La autenticación de dos factores (2FA) o en dos pasos es la manera sencilla de verificar la identidad de los usuarios para permitirles acceso a cuentas y plataformas, en tanto que se establece una capa adicional de seguridad para los clientes y para las empresas.
Controlar la identidad y el acceso a los datos e información que residen en los sistemas informáticos, redes y nube, constituye el verdadero reto para los administradores de IT.
Así que 2FA se inserta en un marco amplio de soluciones para la gestión de identidades (IAM, por sus siglas en inglés) mediante la cual se asignan derechos y privilegios de acceso (o identidades digitales y métodos de autorización) para los usuarios.
¿Qué es la autenticación de dos factores?
También llamada autenticación de doble factor es un protocolo de seguridad en el que los usuarios deben proporcionar dos formas de identificación diferentes para obtener acceso a una cuenta, un servicio, una red o un dispositivo informático.
Partimos de una base de entendimiento donde diferenciamos la identificación (acto que permite la validación de identidad de manera única para un usuario), de la autenticación (acto que permite probar que el usuario es quien dice ser).
Factores de autenticación en seguridad
Son varios los factores de autenticación que se pueden utilizar cuando se trata de confirmar la identidad de una persona, aumentando progresivamente la capa de seguridad. Entre los más comunes están los siguientes:
De conocimiento: que es la información que el usuario conoce, como contraseñas, número de identificación personal (PIN) o código de acceso.
De posesión: esto es un elemento que el usuario tiene, como su documento de identificación o una aplicación de autenticación en su smartphone.
De inherencia: aquí se trata de algo que el usuario es, atributos personales; como es el caso de los elementos biométricos (huellas dactilares o reconocimiento facial, entre otros).
A los anteriores se agregan los factores de ubicación y los factores de tiempo. Para los primeros, se definen criterios específicos de ubicaciones para los dispositivos en los que los usuarios o empleados intentan la autenticación. En el caso de los segundos, se establece una ventana de tiempo en la que se permiten los accesos a servicios o redes; fuera de ese tiempo todos los intentos son bloqueados o restringidos.
Factores clave en la autenticación
Los factores clave de autenticación son aquellos necesarios para obtener acceso a una cuenta. El primer factor de identificación requerido está bastante estandarizado: nombre de usuario y/o contraseña. Con el uso de 2FA, se requiere de un segundo factor de identificación para validar la identidad del usuario.
Los 3 principales tipos de autenticación, que se pueden combinar de distintas maneras, se basan en lo que el usuario sabe, lo que el usuario tiene y lo que el usuario es.
Diferencias entre 2FA y MFA
La 2FA forma parte de un esquema más amplio denominado autenticación de múltiple factor (MFA, por sus siglas en inglés) o autenticación multifactorial.
El número de factores de autenticación necesarios constituye la primera diferencia entre MFA y 2FA. En una comprobación 2FA se trabaja con dos factores, mientras que en MFA se incluyen más de tres en adelante.
Organizaciones y plataformas de todo tipo, incluidas las altamente sensibles a la seguridad, pueden establecer como estándar el uso de la autenticación multifactorial para los empleados.
Además, es donde resulta distintiva la implementación de MFA. Para las personas en lo individual, la 2FA garantiza un buen nivel de seguridad que abarca su navegación, aplicaciones y cuentas en línea. 2FA puede ser incorporado en una aplicación web o incluso en una red interna;
Los errores humanos resultan insignificantes en los sistemas con MFA, sin embargo, para 2FA las distracciones y equivocaciones de los usuarios pueden provocar complicaciones.
Comprender la 2FA y la autenticación multifactor
Desde las empresas más sencillas hasta los corporativos más complejos, hay una constante, que es proteger el acceso a los sistemas y servicios de red. El grado de complejidad es variable y de acuerdo con ello es que se puede elegir la autenticación 2FA o bien, multifactorial.
Así que un negocio modesto, tal vez con un solo equipo de cómputo personal, se beneficia de una autenticación simple: usuario, contraseña y una contraseña de un solo uso (OTP, por sus siglas en inglés). Mientras que en una organización compleja la autenticación MFA es la elección habitual como método de comprobación, ya sea en los servicios cloud, en las plataformas de comercio electrónico o la banca en línea.
