Definición de Autenticación de dos factores (2FA)
La autenticación de dos factores (2FA) es un proceso de seguridad que solicita a los usuarios que proporcionen dos factores de autenticación diferentes antes de que puedan acceder a una aplicación o sistema, en lugar de que tan solo faciliten su nombre de usuario y contraseña.
La 2FA es una herramienta de seguridad vital para proteger a sus usuarios frente a un panorama de ciberseguridad en el cual cada día se producen mas ciberataques de índole sofisticada.
La 2FA hace exactamente lo que afirma, proporciona un proceso de autenticación de dos pasos que agrega otra capa de seguridad al sistema de defensa de la aplicación o sistema. El uso del doble factor de autenticación ayuda a prevenir ciberamenazas comunes, como ataques de suplantación de identidad, que permiten a los atacantes falsificar identidades después de robar las contraseñas de los usuarios.
¿Cuáles son los factores de autenticación?
Existen diversos tipos de factores de autenticación que pueden utilizarse para confirmar la identidad de una persona y aumentar la capa de seguridad. Entre los más comunes se incluyen los siguientes:
Un factor de conocimiento: Información que el usuario conoce; puede ser una contraseña, número de identificación personal (PIN) o código de acceso.
Un factor de posesión: Elemento que el usuario tiene o posee; puede ser su licencia de conducir, documento de identificación, dispositivo móvil o aplicación de autenticación en su teléfono inteligente.
Un factor de inherencia: Un atributo personal o algo que el usuario es; generalmente es alguna forma de factor biométrico. Pueden ser lectores de huellas dactilares, reconocimiento facial y de voz, así como biometría conductual, como dinámica de pulsación de teclas y reconocimiento de patrones de voz.
Un factor de ubicación: Generalmente se guía por la ubicación en la que un usuario intenta autenticar su identidad. Las organizaciones pueden limitar los intentos de autenticación a determinados dispositivos en ubicaciones específicas, según cómo y dónde los empleados hagan inicio de sesión en sus sistemas para aumentar la capa de seguridad.
Factor de tiempo: Este factor restringe las solicitudes de autenticación a momentos específicos en los que se permite a los usuarios iniciar sesión en un servicio. Todos los intentos de acceso fuera de ese tiempo serán bloqueados o restringidos.
¿Cómo funciona la autenticación de dos factores?
El proceso de autenticación de dos factores comienza cuando un usuario intenta iniciar sesión en una aplicación, servicio o sistema y finaliza cuando se le otorga acceso para usarlo. El proceso de autenticación ofrece este aspecto:
Paso 1: El usuario abre la aplicación o el sitio web del servicio o sistema al que desea acceder. Luego se le pide que inicie sesión con sus credenciales.
Paso 2: El usuario ingresa sus credenciales de inicio de sesión, que por regla general son su nombre de usuario y contraseña. La aplicación o sitio web confirma los detalles y reconoce que se han ingresado los detalles de autenticación inicial correctos.
Paso 3: Si la aplicación o sitio web no utilizan credenciales de inicio de sesión con contraseña, se generará una clave de seguridad para el usuario. La clave será procesada por la herramienta de autenticación y el servidor validará la solicitud inicial.
Paso 4: Luego se le solicita al usuario que envíe un segundo factor de autenticación. En general será el factor de posesión, algo que solo el usuario debe poseer. Por ejemplo, la aplicación o sitio web enviará un código único al dispositivo móvil facilitado por el usuario durante la activación del doble factor de autenticación (2FA).
Paso 5: El usuario ingresa el código en la aplicación o sitio web y, siendo el código aprobado, será autenticado y se le dará acceso al sistema.
Algunos tipos comunes de 2FA
Existen diversos tipos de 2FA que se pueden utilizar para confirmar aún más que un usuario es quien dice ser. Algunos de los ejemplos más simples son: responder preguntas de seguridad y proporcionar códigos únicos. Otros utilizan diversos tipos de tokens y aplicaciones para teléfonos inteligentes. Entre los tipos de 2FA comunes se incluyen los siguientes:
Tokens de hardware para 2FA
Los tokens de hardware son uno de los tipos originales de formatos de 2FA. En general son dispositivos pequeños que generan un código numérico único cada 30 segundos. Cuando un usuario envía su primera solicitud de autenticación, puede dirigirse al dispositivo y emitir el código que allí se muestra. Otras formas de tokens de hardware pueden ser dispositivos de bus serie universal (USB) que, cuando se insertan en una computadora, transfieren automáticamente un código de autenticación.
