¿Qué es la autenticación de dos factores o A2F?
Cuando se trata de la seguridad en línea de tu organización, debes tomar todos los cuidados necesarios y más. El volumen y la sofisticación de las amenazas a la seguridad cibernética aumentan a un ritmo rápido, y Malwarebytes informa que los ataques a las empresas se intensificaron en un 13 % en 2019. Como resultado, muchas empresas están analizando sus prácticas actuales de seguridad informática desde una perspectiva crítica. Después de todo, se guarda una importante cantidad de información personal, financiera y confidencial en las cuentas en línea de tu negocio y las filtraciones de datos normalmente generan pérdidas de ganancias. Para la mayoría de las organizaciones, hay un único paso simple que puede ayudarlas a mejorar la disciplina de seguridad cibernética de sus empleados de forma general y es la autenticación de dos factores o A2F.
Explicación de la autenticación de dos factores
¿Qué es la autenticación de dos factores? La autenticación es el proceso de verificar la identidad de un usuario para establecer el acceso a un sistema informático o cuenta en línea. Existen tres "factores" principales para la autenticación: un factor de conocimiento (algo que conoces, por ej., una contraseña o un PIN), un factor de posesión (algo que tienes, por ej., un dispositivo móvil o una tarjeta de id.) y un factor de inherencia (algo que eres, por ej., una huella digital o tu voz). También hay "factores de ubicación" y "factores de tiempo", pero estos son mucho menos comunes. La autenticación de dos factores simplemente significa que tu sistema de seguridad usa dos de estos factores.
En otras palabras, la autenticación de dos factores es una segunda capa de seguridad, además de tu contraseña o tu número PIN. Si, luego de acceder con tu contraseña, alguna vez se te solicitó que ingresaras un código numérico que se te envió a tu dispositivo móvil para probar tu identidad, ya conoces la A2F. Sin embargo, recibir un código por mensaje de texto no es el único método de autenticación de dos factores. Existe una amplia gama de opciones, incluidas las aplicaciones de autenticación, las notificaciones push, los tokens de software, la autenticación por voz, etc. En la mayoría de los casos, no obstante, la capa extra de seguridad puede ser un código a través de un mensaje de texto SMS.
¿Qué es una aplicación de autenticación?
Si bien quizás conozcas la mayoría de los tipos de autenticación de dos factores, como los mensajes de texto, los mensajes por voz y las notificaciones push, es probable que no estés muy familiarizado con las aplicaciones de autenticación. En realidad, son relativamente simples. Entonces, ¿qué es una aplicación de autenticación? Básicamente, es una aplicación en tu celular que genera códigos de verificación digital que pueden usarse para verificar tu identidad cuando accedes a un sitio web o a una aplicación. Hay muchas aplicaciones de autenticación diferentes entre las cuales elegir, incluidas Google Authenticator App, Duo Mobile y Authenticator, y todas siguen básicamente el mismo procedimiento.
Generalmente, se considera que las aplicaciones de autenticación son una forma levemente más segura de A2F que recibir un código de acceso a través de un mensaje de texto SMS. Esto se debe a que, técnicamente hablando, los mensajes SMS no son algo que tienes, sino algo que envías. Por ello, existe una mínima posibilidad de que los piratas informáticos puedan engañar a tu operador para que porte tu número de celular a un dispositivo diferente (un tipo de fraude que se conoce como "SIM swap" [intercambio de SIM]). Si suponemos que ya tienen tu contraseña, esto les permitiría a los atacantes obtener acceso a tu cuenta. Por el contrario, los códigos de verificación para las aplicaciones de autenticación caducan muy rápidamente (normalmente después de 20 o 30 segundos) y el código permanece completamente dentro de la aplicación.
¿Cómo funciona la A2F? Una vez que has configurado la autenticación de dos factores en tu sistema, ya sea usando una aplicación de autenticación, notificaciones push o mensajes SMS, esta es relativamente simple de usar. Esta es una guía paso a paso para el proceso de A2F:
- Se le solicita al usuario acceder mediante el sitio web o la aplicación.
- El usuario ingresa su nombre de usuario y la contraseña, con lo que cumple el primer factor de seguridad.
- Después de que el sitio reconoce al usuario, se le solicita que inicie el segundo paso del proceso de acceso. En esta etapa, el usuario debe probar que tiene algo, como una tarjeta de identificación o un teléfono inteligente, para cumplir el segundo factor de seguridad, es decir, "posesión". En la mayoría de los casos, se les puede enviar a los usuarios un código de acceso de seguridad único que pueden usar para confirmar su identidad.
- Finalmente, el usuario ingresa la clave de seguridad y, después de que el sitio la haya autenticado, se le otorga acceso.
¿Por qué usar la autenticación de dos pasos?
Cuando se trata de la seguridad en línea, el factor de autenticación más común, sin lugar a dudas, es la combinación nombre de usuario/contraseña. Esto significa que la mayoría de los sistemas solo usan autenticación de un solo factor. A pesar de que las contraseñas han sido el estándar predilecto de la seguridad informática durante décadas, existen varias razones por las que finalmente quizás ya sea tiempo de dejar atrás las contraseñas para siempre. En principio, las contraseñas son relativamente fáciles de burlar. Los seres humanos tienden a tener mala memoria y, en muchos casos, las contraseñas que elegimos son absurdamente fáciles de adivinar, como "contraseña", "12345", "qwerty", etc.
