Seguridad

2FA o doble factor de autenticación. En qué consiste y por qué es importante usarlo

Toni Miquel

6 min read
2FA o doble factor de autenticación. En qué consiste y por qué es importante usarlo
Photo by Ed Hardie / Unsplash

Hace ya algún tiempo que es probable que hayamos oído hablar de 2FA, y como todo en los vastos mundos de Internet, o estás al día o te pierdes. 2FA es el acrónimo de "2-Factor Authenticación", o "doble factor de autenticación" y básicamente es, como su nombre indica, una segunda capa de autenticación. Es decir, además de la contraseña, necesitaremos de algo más.

Qué es eso de 2FA

Ahora que ya sabemos qué quiere decir 2FA, veamos un poco en qué consiste.

"Two-Factor Authentication" añade una capa adicional de seguridad a la hora de acceder a nuestra cuenta, por lo que si alguien consiguiera la contraseña de acceso (algo que debería ser difícil si hemos seguido unas buenas prácticas y usamos un gestor de contraseñas), sólo con eso no tendría suficiente; al introducirla se le requerirá de otro paso adicional para verificar que realmente somos quienes decimos ser.

Puede que de primeras parezca algo muy complejo, tedioso o incluso peligroso, pero en realidad "no es tan bravo el león como lo pintan", como suele decirse.

Cómo funciona

El funcionamiento dependerá de la implementación de cada servicio, porque sí, hay más de una forma de implementar 2FA, unas más seguras que otras, pero en resumidas cuentas no es más que una vez introducida la contraseña, realizar otra acción para comprobar nuestra identidad.

¿Passphrase o contraseña autogenerada?
Depende. Fin. Siempre me ha fascinado la cantidad de posts en diversos blogs con un artículo que se supone que es para decidir entre varias opciones, y que después de varios párrafos con poca o nula información, la conclusión es “depende”. Para evitar leer de más con la expectativa de
Toni Miquel - Second BrainToni Miquel

Un símil absurdo y sencillo (aunque a veces suelen ser los más efectivos) sería por ejemplo cuando tenemos que ir a recoger un paquete a correos: tenemos el número de seguimiento (contraseña, que puede haber sido sustraído de nuestro buzón, por ejemplo), pero generalmente suelen pedirnos además el DNI para asegurar que somos los auténticos propietarios de ese paquete (este sería el 2FA).

Qué opciones hay

Como hemos dicho, existen varias formas de implementar 2FA: la más extendida es proporcionar un OTP o Contraseña de un solo uso ("One-Time Password" por sus siglas en inglés), pero hay otras como usar "llaves físicas" (generalmente un USB) o mediante códigos de recuperación.

OTP

Esta es la forma más común de usar 2FA, y para generar esos códigos tenemos básicamente 3 opciones:

Correo electrónico

Esta es una de las opciones más sencillas y fáciles de adoptar por los usuarios, pero no la más recomendable (si consiguen tener acceso a nuestro mail, no hay nada que hacer). Consiste básicamente en que cuando intentamos acceder a una cuenta nos mandarán un código temporal que deberemos introducir para validar nuestra identidad.

SMS

Como el método anterior, recibiremos un código temporal, pero esta vez a nuestro móvil. Este puede ser, aparentemente, un poco más seguro que el anterior, ya que por norma general sólo nosotros tenemos acceso a nuestro propio móvil y no se puede acceder a él desde otro sitio como pasa con el mail (a menos que alguien haya podido hacer un duplicado de nuestra tarjeta, y no es tan difícil). La parte mala es que debemos dar nuestro número al servicio en cuestión donde queremos activar 2FA, y son relativamente pocos los que ofrecen esta opción.