Un ejemplo de esto es YubiKey, que es la abreviatura de “clave omnipresente”, una clave de seguridad que permite a los usuarios agregar un segundo factor de autenticación a servicios como Amazon, Google, Microsoft y Salesforce. El dispositivo USB se utiliza cuando los usuarios inician sesión en un servicio que admite contraseñas de un solo uso (OTP), como GitHub, Gmail o WordPress. El usuario conecta YubiKey en su puerto USB, ingresa su contraseña, hace clic en el campo YubiKey y toca un botón en el dispositivo. Genera una OTP de 44 caracteres y la ingresa automáticamente en el dispositivo del usuario para verificarlo con un factor de 2FA de posesión.
En general los dispositivos de token de hardware son costosos de distribuir para las organizaciones. Además, los usuarios los pueden perder fácilmente y los piratas informáticos pueden descifrarlos, lo que los convierte en una opción de autenticación insegura.
2FA de mensaje de texto y SMS
Cuando un usuario intenta iniciar sesión en una aplicación o servicio, se generan factores de 2FA de mensaje corto (SMS) y de mensaje de texto. Se envía un mensaje SMS a su dispositivo móvil con un código único que el usuario luego ingresa en la aplicación o servicio. Este tipo de factor de 2FA lo utilizan los bancos y servicios financieros para verificar compras o cambios que los clientes realizan en sus cuentas de banca en línea. Sin embargo, en general están dejando de usar esta opción, dada la facilidad con la que se pueden interceptar los mensajes de texto.
De modo similar al factor de SMS, se usa la llamada de voz como 2FA. Cuando un usuario ingresa sus credenciales de inicio de sesión, recibirá una llamada a su dispositivo móvil que le indica el código de 2FA que debe ingresar. Este factor se utiliza con menos frecuencia, pero es implementado por organizaciones en países con bajos niveles de uso de teléfonos inteligentes.
Notificaciones push para 2FA
Un formato de autenticación de dos pasos sin contraseña de uso más común son las notificaciones push. En lugar de recibir un código en el dispositivo móvil por SMS o mensaje de voz, que puede ser pirateado, los usuarios pueden recibir una notificación push a una aplicación segura en el dispositivo registrado en el sistema de autenticación. La notificación informa al usuario de la acción que se ha solicitado y le alerta que se ha realizado un intento de autenticación. El usuario solo debe aprobar o rechazar la solicitud de acceso.
Este formato de autenticación crea una conexión entre la aplicación o servicio al que el usuario intenta acceder, el proveedor de servicios de 2FA, el propio usuario y su dispositivo. Es fácil de usar y reduce la posibilidad de riesgos de seguridad, como la suplantación de identidad, ataques de intermediarios (MITM), ingeniería social e intentos de acceso no autorizado.
Este formato de autenticación es más seguro que los SMS o las llamadas de voz, pero aún conlleva riesgos. Por ejemplo, es fácil que el usuario confirme accidentalmente una solicitud de autenticación hecha de manera fraudulenta al tocar rápidamente el botón de Aprobar cuando aparece la notificación push.
2FA para dispositivos móviles
Los teléfonos inteligentes ofrecen diversas posibilidades para 2FA, lo que permite usar la que más les convenga. Algunos dispositivos tienen la capacidad de reconocer huellas dactilares. Se puede utilizar una cámara incorporada para reconocimiento facial o escaneo del iris y se puede utilizar el micrófono para reconocimiento de voz. Como un factor adicional, los teléfonos inteligentes equipados con un sistema de posicionamiento global (GPS) pueden verificar la ubicación. Los mensajes de voz o SMS también pueden usarse como canal para la autenticación fuera de banda.
Se puede utilizar un número de teléfono de confianza para recibir códigos de verificación por mensaje de texto o llamada telefónica automatizada. El usuario tiene que verificar al menos un número de teléfono de confianza para darse de alta en 2FA. Apple iOS, Google Android y Windows 10 tienen aplicaciones que admiten 2FA, lo que permite que el teléfono en sí funcione como dispositivo físico para satisfacer el factor de posesión.
Las aplicaciones de autenticación reemplazan la necesidad de obtener un código de verificación por mensaje de texto, llamada de voz o correo electrónico. Por ejemplo, para acceder a un sitio web o servicio con 2FA activado, los usuarios escriben su nombre de usuario y contraseña, y luego, se solicita a los usuarios que ingresen un número de seis dígitos. En lugar de tener que esperar unos segundos para recibir un mensaje de texto, un autenticador genera el número. Estos números cambian cada 30 segundos y son diferentes para cada inicio de sesión. Al ingresar el número correcto, los usuarios completan el proceso de verificación y prueban la posesión del dispositivo correcto, un factor de propiedad. Ejemplos de aplicaciones para obtener el doble factor de autenticación (2FA) serian, para Android Aegis Authenticator y para iOS Tofu.
