¿Qué es la doble autenticación o 2FA?

No dejes tu seguridad al azar: aumenta la protección de tu empresa con la doble autenticación.

Una persona usando su teléfono para completar la doble autenticación

¿Qué es la doble autenticación o 2FA?

En lo que respecta a la seguridad online de tu organización, nunca se es demasiado precavido. El volumen y la sofisticación de las amenazas de ciberseguridad está creciendo rápidamente. Malwarebytes ha informado que los ataques a empresas aumentaron un 13 % en 2019. Como resultado, muchas empresas están revisando con ojo crítico sus prácticas actuales de infoseguridad. Después de todo, una gran cantidad de información personal, financiera y confidencial se guarda en tus cuentas profesionales en línea, y se suelen filtrar datos con frecuencia dando como resultado una pérdida de ingresos. Para la mayoría de las organizaciones, hay un paso único y sencillo que puede ayudar a mejorar la disciplina de ciberseguridad de sus empleados de forma masiva: la doble autenticación o 2FA.

La doble autenticación, a examen

¿Qué es la doble autenticación? La autenticación es el proceso de verificación de la identidad de un usuario para poder establecer acceso al sistema de un ordenador o a una cuenta en línea. Hay tres factores principales para la autenticación: un factor de conocimiento (algo que sabes, p. ej., una contraseña o un PIN); un factor que poseas (algo que tengas, p. ej., un dispositivo móvil o una tarjeta de identificación); y un factor de inherencia (algo que eres, p. ej., una huella dactilar o tu voz). También hay factores de ubicación y factores de tiempo, pero son menos comunes. La doble autenticación solo significa que tu sistema de seguridad usa dos de estos factores.

En otras palabras, la doble autenticación es una segunda capa de seguridad sobre tu contraseña o número de PIN. Si tras iniciar sesión con tu contraseña se te ha pedido introducir un código numérico que te han enviado a tu dispositivo móvil para demostrar tu identidad, ya conoces la 2FA. Sin embargo, obtener el código a través de un mensaje de texto no es el único método de doble autenticación que existe. Existe una gran variedad de opciones, incluidas las aplicaciones de autenticación, las notificaciones push o entrantes, los tokens de software, la autenticación basada en voz y muchas más. Sin embargo, en la mayoría de los casos, la capa adicional de seguridad será probablemente un mensaje SMS con un código.

¿Qué es una aplicación de autenticación?

Aunque seguramente estés familiarizado con la mayoría de tipos de doble autenticación, como los mensajes de texto, mensajes basados en voz y notificaciones push o entrantes; seguramente no conozcas tan bien las aplicaciones de autenticación. Lo cierto es que son relativamente sencillas. Así que, ¿qué es una aplicación de autenticación? Básicamente, se trata de una aplicación de tu teléfono que genera códigos de verificación digitales susceptibles de usarse para verificar tu identidad cuando inicies sesión en una web o aplicación. Hay muchas aplicaciones de autenticación entre las que elegir, incluidas la aplicación Google Authenticator, Duo Mobile y Authenticator. A grandes rasgos, suelen seguir el mismo procedimiento.

Se considera que las aplicaciones de autenticación son una forma ligeramente más segura de doble autenticación que la que consiste en recibir un código de acceso por mensaje de texto SMS. Esto se debe a que, en términos técnicos, los SMS no son algo que se tiene, sino algo que se envía. Como tal, hay una pequeña posibilidad de que los hackers puedan engañar a tu proveedor de telefonía para que realicen la portabilidad de tu número de teléfono a un dispositivo diferente. A este tipo de fraude se le conoce como "SIM swap" o suplantación de SIM. Si asumimos que ya tienen tu contraseña, esto permitiría a un atacante ganar acceso a tu cuenta. Por contraste, los códigos de verificación para las aplicaciones de autenticación expiran muy rápido (generalmente, a los 20 o 30 segundos), y este código no sale de la aplicación.

¿Cómo funciona la 2FA o doble autenticación? Una vez que configuras la doble autenticación en tu sistema —ya utilices una aplicación de autenticación, notificaciones push o entrantes o mensajes SMS—, usarla es relativamente sencillo. A continuación te contamos paso a paso cómo es el proceso de la 2FA:

  1. Al usuario se le pide iniciar sesión en la web o aplicación.
  2. Este introduce su nombre de usuario y contraseña, rellenando el primer factor de seguridad.
  3. Una vez que el sitio reconoce al usuario, se le pedirá iniciar el segundo paso del proceso de inicio de sesión. En este punto, el usuario debe demostrar que tiene algo, como una tarjeta de identificación o un teléfono, rellenando el segundo factor de seguridad, p. ej., "posesión". En muchos casos, a los usuarios se les enviará un código de acceso de seguridad de un solo uso para confirmar su identidad.
  4. Por último, el usuario introduce la clave de seguridad y, una vez que la web le ha autenticado, se les concede acceso.

¿Por qué usar la doble autenticación?

En lo que respecta a la seguridad online, el factor de autenticación más común, de lejos, es la combinación de nombre de usuario y contraseña. Esto significa que la mayoría de sistemas solo usan una autenticación de un solo factor. Aunque las contraseñas han sido el referente de infoseguridad durante décadas, hay diferentes razones por las que puede que haya llegado el momento de dejarlas atrás. Para empezar, las contraseñas son relativamente fáciles de adivinar. Los humanos tendemos a tener mala memoria y, en muchos casos, las contraseñas que elegimos son muy fáciles de suponer, llegando a un punto cómico: "contraseña", "12345", "qwerty" y casos similares.

