Autenticación en dos pasos (2FA): qué es y cómo se configura

2FA corresponde a las siglas en inglés de “Two Factor Authentication”. Este sistema de identificación permite acceder a las cuentas de Google, WhatsApp y otras redes sociales a través de dos métodos de verificación en lugar de uno, como la convencional clave personal. Es decir, agrega una capa de seguridad, añadiendo un paso al proceso de escribir el nombre de usuario y la contraseña del correo electrónico.

Puede resumirse en dos elementos:

• Algo que solo tú sabes, como una contraseña o código pin.
• Algo que solo tú tienes, el acceso a un dispositivo específico.

Al activar 2FA en tu perfil, después de introducir los caracteres de la contraseña, ocurrirá lo siguiente:

1. Recibirás un código único a tu email que funcionará temporalmente.
2. Verificación por SMS. No necesitas acceso a apps adicionales, solo debes registrar tu número de teléfono y vincularlo a tus cuentas online.
3. Preguntas de seguridad que han sido guardadas anteriormente. Recomendamos añadir respuestas únicas y datos que solo tú sabes.
4. Confirmar el acceso mediante otra app. Por ejemplo, JumpCloud, Microsoft Authenticator, Google Authenticator o cualquier tipo de token.
5. Métodos más innovadores. La biometría ha revolucionado la autenticación online, en especial a la hora de desbloquear la pantalla del móvil. Verificar tu identidad con el reconocimiento facial o la huella dactilar ya es una realidad.

De cualquier forma, solo tú podrás realizar este segundo paso porque significa que sabes la clave de acceso y has iniciado sesión en otra cuenta vinculada al proceso de verificación de la identidad. Recuerda que esta opción de doble seguridad está disponible para usuarios de Google, Twitter, Instagram, Microsoft, WhatsApp y productos de Apple.

Activar 2FA en tus cuentas online sirve para evitar que otras personas puedan acceder a tus perfiles. En ciberseguridad, repetimos con frecuencia la importancia de seleccionar contraseñas fuertes y que no incluyan información demasiado relacionada con uno mismo, pero la autentificación en dos pasos te protege de los contraseñas fuertespeligros de la ciberdelincuencia. Incluso si alguien roba tus credenciales, necesitará tener acceso a una app o cuenta vinculada a dicho perfil para confirmar.

Pongamos un ejemplo para explicarlo mejor. Alguien ha conseguido tu nombre de usuario de Twitter y sabe la contraseña. Sin embargo, después de introducir estos datos, se le solicita escribir un código que se ha enviado a un número de teléfono o correo electrónico vinculado con el perfil. Probablemente no pueda seguir con el inicio de sesión. Del mismo modo, puedes recibir notificaciones cada vez que un nuevo dispositivo intenta acceder a tu perfil en redes sociales, señalando incluso la hora y localización.

La verificación de dos pasos (2SV, en inglés) y la autenticación en dos pasos (2FA) son métodos complementarios. Por lo tanto, si tienes activado SV2 en tu cuenta, necesitarás configurar también 2FA.

• La verificación en dos pasos (2SV) añade una capa adicional de seguridad a la hora de iniciar sesión, pero ese segundo paso no requiere que habilites el acceso desde “algo que te pertenece solo a ti” (por ejemplo, una notificación en tu smartphone). En este caso, basta con usar claves de seguridad USB, dos claves personales o la combinación contraseña-pregunta de seguridad.
• El robo de perfiles online con 2FA activado es más difícil. El ciberdelincuente necesita robar tu contraseña y el dispositivo o acceso a la app de autenticación que está vinculada a dicha cuenta en línea. Tal y como hemos mencionado, es frecuente usar el teléfono móvil o un token físico. En definitiva, 2FA ofrece mayores beneficios.

Google, Windows, las redes sociales y otras plataformas online cuentan con la opción de activar la autenticación en dos pasos. A continuación, te explicamos cómo se configura de manera muy sencilla.

Las cuentas de Google denominan “Verificación en 2 pasos” a lo que en realidad son sus funciones 2FA. Para activarlo, sigue estas indicaciones:

1. Ve a inicio de sesión.
2. Selecciona Seguridad.
3. Ingresa la contraseña y un número de teléfono.

Con este método de configuración predeterminada, recibirás tus códigos de seguridad a través de mensajes de texto o de voz, recibirás una notificación de Google para proseguir con la verificación o usar la app de autenticación propia de Google. Las cuentas de Google funcionan con notificaciones de autenticación, en lugar de códigos alfanuméricos, por lo que desde el teléfono se puede pulsar el botón “Sí, permitir” en caso de iniciar sesión.

La activación de la autenticación en dos pasos en Windows 10 se hace a través de una cuenta de Microsoft. Para poder realizar el segundo paso de verificación que se te solicitará, se puede usar un correo electrónico, un número de teléfono o una app de autenticación diseñada por Microsoft.