Autenticación multifactor frente a autenticación de dos factores (MFA frente a 2FA)
La 2FA es un subconjunto del concepto más amplio de autenticación multifactor (MFA). La MFA requiere que los usuarios verifiquen múltiples factores de autenticación antes de que se les otorgue acceso a un servicio. Es una pieza principal de cualquier solución de gestión de identidad y acceso (IAM) que reduce las posibilidades de una filtración de información o un ciberataque al proporcionar mayor certeza de que un usuario es quien dice ser.
La principal diferencia entre 2FA y MFA es que 2FA solo requiere una forma adicional de factor de autenticación. La MFA, por otro lado, puede incluir el uso de tantos factores de autenticación como la aplicación requiera antes de confirmar que el usuario es quien dice ser.
Esto se debe a que un atacante puede descifrar un factor de autenticación, como el documento de identificación o la contraseña de un usuario. Como resultado, se deben agregar más factores de autenticación que hagan más difícil la tarea del pirata informático. Por ejemplo, los entornos altamente seguros a menudo exigen procesos de MFA superiores que implican una combinación de factores físicos y de conocimiento junto con autenticación biométrica. También suelen considerar factores como la geolocalización, el dispositivo utilizado, el momento en que se accede al servicio y la verificación continua del comportamiento.
La clave con cualquier proceso de autenticación es encontrar un medio óptimo entre un sistema que los usuarios finales encuentren fácil de usar y que proporcione el nivel de seguridad que la empresa requiere para proteger sus datos y sistemas. Los usuarios no desean quedar limitados por una solución de autenticación lenta y poco confiable; es inevitable que busquen evadir procesos engorrosos que les impidan realizar el trabajo.
¿Es segura la 2FA?
Exigir múltiples factores de autenticación antes de otorgar a un usuario acceso a una aplicación o sitio web es inherentemente más seguro que depender únicamente de las combinaciones de nombre de usuario y contraseña. Por lo tanto, la 2FA es más segura que solo requerir que los usuarios ingresen una contraseña única. Con la misma lógica, la MFA también puede considerarse más segura que la 2FA, ya que permite a las organizaciones solicitar a los usuarios el envío de más factores de autenticación.
Sin embargo, existen fallas en los niveles de seguridad de la 2FA. Por ejemplo, el uso de tokens de hardware puede dejar vulnerable a una organización, en caso de que el fabricante del dispositivo sufra una falla de seguridad.
Otros factores de autenticación también tienen sus fallas. La 2FA de SMS es económica y fácil de usar, pero vulnerable a los ciberataques. El uso de SMS para la 2FA ha sido desalentado por el Instituto Nacional de Estándares y Tecnología (NIST), al afirmar que es vulnerable a diversos ataques de portabilidad y problemas de malware.
A pesar de esto, la mayoría de los ciberataques provienen de ubicaciones remotas, lo que hace que la 2FA sea una herramienta relativamente útil para proteger a las empresas. En general evita que los atacantes obtengan acceso a una aplicación o sistema con credenciales y contraseñas de usuario robadas. Además, es poco probable que un atacante pueda acceder al segundo elemento de autenticación del usuario, el particular cuando se trata de factores biométricos.
¿Qué significa 2FA?
2FA significa “autenticación de dos factores”, un proceso de seguridad que permite aumentar la seguridad de aplicaciones, sistemas y sitios web.
¿Qué significa “autenticación de dos factores”?
La autenticación de dos factores significa que un usuario debe enviar dos factores de autenticación para demostrar que es quien dice ser. Se utiliza cuando un usuario inicia sesión en una aplicación o sistema y agrega una capa adicional de seguridad en lugar de tan solo iniciar sesión con su nombre de usuario y contraseña, datos que pueden ser hackeados o robados fácilmente.
¿Se puede hackear la autenticación de dos factores?
Los procesos de autenticación de dos factores pueden ser hackeados. Las herramientas de 2FA, como los tokens de hardware, pueden verse comprometidas; y los mensajes SMS pueden ser interceptados por actores maliciosos. Sin embargo, la 2FA es un proceso de inicio de sesión más seguro que tan solo confiar en contraseñas.
¿Qué es la autenticación multifactor (MFA)?
La autenticación multifactor (MFA) es un proceso de seguridad que permite el uso de múltiples factores de autenticación para confirmar que un usuario es quien dice ser. La MFA implica el uso de más de un factor de autenticación para permitir que un usuario acceda a su cuenta.