También es importante recordar que la gente tiene más cuentas en línea de las que tenían cuando se presentaron las contraseñas como medida de seguridad, lo cual se traduce en que a menudo sentimos que tenemos que recordar demasiadas. Esto puede llevarnos al "reciclaje de contraseñas", es decir, a usar la misma contraseña para diferentes cuentas, lo cual puede ponerle las cosas fáciles a los hackers a la hora de conseguir acceso. Si tenemos en cuenta el aumento del cibercrimen y la filtración de los datos, como en el caso de Yahoo en 2013, a quién robaron información de 3 mil millones de cuentas que fueron pirateadas, es fácil comprobar por qué las contraseñas pueden haber dejado de ser la forma más segura de protección.

En vez de usar una 2FA plenamente desarrollada, algunas web usan una pregunta de seguridad como una especie de segundo factor. Por ejemplo, puede ser que se te pida responder a una pregunta como "¿Cuál es el segundo apellido de tu madre?" o "¿Cómo se llamaba la mascota que tenías de pequeño?". Sin embargo, hay una gran variedad de vulnerabilidades asociadas a esta práctica. Con tanta abundancia de información personal disponible en la web, a menudo los hackers pueden averiguar las respuestas a estas preguntas, que son relativamente fáciles. Y lo que es más, es importante indicar que esta práctica no es una 2FA "real", ya que las preguntas de seguridad son sencillamente un segundo factor de conocimiento. Básicamente estás respaldando una contraseña con otra contraseña. En ese sentido, está más cerca de la verificación en dos pasos (2SV, por sus siglas en inglés), una forma de autenticación que no exige diferentes factores, solo varios pasos.

Conclusión: las contraseñas son la forma más baja de seguridad y, por ese motivo, la doble autenticación está convirtiéndose, cada vez más, en un estándar de seguridad para las empresas.

Más allá de la doble autenticación

Como puedes ver, las ventajas asociadas con la 2FA son significativas. Pero la doble autenticación no es el destino final para la infoseguridad. De hecho, está lejos de serlo. Después de todo, la doble autenticación no es infalible. Si un atacante quisiera ganar acceso a los sistemas de tu ordenador, una búsqueda física de tus premisas podría llevarle a encontrar un identificador de empleado o un dispositivo de almacenamiento descartado que contenga contraseñas. Y lo que es más, los hackers pueden interceptar mensajes de texto a través de correos de phishing, lo cual les habilita potencialmente para evitar el segundo factor de autenticación. Básicamente, la 2FA es tan fuerte como el elemento más débil del proceso de seguridad.

Así que, ¿qué otras opciones hay? La 2FA es sencillamente un subconjunto de un concepto mucho más amplio: la autenticación multifactor (MFA, por sus siglas en inglés). Teóricamente, podrías tener una triple autenticación, cuádruple autenticación, quíntuple autenticación y así hasta el infinito. Mientras que los usuarios normales seguramente no utilicen nada que vaya más allá de la doble autenticación, a la gente que trabaja en entornos de alta seguridad puede exigírsele usar algo como la triple autenticación (3FA), que generalmente implica el uso de un factor de inherencia, como una huella dactilar o el escáner del iris.

Proteger tus archivos con la doble autenticación

La importancia de proteger los archivos y contenido de tu empresa nunca se sobreestima. Los daños que causa el cibercrimen a nivel global han alcanzado alrededor de 6 billones de dólares en 2021, según las estimaciones. Los costes asociados al cibercrimen incluyen la destrucción o mal uso de los datos, dinero robado, disrrupciones posteriores al ataque, robo de propiedad intelectual y pérdida de productividad. Pero también tienes que pensar en los gastos potenciales asociados con la restauración de los datos y sistemas pirateados, la investigación forense y el daño reputacional. A medida que las amenazas se vuelven cada vez más sofisticadas y el resto del mundo implementa la doble autenticación como estándar, las empresas no se arriesgan a ponerse en una situación vulnerable frente a los piratas. Sería como no llevar cinturón porque el coche ya tiene airbags. Técnicamente estás protegido, pero no todo lo portegido que podrías estar.

Cómo conseguir la 2FA con Dropbox

Está claro que habilitar la autenticación de dos factores puede tener ventajas importantes para tu empresa, pero el proceso de implementar la 2FA en toda la empresa puede ser un poco abrumador. Por suerte, no tiene por qué ser tan difícil. Dropbox ofrece doble autenticación. Si activas la 2FA, Dropbox te exigirá a ti y a tu equipo ofrecer una segunda forma de identificación (p. ej., un código de acceso de seis dígitos o clave de seguridad) cada vez que inicies sesión en tu cuenta o vincules una nueva tablet, ordenador o teléfono. Además, Dropbox ofrece numerosas funciones de protección de contraseñas que pueden ayudarte a proteger y controlar la información confidencial de tu empresa, al tiempo que las fechas de caducidad para los enlaces compartidos y contraseñas protegen tus PDF y carpetas.

Hay otras medidas de ciberseguridad que puedes implementar con Dropbox para proteger tus archivos incluso de forma más efectiva. La  seguridad en la nube es un complemento ideal para la doble autenticación. En pocas palabras, la protección de los datos en la nube es la máxima prioridad de Dropbox. Con varias capas de protección en la infraestructura distribuida en la nube, puedes asegurarte de que a todos tus archivos en línea se les asigna el mismo nivel de protección. Además, el almacenamiento en la nube cifrado de nivel empresarial que ofrece Dropbox puede usarse para cumplir con la mayoría de estándares normativos a nivel internacional.

Conclusiones

La doble autenticación ofrece una capa de seguridad adicional para los archivos en línea de tu empresa, lo cual mantiene tus datos confidenciales escudados frente a ciberamenazas potenciales.