Con MFA, al interior de las organizaciones se alcanza una protección amplia con múltiples capas de seguridad; hay una disminución de costos asociados a la recuperación por ciberataques, debido a que éstos decrecen. Además, se facilita la implementación e integración con diversas plataformas tecnológicas y se diversifican los medios seguros para el acceso remoto.
Existe un método que forma parte de las opciones MFA, para el inicio de sesión inteligente, o inicio de sesión con tarjeta inteligente, que es una tarjeta física con microchip integrado, que contiene claves criptográficas con la información confidencial necesaria para identificar al usuario.
¿Cómo es el proceso de funcionamiento para la 2FA?
Para llevar a cabo una autenticación con dos factores, hay que hacer uso de dos métodos no relacionados.
El primer método resulta muy familiar, porque lo empleamos prácticamente a diario, es un método de inicio de sesión o de acceso. Requiere del nombre de usuario y de una contraseña —o bien, un correo y una contraseña—; otra variante es una contraseña y una pregunta de seguridad.
El segundo método, que va a permitir la autenticación, requiere de verificación relacionada con algo en posesión del usuario, como puede ser su teléfono, o bien una característica intrínseca del usuario, como es el caso de un rasgo biométrico, además de su nombre de usuario y contraseña normales.
Entonces ¿cómo se relaciona esto con lo que se explicó antes? Pues bien, son 3 los factores principales que sustentan la manera en que funciona 2FA: algo que se sabe (una contraseña), algo que se tiene (una tarjeta bancaria) y algo que se es (la identificación facial). La autenticación necesita dos de estos tres factores.
Lo que el usuario sabe constituye el factor de conocimiento. No es posible que físicamente lo pierda, pero si puede ser copiado, como un código PIN.
Lo que el usuario tiene representa el factor de posesión. No se puede copiar o duplicar, pero es posible robarlo, como un token físico o una tarjeta bancaria.
Lo que el usuario es, conforma el factor de inherencia, usualmente biométrico. Como la voz o la manera de caminar.
Los dos métodos que se elijan para hacer una autenticación 2FA, deben pertenecer a dos tipos de factores diferentes, por ejemplo, una contraseña (de conocimiento) y una huella dactilar (de inherencia), o bien, un código PIN (de posesión) y un gesto facial (de inherencia). Combinaciones hay muchas, siempre que se respete la regla de dos tipos diferentes de factores.
Métodos y proceso de autenticación de dos factores
Hay varios métodos y procesos que se pueden utilizar para la autenticación de dos factores, comenzando por la verificación a través de SMS o por correo electrónico; en ambos casos el proceso es simple, no requiere de nada físico ni de aplicaciones adicionales; se ingresa nombre y contraseña, se recibe un código o clave temporal que a su vez se ingresa y listo.
Igual de sencilla es la utilización de preguntas de seguridad, que deben ser configuradas de antemano y que se mantienen sin cambios, como referencias fijas.
Las aplicaciones de autenticación son consideradas como el mejor método. Se ingresa nombre y contraseña, para luego verificar la identidad con la contraseña temporal que se genera en la aplicación 2FA que se haya configurado.
Otra alternativa son las llaves de seguridad, que pueden funcionar con un dispositivo USB, con NFC o con Bluetooth. Funcionan como las llaves de casa, se introducen en un dispositivo para validar la identidad del usuario.
Por último, la validación biométrica con la que la verificación de identidad se hace con reconocimiento dactilar, facial, ocular, etc.
Códigos de acceso de un solo uso (OTP)
OTP es un código de uso único. Sirve para reforzar la seguridad de un método de acceso o de una contraseña.
A manera de ejemplo, un portal bancario en línea suele pedir para el acceso, como primer método, las credenciales del usuario (nombre y contraseña), para luego enviarle a su correo o teléfono un OTP, que el usuario debe ingresar como validación del segundo método antes de acceder a sus servicios bancarios. Lo mismo sucede con el muy conocido portal de Mercado Libre, que usa OTP como parte de su esquema 2FA.
Los OTP son conocidos también como tokens en algunos entornos; se les considera uno de los segundos métodos de autenticación más comunes.
Aplicaciones móviles de autenticación
Hay docenas de aplicaciones disponibles. A continuación están unos cuantos nombres, además del muy utilizado Google Authenticator.
Para Android, está Cisco Duo Mobile, FreeOTP, Twilio Authy, Microsoft Authenticator.