Estos son los pasos a seguir para activar 2FA en Windows 10:

1. Inicia sesión en tu cuenta de Microsoft.
2. Accede a Conceptos básicos de seguridad.
3. Haz clic en Más opciones seguridad y, seguidamente, en Configurar la verificación en dos pasos.

Para habilitar 2FA en sistemas operativos de Apple, sigue estos pasos:

1. Accede a Preferencias del sistema desde el menú y selecciona tu ID de Apple.
2. Ve a Contraseña y Seguridad.
3. Selecciona Activar autenticación de dos factores.

Importante: En caso de utilizar macOS Mojave o una versión anterior, debes ir a Preferencias del sistema y seleccionar iCloud. Después, pulsar Detalles de la cuenta, Seguridad y Activar autenticación de dos pasos.

¿Eres usuario de iPhone, iPad o iPod? Recuerda que la configuración de la autenticación en dos pasos se hace de esta manera:

1. Ve a Configuración.
2. Selecciona tu nombre, contraseña y Seguridad.

Importante: Si utilizas una versión iOS 10.2 o anterior, una vez estés en Configuración, selecciona iCloud y tu ID de Apple. Finalmente, pulsa Activar autenticación en dos pasos.

En ambos casos, para finalizar el proceso se solicitará un número de teléfono al que se le enviarán mensajes de texto o llamadas con códigos de verificación. Asimismo, debes verificar el número de teléfono la primera vez, demostrando que realmente tienes acceso a este dispositivo.

Comencemos con las ventajas de habilitar 2FA en todas tus cuentas online:

• 

  Se añade una capa extra de seguridad, volviendo más difícil el robo de las credenciales y su posterior venta en mercados ilegales.
• 

  Es fácil de configurar y no requiere conocimientos técnicos específicos.
• 

  Está disponible en las plataformas y servicios online más populares: Amazon, Google, Microsoft…
• 

  Se envían notificaciones cada vez que un nuevo dispositivo quiere iniciar sesión en alguna de nuestras cuentas. Además, queda indicada la hora y localización.

También hay desventajas al emplear este método de verificación en tus perfiles:

• 

  Exige más tiempo para acceder a los perfiles online. No basta con escribir la contraseña y el nombre de usuario, es necesario añadir un código de seguridad o permitir el acceso desde otra app.
• 

  Hace falta tener acceso inmediato a un dispositivo móvil o el token físico. Por ejemplo, algunas apps de banca electrónica entregan un token físico a sus clientes, pero también es frecuente que sea necesario tener acceso a un smartphone y el código sea temporal.
• 

  Los expertos consideran que los mensajes de texto en 2FA son insuficientes, puesto que los hackers podrían vulnerar los datos aprovechándose de las fallas en el Sistema de Señalización (SS7) que emplean muchas empresas de telecomunicaciones.

¿Por qué no se recomienda la 2FA a través de SMS?

Para hablar de los problemas que puede causar la verificación mediante SMS y las posibles vulneraciones de las redes móviles, como el hackeo de dispositivos, nos gustaría destacar las declaraciones de Dmitry Kurbatov, investigador en Positive Technologies.

“Esta es una vulnerabilidad en las redes móviles, lo que en última instancia significa que es un problema que todos, especialmente los servicios que dependen de la red móvil para enviar códigos de seguridad”.

Esto quiere decir que un hacker podría vulnerar directamente la red de telefonía y robar tus datos personales, sin necesidad de contar con más información previa. Las compañías de telecomunicaciones no tienen acceso a los datos que viajan a través de su red, pero los ciberdelincuentes podrían atacar este servicio y vulnerar la propia red. De manera que podría usar los códigos 2FA que se envíen.

Incluso con las vulnerabilidades del 2FA por mensajes de texto, sigue siendo mejor que no habilitar ninguna protección digital extra a tus perfiles online. Sin embargo, para aquellos que están más concienciados con las amenazas en línea, existen otros métodos de autenticación más sofisticados, como Google Authenticator.

En caso de utilizar aplicaciones de terceros, asegúrate de que sean seguras y privadas para usarlas en Amazon, Dropbox, Facebook, PayPal, etc. Asimismo, los expertos en ciberseguridad también recomiendan registrar un número de teléfono que se use en exclusiva para este fin, la verificación 2FA. Esto puede hacerse mediante Google Voice. Por lo tanto, se evita usar claves de seguridad que requieran del envío de SMS.

Para llevar tu ciberseguridad al siguiente nivel, además de usar la autenticación en dos pasos (2FA), conéctate a internet con una Red Privada Virtual (VPN) y encripta tu tráfico online. NordVPN se encargará de envolver tus datos personales con capas de encriptación de última generación, lo que dificultará enormemente que los delincuentes accedan a tus contraseñas u otra información confidencial.