Hace unos días, y tan sólo una semana después de presentar una nueva aplicación para iOS con nuevas opciones de búsqueda y capacidades para descubrir contenido de interés, Tumblr se veía obligada a lanzar una actualización de seguridad catalogada como “muy importante” y dirigida precisamente a los usuarios de teléfonos iPhone y tabletas iPad. No en vano, se había detectado un agujero que daba la bienvenida a potenciales ciberdelincuentes, permitiendo la vulneración de las credenciales de acceso a las cuentas de la red de microblogging “en determinadas circunstancias”. Aunque la compañía, ahora propiedad de Yahoo!, no ha querido dar más detalles de lo sucedido y se ha limitado a recomendar la instalación del parche y la modificación de las contraseñas, hay quien asegura que el problema se encontraba en la falta de cifrado y el envío de los datos de inicio de sesión en texto plano a través de redes abiertas por un error de programación.
El peligro de una contraseña débil
Una de las equivocaciones más generalizadas es utilizar la misma secuencia de letras y números para todos los servicios online en los que se está registrado, ya que una vez descubierta la clave para uno de ellos es posible provocar la caída de todos los demás como si de fichas de dominó se tratase. También es un desacierto común utilizar palabras fáciles de adivinar, bien por tratarse de términos simplones y profusamente usados, por seguir el orden numérico lógico o por estar fuertemente vinculados a la vida de sus propietarios, esto es, por corresponderse con una fecha clave, el nombre de un pariente o ser el mero reflejo de sus gustos y aficiones. Eso por no hablar de quienes no se cortan y apuntan su elección en algún documento o se las auto-envían por correo para tenerlas a mano en caso de que la memoria falle. O de los que no siguen la recomendación de modificar su colección de credenciales de vez en cuando.
Una, dos y hasta tres credenciales
De este modo, se le exige al internauta que proporcione algo que sabe o debería saber (su contraseña) y una pieza alternativa que tiene (el código que recibe en su dispositivo móvil y que acaba caducando con el tiempo), probando la veracidad de sus intenciones y minimizando los riesgos de suplantación de identidad. Y es que el password de toda la vida ya nunca más sería suficiente para ganar acceso a la información. Por si con dos acreditaciones no llegasen, también existen procedimientos que recurren a una tercera prueba para garantizar las conexiones: algo que los usuarios son y los diferencia del resto de la humanidad, como la huella digital, su voz o cualquier otro detalle biométrico que se pueda reconocer a través de un escáner.
De Google a LinkedIn
De hecho, esta capa de protección se está popularizando desde hace tan sólo unos meses en plataformas de correo electrónico y redes sociales, dos de los recursos cibernéticos más populares entre usuarios de todo el mundo. Uno de los primeros en implementarla, hace cosa de dos veranos, fue Google con el objetivo de fortalecer el acceso a los emails de Gmail, y a éste la siguió meses después Dropbox. Tras la polémica del borrado de la vida online de un periodista estadounidense a manos de los hackers, que eliminaron los datos contenidos en su iPhone, iPad y MacBook de forma remota , Apple ha aplicado la misma receta a iCloud. Y el tercer gigante por antonomasia, Microsoft, ha comprado PhoneFactor y ha asegurado las cuentas de Windows, Windows Phone, Office, Outlook.com, SkyDrive, Skype y Xbox con un autenticador que permite recibir códigos incluso sin conexión. Por su parte, Azure ha estrenado la Autenticación Activa que comprueba los inicios de sesión con una app móvil, una llamada telefónica o un SMS.
¿Qué dicen los más críticos?
La verificación en dos pasos se antoja una solución cómoda para los internautas y aparentemente segura para sus intereses, eso es cierto. Su existencia dificulta el acceso indeseado de terceros, pero no significa que las cuentas online que se sirven de ella estén completamente a salvo o se deban relajar las precauciones, y es justo por eso que tiene sus detractores. ¿En qué se basan las críticas en concreto? En primer lugar, en el hecho de que a pesar de la implementación de esta medida continúa existiendo la fatalidad del robo físico de dispositivos y la posibilidad de arrancar el sistema en modo seguro saltándose todas las barreras. O, aún más fácil, en que los datos quedan expuestos por la mala costumbre de no cerrar sesión justo al acabar de revisar el estado de una cuenta… desatando el debate de la dejadez de los usuarios una vez más.
Si todos estos escollos persisten, la verificación en dos pasos se entendería como una pieza más del puzzle de la seguridad, pero nunca como una solución definitiva que cortará de raíz los problemas “internetianos”. Es más, existe la impresión de que, a medida que se vaya estandarizando a lo largo y ancho de los principales servicios de Internet, se perfeccionarán también aquellas técnicas de ataque que tienen los sistemas de autenticación como objetivo primordial, poniendo en entredicho su aparente invulnerabilidad. ¿Cuál es vuestra opinión al respecto? ¿Cuál creéis que es el futuro de la verificación en dos pasos? Os escuchamos.
Por Anthony Cusimano, Director de Marketing Técnico en Object First.
Solo seis de cada diez organizaciones cuentan con soluciones tecnológicas de prevención del fraude en…
Los equipos de TI se benefician de la simplicidad de despliegue, gestión y la capacidad…
La marca Xerox será visible en el AMR24 en el Gran Premio de Las Vegas.
Yalo observa que la IA es una herramienta transformadora que está cambiando el juego para…
Más de 1 millón de dominios registrados podrían ser vulnerables diariamente