Para Mac OS: para Mac OS: Step Two, OTP Auth o Twilio Authy.
Para Windows, WinAuth o Twilio Authy.
¿Por qué es importante y necesaria 2FA?
Tal y como se ha explicado, 2FA proporciona una capa de seguridad adicional, útil para ayudar en la protección de cuentas o servicios en línea.
Al aumentar la seguridad con los dos pasos de autenticación, es más difícil para los ciberdelincuentes el acceso a las cuentas de los usuarios. Aun cuando puedan disponer de las contraseñas, es improbable que además tengan a su alcance el segundo factor de autenticación.
Proteger la información personal es otra razón para incorporar 2FA como práctica habitual al estar trabajando en línea. Más allá del riesgo de exposición que tienen los correos electrónicos, a través de ellos un atacante puede obtener acceso a la lista de contactos personales, historiales de compras y otros datos sensibles.
La autenticación de doble factor es fácil de usar; en muchos casos, ofrece la opción de reconocer dispositivos confiables, con lo cual se evita estar repitiendo el proceso de autenticación en cada inicio de sesión. Habilitar 2FA resulta sencillo e incluso se puede revertir en caso necesario.
No menos importante es que la utilización de 2FA les da tranquilidad a los administradores de sistemas.
Protección contra ataques: evitar phishing, fraude o robo de identidad
Toda protección que se pueda implementar mejorando los esquemas de seguridad, como es el caso de 2FA, es de gran ayuda, no sólo para evitar ataques sofisticados, sino para evitar los esquemas de ciberataques comunes, esto es, el phishing, el robo de contraseñas, la ingeniería social y los ataques de fuerza bruta.
Siendo phishing uno de los ataques más comunes y eficaces para robar credenciales de usuarios, al usar 2FA se establece protección ante el acceso no autorizado. Si el ciberataque ya obtuvo o robó contraseñas, gracias a 2FA se garantiza que ese robo no trascienda.
El uso de redes sociales por parte de la ciberdelincuencia para engañar a los usuarios —es decir, ingeniería social— para que expongan ingenuamente sus credenciales no logra completar el proceso, ya que el segundo factor queda fuera de su alcance. En cuanto a los ataques de fuerza bruta o pirateo de contraseñas, es similar, porque los atacantes no llegan a piratear un segundo factor.
Ventajas para las empresas
Entre las ventajas que tienen las organizaciones al implementar 2FA para ayudar a proteger los datos e información -tanto de empresa como personales- de sus empleados está el hecho de que los generadores de códigos de acceso son mucho más efectivos y seguros que las contraseñas tradicionales, incluso con la certeza de que no hay 2 códigos iguales.
Las organizaciones también se benefician de poder verificar la identidad de sus empleados gracias a que estos no necesitan llevar consigo un token físico —fácil de extraviar— ni descargar una aplicación generadora de códigos, gracias a que la mayoría de sitios web tiene disponible la opción de enviar a un dispositivo móvil ya sea un mensaje de texto (SMS), un OTP o una llamada. Como elemento adicional, hay un número máximo de intentos para generar códigos de acceso, lo que fortalece la barrera para impedir a posibles atacantes el ingreso.
Los procesos 2FA son prácticos, fáciles de implementar y de administrar, así que las organizaciones los habilitan confiando en evitar el robo o destrucción de datos y registros por parte de ciberdelincuentes.
Beneficios de 2FA para organizaciones
Un notable incremento en la productividad y flexibilidad, forma parte de los principales beneficios de 2FA para las organizaciones, al igual que una reducción en los costos operativos y la disminución en la incidencia de fraudes.
Como resultado de la adopción de 2FA, que optimiza y diversifica los procesos de verificación de identidad de los usuarios —es decir, clientes—, una organización experimenta mayor productividad, derivada de, por ejemplo, suscripciones más rápidas y mejor ajustadas a las necesidades y preferencias de autenticación.
La flexibilidad se da con el uso de 2FA por parte de los empleados para acceder a sus aplicaciones e información de empresa desde cualquier ubicación geográfica, sin arriesgar los datos confidenciales corporativos.
La reducción de costos operativos con 2FA es notable porque disminuyen las llamadas de clientes al centro de soporte, cuando necesitan restablecer contraseñas, además de que mejora la experiencia del usuario.
