Como forma de concientizar a los usuarios, ESET Latinoamérica ha puesto a disposición de la comunidad una nueva Guía sobre Doble Autenticación. El objetivo de este post es tratar la temática y posteriormente dar a conocer este nuevo material educativo.
Conocida también como “verificación en dos pasos”, “aprobación de inicio de sesión”, entre otros, la doble autenticación en un sistema que permite mitigar el impacto de ataques cuyo objetivo es la obtención del nombre de usuario y contraseña de la víctima. Diversas amenazas como códigos maliciosos, phishing, fuerza bruta y vulneración a servidores intentar obtener las credenciales del usuario. Aunque una contraseña es más segura si la misma está compuesta por al menos diez caracteres alfanuméricos, la posibilidad que un atacante pueda obtenerla es alta si se considera que los códigos maliciosos roban directamente la información y en el phishing, es el propio usuario quien manipulado, entrega esos datos. Por último, la vulneración de un servidor escapa del perímetro de seguridad que un usuario pueda establecer, por lo mismo, en estos escenarios la complejidad de la clave no añade un nivel de seguridad adicional salvo en el caso de los ataques de fuerza bruta.
En esta línea, la doble autenticación mitiga considerablemente los ataques que se mencionaron en el párrafo anterior. En una cuenta que implementa esta tecnología, el usuario tendrá que ingresar no solo las credenciales de acceso (primer factor de autenticación), sino también un segundo factor que en la mayoría de los casos, es un código aleatorio válido por sesión y que la persona recibe en su teléfono inteligente o token de seguridad. La ventaja de este sistema radica en que si un cibercriminal logra obtener el nombre de usuario y contraseña, no podrá iniciar sesión en la cuenta de la víctima debido a que no dispondrá del segundo código o factor de comprobación. A diferencia del documento ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada, en donde se abarca este tema de forma profunda, la Guía de Doble Autenticación está enfocada para aquellos usuarios que sin poseer un nivel técnico, puedan concientizarse sobre la temática.
Cabe destacar que el crecimiento de empresas que han implementado sistemas de doble autenticación es una de las tendencias en Seguridad de la Información que se ha consolidado durante 2013. En conjunto con el lanzamiento de ESET Secure Authentication, solución destinada para empresas que desean implementar esta tecnología en redes VPN y servidores de correo electrónico corporativo, diversas compañías como Google, Apple, Facebook, Twitter, LinkedIn, Evernote, entre otras, ofrecen la posibilidad de activar la doble autenticación dentro de sus respectivos servicios. Pese a lo anterior, en la mayoría de los casos se trata de una opción que viene desactivada por defecto, por lo mismo, es el propio usuario quien tendrá que activar dicha opción para poder aprovechar el nivel de seguridad adicional que otorga la doble autenticación.
En la Guía de Doble Autenticación que está disponible tanto en el Centro de Amenazas como al final de este post, es posible consultar las instrucciones necesarias para activar esta tecnología en algunos de los servicios más populares de Internet:
André Goujon
Especialista de Awareness & Research
