La autenticación por múltiples factores, son todos los procesos que se tienen que seguir para poder añadir más seguridad a la hora de acceder a un activo, involucrando varios elementos para, como comenté antes, asegurar más el proceso de autenticación en un activo.
El factor de autenticación más común y usado en el mundo es la contraseña, porque es esa primera barrera de seguridad que hay entre un activo como puede ser una cuenta en algún servicio y un acceso no autorizado por parte de un ciberdelincuente, pero es evidente que solamente una contraseña, no es algo que garantice mucha seguridad, porque la mayoría de usuarios no usan contraseñas seguras y encima usan la misma contraseña para todos los servicios, provocando que si en uno de esos servicios las credenciales de acceso se filtran y, un ciberdelincuente logra leerlas, pueda reutilizar esas credenciales para acceder a varios servicios con esas credenciales, con todos los riesgos que eso supone, por lo cual, si se usan las mismas credenciales para todos los servicios, de forma indirecta le estarías dando acceso a un ciberdelincuente a todas tus cuentas (si es que se llegan a filtrar las credenciales en alguno de esos servicios) eso sí, en tema de credenciales filtradas, si pueden ser leídas fácilmente o no por un ciberdelincuente, va a depender si el servicio gestiona las credenciales con algún algoritmo hash o si las gestionan en texto plano (que es lo peor), pero no puedes pensar cosas como “mi contraseña se guarda cifrada en el servicio y aunque se filtre no podrán leerla” porque es algo muy relativo, lo mejor siempre es usar contraseñas robustas, aleatorias y diferentes para cada servicio, pero aun así, aunque cumplas estos requisitos, los ciberdelincuentes pueden obtener tu contraseña por ejemplo, con ataques de ingeniería social o mismamente phishing si no eres capaz de detectarlos a tiempo, por lo cual, tener solo un factor de autenticación no es la mejor idea si lo que quieres es asegurar tus activos al máximo.
Es aquí donde se introduce el concepto de múltiples factores de autenticación, es decir, contar con más de una barrera de seguridad a la hora de querer acceder a un activo, estos múltiples factores de autenticación se basan en:
- Lo que el usuario sabe.
- Lo que el usuario tiene.
- Lo que el usuario es.
Lo que el usuario sabe, perfectamente podría ser una contraseña, aunque la tengas anotada y literalmente no te la sepas de memoria, da igual, eso se cataloga como lo que sabes.
Lo que el usuario tiene, es “algo” que el usuario posea, algo como, una tarjeta de autenticación, un dispositivo móvil, otra dirección de correo electrónico, en fin, cualquier activo externo que pueda ser usado para seguir validando la identidad del usuario, por ejemplo, esa famosa “verificación en dos pasos” o “doble factor de autenticación” que en casi todos los servicios está presente, suele basarse en lo que el usuario tiene, consiste en que, cuando se introducen de forma correcta las credenciales, tanto nombre de usuario o correo electrónico como contraseña, se procede a enviar un código de un solo uso ya sea por mensaje de texto o por llamada (y aquí podemos ver lo que el usuario tiene, porque el usuario tiene un dispositivo móvil al cual le llegará dicho código), este método de autenticación se le conoce como TOTP que son las siglas de Time-Based One-Time Password, que es básicamente eso, una contraseña única, en este caso un código, que tiene un tiempo de vida para ser usado y pasado ese tiempo ya no sirve para nada, hasta aquí todo bien, es un buen método, porque si un ciberdelincuente quiere acceder a tu cuenta, tendría que saber tu contraseña y tener, por ejemplo, tu teléfono móvil que es donde te llegara el mensaje de texto o la llamada para recibir el código, pero claro, un ciberdelincuente también podría redirigir los mensajes que tú recibas y así poder leerlos él también, además que las llamadas telefónicas también pueden verse comprometidas.
Así que aunque utilicemos dos factores de autenticación, todavía hay riesgo, pero hay formas de mejorar este segundo factor (hablando del TOTP), porque vemos que el concepto funciona, el problema puede ser el medio por el cual nos envían el código, en cuyo caso deberíamos conseguir un medio más seguro que las llamadas o los simples mensajes de texto y, sí existe, se llaman aplicaciones de autenticación, la más conocida y la que yo te recomiendo usar es el autenticador de Google, usualmente la mayoría de servicios permiten vincular una de estas aplicaciones como segundo factor de autenticación TOTP, porque sí, el concepto es el mismo, en el caso del Autenticador de Google, después de vincularlo con el servicio en cuestión, la misma aplicación del autenticador empezará a generar códigos de un solo uso que tendrán un tiempo de vida para ser usados, en concreto el tiempo de vida son 30 segundos y, luego de ese tiempo se generarán nuevos códigos y así sucesivamente, esto mejora mucho la seguridad, ya que esta vez el código no nos llega por mensaje de texto o por llamadas, sino que es generado por una aplicación, eso sí, ten en cuenta que el autenticador de Google no es la única aplicación de autenticación, pero si es la que yo personalmente te recomiendo, es evidente también que muchos servicios no te permitirán vincular una aplicación de este estilo como segundo factor de autenticación y obligatoriamente tendrá que ser o bien por llamada o por mensaje de texto o, peor aún, hay servicios que ni siquiera te permiten activar un doble factor de autenticación, así que la regla es muy simple, usa contraseñas robustas y diferentes para cada servicio, si el servicio te lo permite activa un doble factor de autenticación y si encima te permite vincular una aplicación de autenticación, vincula alguna como por ejemplo el autenticador de Google, con esto tu cuenta estará mucho más segura.
Entonces, ya vimos factores de autenticación referentes a lo que el usuario sabe (contraseña), a lo que el usuario tiene (TOTP) y, ahora falta ver cómo son los factores de autenticación referentes a lo que el usuario es, esto se basa en todos estos datos biométricos propios de cada usuario y que son utilizados para autenticarse empleando sistemas como, reconocimiento por voz, reconocimiento facial, reconocimiento de huella dactilar, reconocimiento del iris e incluso hasta la forma de las venas de manos, es obvio que este tipo de factor de autenticación es mucho más seguro que los anteriores, porque son propiedades con las que cuentas tú, no es una simple contraseña que se puede filtrar o un código que puede ser interceptado, ya estamos hablando de literalmente elementos que son parte de ti, pero claro, no todo el mundo tiene acceso a los dispositivos hardware necesarios para poder llevar a cabo alguno de estos factores de autenticación a nivel doméstico, aunque si es verdad que a nivel empresarial suelen usarse bastante.
En resumen, debes tener como mínimo dos factores de autenticación activados y, es evidente que utilizar contraseñas robustas y diferentes para cada servicio, recuerda que tu información vale mucho, no es posible que una persona se compre la Play Station 5 y la cuide más que a su información, no tiene sentido, así que protege tu información al máximo, a veces acciones tan simples como activar un doble factor de autenticación pueden ahorrarte muchos malos ratos en el futuro.