También es importante recordar que las personas tienen más cuentas en línea que las que tenían cuando se introdujeron las contraseñas por primera vez, lo cual implica que por lo general deben recordar demasiadas contraseñas. Esto puede conducir a un "reciclaje de contraseñas", que sucede cuando la contraseña se usa para varias cuentas, lo cual les facilita a los piratas informáticos obtener acceso. Si a esto le agregas el aumento de los delitos cibernéticos y de las filtraciones de datos, como el robo de datos de Yahoo de 2013, en el cual se piratearon 3 mil millones de cuentas, es fácil ver por qué las contraseñas quizás ya no sean la forma más segura de protección.
En lugar de una A2F completa, algunos sitios web usan una pregunta de seguridad como segundo factor. Por ejemplo, se te puede solicitar que respondas una pregunta como "¿Cuál es el apellido de soltera de tu madre?" o "¿Cuál es el nombre de tu mascota de la infancia?". Sin embargo, también existe una amplia gama de debilidades en relación con esta práctica. Dado que hay tanta información personal disponible en la web, los piratas informáticos normalmente pueden adivinar las respuestas a estas preguntas relativamente básicas. Además, es importante observar que esta práctica no es A2F "real", ya que las preguntas de seguridad son simplemente un segundo factor de conocimiento. Básicamente estás respaldando una contraseña con otra contraseña. En este sentido, se asemeja mucho más a una verificación de dos pasos (2SV), que es una forma de autenticación que no requiere diferentes factores, sino varios pasos.
Resultado: las contraseñas son la forma más baja de seguridad, que es la razón por la cual la autenticación de dos factores se está convirtiendo cada vez más en el estándar de seguridad básico de las empresas.
Más allá de la autenticación de dos factores
Como puedes ver, los beneficios relacionados con la A2F son considerables. Pero la autenticación de dos factores no es el destino final de la seguridad informativa. Lejos de ello. Después de todo, la autenticación de dos factores no es infalible. Si un atacante quisiera obtener acceso a tus sistemas informáticos, una búsqueda física de tus instalaciones podría conducirlo a encontrar la id. de un empleado o un dispositivo de almacenamiento descartado que contenga contraseñas. Además, los piratas informáticos pueden interceptar los mensajes de texto a través de correos electrónicos de suplantación de identidad, lo cual podría permitirles evitar el segundo factor de autenticación. Finalmente, la A2F es solo tan fuerte como el elemento más débil del proceso de seguridad.
Entonces, ¿qué otras opciones hay? Bien, la A2F es simplemente un subconjunto de un concepto mucho mayor: la autenticación de varios factores (MFA). En teoría, podrías tener una autenticación de tres factores, cuatro factores, cinco factores y así hasta el infinito. Si bien es probable que los usuarios comunes nunca usen más que la autenticación de dos factores, a las personas que trabajan en entornos de alta seguridad se les puede solicitar usar algo como la autenticación de tres factores (A3F), que normalmente implica el uso de un factor de inherencia, como la huella digital o el escaneado del iris.
Asegurar tus archivos con la autenticación de dos factores
La importancia de asegurar los archivos y el contenido de tu negocio no puede sobreestimarse. Se estima que los daños de los delitos cibernéticos globales alcanzarán aproximadamente los $6 billones anuales para 2021. Los costos asociados con los delitos cibernéticos incluyen la destrucción y el uso incorrecto de los datos, el robo de dinero, las interrupciones posteriores al ataque, el robo de propiedad intelectual y la pérdida de productividad. Pero también debes pensar en los posibles gastos relacionados con la restauración de los datos y sistemas pirateados, la investigación forense y el daño de la reputación. A medida que las amenazas se vuelven más sofisticadas y el resto del mundo implementa la autenticación de dos factores como el estándar, los negocios que no arriesgan quedan vulnerables a los predadores piratas informáticos. Es como no usar el cinturón de seguridad porque el coche cuenta con airbags. Técnicamente, estás protegido, pero no de la mejor manera en la que podrías estarlo.
Cómo obtener la A2F con Dropbox
Queda claro que habilitar la autenticación de dos factores puede brindarle importantes beneficios a tu negocio, pero el proceso de implementar la A2F en toda tu empresa puede resultar un poco abrumador. Afortunadamente, no es necesario que sea muy difícil. Dropbox ofrece la autenticación de dos factores. Si habilitas la A2F, Dropbox necesitará que tú y tu equipo proporcionen una segunda forma de autenticación (por ej., un código de acceso o una clave de seguridad de seis dígitos) siempre que accedas a tu cuenta o vincules una nueva tableta, computadora o teléfono. Además, Dropbox ofrece diversas características de protección de contraseñas que pueden ayudarte a asegurar y controlar la información confidencial de tu negocio, al tiempo que puedes usar fechas de caducidad para los vínculos compartidos y para proteger con contraseña tus archivos PDF y tus carpetas.
Existen otras medidas de seguridad cibernética que puedes implementar con Dropbox para asegurar tus archivos aún más eficazmente. La seguridad en la nube de Dropbox es un complemento ideal para la autenticación de dos factores. En términos simples, la protección de datos en la nube es la prioridad principal de Dropbox. Con varias capas de protección en una infraestructura de nube distribuida, puedes garantizar que todos tus archivos en línea recibirán el mismo nivel de protección. Además, el almacenamiento en la nube de cifrado empresarial de Dropbox se puede usar para cumplir con la mayoría de los estándares regulatorios globales.
Ideas finales
La autenticación de dos factores ofrece una capa extra de seguridad para los archivos en línea de tu negocio y mantiene tus datos confidenciales protegidos de las posibles amenazas cibernéticas.