por SMS y use solo aplicaciones de autenticación como Google Authenticator o Authy. Desafortunadamente, esta opción no está disponible con todos los servicios habilitados para 2FA.
Además, usar 2FA significa que puede estar entregando más información a un servicio de la que se siente cómodo. Supongamos que usa Twitter y se registró con un seudónimo . Incluso si evita cuidadosamente dar a Twitter su información de identificación, e incluso si accede al servicio solo a través de Tor o una VPN , si habilita SMS 2FA, Twitter necesariamente tendrá un registro de su número de teléfono móvil. Eso significa que, si un tribunal lo obliga, Twitter puede vincular su cuenta a usted a través de su número de teléfono. Esto puede no ser un problema para usted, especialmente si ya usa su nombre legal en un servicio determinado, pero si es importante mantener su anonimato, piénselo dos veces antes de usar SMS 2FA.
Finalmente, la investigación ha demostrado que algunos usuarios elegirán contraseñas más débiles después de habilitar 2FA, sintiendo que el segundo factor es mantenerlos seguros. Asegúrese de elegir una contraseña segura incluso después de habilitar 2FA.
##Riesgos
Ha habido casos recientes en los que la autenticación de dos factores (2FA) fue comprometida. Por ejemplo, en agosto de 2019, la cuenta de Twitter, Jack Dorsey, fue pirateada a pesar de tener habilitado el 2FA. También, el intercambio de criptomonedas Binance sufrió un ataque en el que su sistema 2FA fue comprometido, lo que resultó en la pérdida de una gran cantidad de bitcoins.
Comprometer un sistema 2FA puede ser más fácil de lo que se piensa. Uno de los métodos utilizados, especialmente en Estados Unidos, es el intercambio de tarjetas SIM (SIM-Swap). Un atacante malicioso puede cambiar el número de teléfono móvil de la víctima a un nuevo teléfono, y luego todos los mensajes de texto, incluidos los de 2FA, se envían al nuevo teléfono, otorgando acceso al atacante.
También se han encontrado malware específicos que comprometen sistemas 2FA. Por ejemplo, el malware Cerberus, basado en Android, ha sido conocido por robar códigos 2FA utilizados por Google Authenticator. Otro malware llamado TrickBot evita las soluciones 2FA interceptando los códigos de un solo uso que envían las aplicaciones bancarias mediante SMS y notificaciones push.
Estos ejemplos demuestran que aunque el 2FA es una capa adicional de seguridad, no es infalible y debe combinarse con otras medidas de seguridad para proteger adecuadamente las cuentas y la información personal.) del director ejecutivo de Twitter, Jack Dorsey, fue pirateada a pesar de tener habilitado el 2FA. También, el intercambio de criptomonedas Binance sufrió un ataque en el que su sistema 2FA fue comprometido, lo que resultó en la pérdida de una gran cantidad de bitcoins.
Comprometer un sistema 2FA puede ser más fácil de lo que se piensa. Uno de los métodos utilizados, especialmente en Estados Unidos, es el intercambio de tarjetas SIM. Un atacante malicioso puede cambiar el número de teléfono móvil de la víctima a un nuevo teléfono, y luego todos los mensajes de texto, incluidos los de 2FA, se envían al nuevo teléfono, otorgando acceso al atacante.
También se han encontrado malware específicos que comprometen sistemas 2FA. Por ejemplo, el malware Cerberus, basado en Android, ha sido conocido por robar códigos 2FA utilizados por Google Authenticator. Otro malware llamado TrickBot evita las soluciones 2FA interceptando los códigos de un solo uso que envían las aplicaciones bancarias mediante SMS y notificaciones push.
Estos ejemplos demuestran que aunque el 2FA es una capa adicional de seguridad, no es infalible y debe combinarse con otras medidas de seguridad para proteger adecuadamente las cuentas y la información personal.
##¿Cómo habilito 2FA?
Esto difiere de una plataforma a otra, al igual que la terminología utilizada.
Una extensa lista de sitios que admiten 2FA
##¿Cuales usar?
##Recomendaciones
- En lugar de 2FA basado en SMS, use Authy o Aegis OTP para Android. - Google Authenticator generalmente ya no se recomienda para mantenerse fuera del ecosistema de Google.
- Authy ofrece opciones de recuperación de cuenta más sólidas.
- Aegis no ofrece el mismo nivel de opciones de recuperación de cuenta.
- Tenga en cuenta que los códigos generados por las aplicaciones 2FA son específicos del dispositivo.