Por qué deberíamos usar un gestor de contraseñas
En algún momento de nuestra vida nos plantearemos la pregunta de si vale la pena usar un gestor de contraseñas. Y tras esa pregunta, vendrán otras: ¿es seguro? ¿Qué pasa si pierdo mi contraseña maestra? ¿Si consiguen mi contraseña maestra, tendrán acceso a todas mis contraseñas? ¿La aplicación/servi…
Toni Miquel - Second BrainToni Miquel

Aplicaciones de autenticación

Esta es la opción más extendida y, de las relacionadas con OTP, de las más seguras. Para generar esos códigos se requiere de una aplicación adicional (hay varias) que generan de forma automática esos códigos, de una duración de 30 segundos en la mayoría de casos. Lo malo, que necesitamos otra aplicación (aunque hay gestores de contraseñas que ya te permiten implementar OTP, como Bitwarden), y eso a mucha gente le crea un pequeño colapso mental.

Llaves físicas

Yubikey

Los OTP son un buen sistema de seguridad, pero aun así tienen cierto riesgo (pueden ser interceptados en algún momento). Si queremos añadir más seguridad, podemos optar por las llaves físicas, que no es más que un USB (aunque también las hay Bluetooth o NFC) que necesitaremos introducir en el ordenador o móvil para verificar nuestra identidad.

Estas llaves, al ser físicas, a menos que nos la roben, son imposibles de interceptar o suplantar. Además, las hay que incluyen reconocimiento de huella dactilar, por lo que en este caso aunque la llave sea robada es totalmente inútil sin nuestra huella (obviaremos la parte de las películas que podría aplicar aquí).

Por tanto, para los servicios que ofrezcan esta opción, y si son servicios realmente críticos, es la mejor alternativa. La parte mala, mejor no perder esa llave.

Códigos de recuperación

Como último recurso (y como medida de seguridad), la práctica totalidad de servicios que ofrecen 2FA (sobre todo los basados en OTP) generan, al activarse, unos códigos de recuperación. Dichos códigos suelen ser de 1 solo uso, y deben ser utilizados únicamente en caso de que no sea posible entrar de otra forma a nuestra cuenta.

Por tanto, podemos decir que son una "segunda contraseña", pero la diferencia es que estos códigos no hay forma de recuperarlos si los perdemos (una vez generados no pueden ser consultados de nuevo), por lo que es una buena práctica tenerlos en un papel y bien guardados en algún lugar lo suficientemente seguro. Lo podemos tener en un fichero de texto (digital), pero también en un sitio seguro.

Por qué usarlo si ya tengo una buena contraseña

Bueno, este apartado será corto, pero conciso: porque en Internet, poca seguridad es poca.

Al igual que justificamos el por qué usar un gestor de contraseñas, añadir un extra de seguridad nunca está de más. Recordemos que cada vez hay más información nuestra en Internet, y cada vez su sensibilidad es mayor sin darnos cuenta.

Además, la mayoría de gestores de contraseñas permiten implementar 2FA, por lo que es una razón más que suficiente para implementarlo en el nuestro, a la par que nos proporciona una tranquilidad añadida, ya que en el supuesto caso que consigan nuestra contraseña maestra, no podrán acceder a nuestra bóveda.

Esto es demasiado peligroso

Warning text on a Container Vessel
Photo by Bernd Dittrich / Unsplash

No lo vamos a negar, activar 2FA en nuestras cuentas tiene cierto riesgo si no hacemos bien las cosas, por tanto, debemos saber bien lo que hacemos. Pero también os puedo decir que con una buena implementación y un buen sistema de copias de seguridad, podemos estar tranquilos. En breves haremos una entrada para ver cómo podemos implementar un "Kit de emergencia" para estos casos y veremos cómo uso personalmente el gestor de contraseñas.

Siempre podemos optar por empezar por aplicar 2FA con las formas más sencillas (mail o SMS) en aquellos servicios que lo ofrecen, y cuando nos sintamos seguros con ello pasar a las aplicaciones de generación de OTP. Lo de usar llaves es algo ya para cosas muy concretas, ya que seguramente habrá pocos servicios en nuestro día a día que lo soporten.