Eludir 2FA es una tarea que complica la actividad de los ciberdelincuentes. Las credenciales básicas del usuario ya no son suficientes para obtener acceso a su información, por lo que el riesgo de fraude va disminuyendo.
Aplicaciones y casos de uso de 2FA
Algunos ejemplos muy específicos que ilustran la aplicación y uso de 2FA para las empresas y para las personas, mejorando la capacidad de los sistemas para monitorear y proteger su información, incluyen situaciones como dar acceso seguro a cuentas de correo electrónico, redes sociales, aplicaciones de productividad, laborales y bancarias, videojuegos, entre otras, evitando la usurpación de identidad.
De igual forma, son de probada utilidad para controlar tanto el ingreso como la configuración de aplicaciones empresariales del tipo de CMS, CRM, ERP o bases de datos, así como evitar que se hagan configuraciones no autorizadas en cuentas o plataformas.
Incrementan los niveles de confianza a la hora de autorizar o gestionar compras, así como permitir el ingreso a redes privadas virtuales (VPN, por sus siglas en inglés).
Relevante también es que el uso de 2FA es un factor muy importante en materia de protección de datos personales.
¿Dónde se debe implementar 2FA?
En cualquier entorno donde se quiera o necesite integrar una capa adicional de seguridad para los accesos a los sistemas informáticos o para los inicios de sesión en aplicaciones y plataformas, es recomendable implementar 2FA.
El uso de 2FA en el sector de atención a la salud, asegura a los pacientes que el acceso a sus registros médicos les corresponde solo a ellos, en tanto que los profesionales de la medicina deben pasar por un proceso de autenticación antes de acceder a los expedientes clínicos.
Para la banca y las instituciones financieras en general, los servicios 2FA están más extendidos, ya que se usan desde hace varios años para que los usuarios de la banca en línea, además de ingresar nombre y contraseña, están obligados al uso de un token físico o virtual para acceder a sus datos, o bien un PIN para validar transferencias.
Las plataformas de comercio electrónico emplean habitualmente servicios 2FA para la autenticación de los usuarios que inician sesión, con el beneficio de agregar confianza y seguridad para las transacciones de compra. Vale la pena señalar que los datos e información que almacenan estas plataformas es de carácter sensible, ya que usualmente incluyen datos de tarjetas bancarias, domicilios de entrega, historiales y hábitos de compra.
Los servicios que los gobiernos proporcionan a la ciudadanía también se benefician incorporando 2FA en sus plataformas en línea o basadas en cloud: solicitudes de pasaportes, licencias de manejo, concertación de citas en centros de salud, consulta y pago de multas.
Algunos de los servicios en línea que manejan 2FA incluyen a PayPal, Amazon, Google, Facebook, X, Apple, Instagram, así como los bancos y servicios financieros en general.
¿Cómo comenzar con la autenticación de 2 factores?
Es posible que en lo individual ya estemos utilizando 2FA sin apenas darnos cuenta, como sucede en Gmail o Outlook, donde progresivamente se ha procurado mover a los usuarios hacia este tipo de esquemas. De hecho, la configuración para activar 2FA se puede hacer, uno a la vez, para cada aplicación o dispositivo en forma independiente. Pero también se puede obviar esta activación repetitiva mediante el uso de una aplicación autenticadora, que se hace cargo de gestionar 2FA, como son los casos de Authy, Microsoft Authenticator, Zoho OneAuth o WinOTP Authenticator.
A manera de ejemplo, los pasos a seguir utilizando Google Authenticator son los siguientes:
- La app se descarga e instala en el dispositivo (tableta, smartphone); en algunos casos es necesario registrarse y crear una cuenta, ingresando email, número telefónico y contraseña.
- Se ingresa a la aplicación que requiere de habilitar 2FA, como Facebook o Amazon.
- En la configuración de seguridad, para el inicio de sesión o acceso se puede configurar un factor adicional de autenticación (recibir un código, o un SMS, o una llamada con código).
- La opción a seleccionar es aquella que solicite una aplicación de autenticación.
- Aparece un código QR y un código alfanumérico, que son la llave para vincular la cuenta.
- En la app autenticadora aparece la opción de agregar cuenta, ya sea foto del QR o ingresar manualmente el código alfanumérico, quedando vinculada y registrada la cuenta.
- Se genera un código de seis números que cambia constantemente y que se debe ingresar luego de la contraseña para acceder a la aplicación en cuestión.
