Una guía de la autenticación de dos factores para principiantes

La 2FA es una capa adicional de seguridad para la cuenta, más allá de simplemente un nombre de usuario y una contraseña. Se requiere una segunda credencial, además de la contraseña, para obtener acceso a la cuenta. Cada vez que se inicia sesión en una cuenta con una contraseña, y la aplicación envía un código al teléfono para confirmar la identidad de quien inicia sesión, se ha utilizado la 2FA. Otros ejemplos de la 2FA en el mundo real son:

Aceptar la autenticación de dos factores puede ayudar a evitar vulnerabilidades de datos que suponen costosas mitigaciones y que podrían dañar potencialmente la reputación de una organización. En lugar de confiar solo en las contraseñas, la 2FA aumenta la protección tanto para la identidad del usuario como para información confidencial, por ejemplo, números de tarjetas de crédito o historiales médicos. Al agregar un segundo factor de autenticación se crea una red de seguridad para bases de datos de contraseñas robadas y estafas de tipo phishing.

Un factor de autenticación es una credencial única que el usuario introduce para acceder a una cuenta en línea, por ejemplo, una contraseña. En general, los factores de autenticación incluyen algo que el usuario sabe, que es, o que tiene. Un sistema de autenticación de dos factores efectivo utiliza pruebas que proceden de dos de estas categorías:

Existen algunos factores de autenticación más, pero no suelen desempeñar ningún papel en la autenticación de dos partes. La autenticación multifactor puede incluir también un factor de tiempo, lo que significa que el usuario debe responder en un período determinado de minutos para obtener acceso, o un factor de ubicación, que concede o deniega acceso dependiendo de la ubicación del GPS del usuario.

El proceso de autenticación suele iniciarse escribiendo el nombre y la contraseña cuando un sitio solicita las credenciales del usuario (un factor que se sabe). Si la persona escribe esta información con éxito, el sistema le proporcionará un mensaje para continuar con el siguiente paso del proceso. A menudo el software de 2FA genera un código de autenticación válido para una sola vez y lo envía al dispositivo designado de la persona, un ejemplo de un factor que se posee. 

El segundo factor siempre procede de una categoría diferente a la del primer factor. Por ejemplo, el sistema no pedirá dos contraseñas independientes ni pedirá la huella dactilar y un escaneo facial.

La pesadilla de las contraseñas es real. Eche un vistazo a estos seis chistes virales de contraseñas que podrían habernos pasado a cualquiera.

La mejora de la seguridad de una organización desde la autenticación de factor único a la de dos factores se asocia con cuatro valiosas ventajas.

Cuando una organización implementa la 2FA puede dividir sus servidores y espacios de almacenamiento de nube para crear control de acceso granular a carpetas, archivos y unidades concretos. Este nivel de seguridad es especialmente importante si hay que mantener la colaboración con otros departamentos, proveedores o interesados externos sin comprometer la privacidad de los datos.

La mayor parte de los sistemas de factor doble permiten a los usuarios seleccionar entre varias formas de autenticación cuando inician sesión en el programa. Por ejemplo, pueden elegir aprobar el acceso en una aplicación de autenticación de un teléfono inteligente o escribir un código de autenticación válido para una sola vez que reciben por correo electrónico. Este nivel de comodidad ofrece una conexión rápida y fluida, crucial en el panorama actual dado que el personal trabaja cada vez más a distancia. El cumplimiento de las expectativas de los empleados en lo referente a una experiencia de usuario atractiva, segura y privada también contribuye a establecer en la empresa una cultura de seguridad que mira por los intereses de los seres humanos.

Si una organización debe cumplir la normativa sobre seguridad y privacidad de los datos, como la HIPAA en lo referente a datos sanitarios o la conformidad con los Servicios de información sobre justicia penal (CJIS) en el caso de agencias gubernamentales, los sistemas de autenticación de dos factores cumplen los estándares de conformidad necesarios. Las organizaciones también pueden usar la 2FA si reciben subvenciones federales o estatales, lo que requiere cumplir la Ley de gestión de seguridad de información federal (FISMA), o recoger información sobre tarjetas de crédito de clientes, que está regulado en el Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS).

En la mayoría de los casos, las empresas pueden implementar fácilmente la autenticación de dos factores sin que afecte de forma negativa a los sistemas de TI existentes. El software de dos factores también es compatible con soluciones de inicio de sesión único (SSO) que mantienen las cuentas protegidas durante toda una sesión sin que se requiera iniciar sesión repetidas veces.

Casi todos los principales sitios web y proveedores de servicios ofrecían la 2FA en 2017, lo que atestigua su eficacia. En aquel año, solo el 28 % de quienes contestaron a la Encuesta de autenticación de Duo Labs State informaron de que habían usado autenticación de dos factores, que desde entonces ha aumentado al 79 % de los participantes en la encuesta en 2021. 

Cuando se administra correctamente, la autenticación de dos factores puede bloquear este tipo de ataques:

Las organizaciones también pueden aprovechar la capa adicional de protección que ofrece la 2FA si hay terceros, como proveedores o contratistas, que a menudo acceden a sus servicios y sistemas digitales. Las empresas pueden mejorar la seguridad de un sistema de 2FA con un token de hardware físico, que suele ser una unidad USB que sirve como ''llave'' y cuesta en torno a los 20 dólares.

Sin embargo, estos dispositivos representan una inversión importante para grandes empresas, especialmente porque pueden perderse o robarse. Las aplicaciones de autenticación suelen ser una solución mejor, ya que generan un código directamente en el dispositivo del usuario y la clave de acceso no se puede interceptar como si se enviara mediante mensaje de texto.

Aunque la autenticación de dos factores es mejor que los sistemas de seguridad de factor único, no es una solución perfecta.

Un sistema de seguridad es tan vulnerable como lo sea su punto de acceso más débil, por ejemplo, una contraseña que un empleado utiliza en sitios no seguros. La primera capa de la autenticación de dos factores suele confiar en el sistema de contraseñas imperfecto, que es vulnerable a:

¿Otro problema habitual? Algunos sistemas de 2FA no solicitan el segundo factor de autenticación cuando el usuario solicita la recuperación de la contraseña y crea nuevas credenciales.

Según datos de una encuesta de los que informa el NIST, el 54 % de los usuarios usan menos de cinco contraseñas para todos los sitios y aplicaciones que frecuentan en línea. ¿Cuál es la conclusión? Con tiempo suficiente y las herramientas adecuadas, los hackers pueden averiguar nuestras credenciales medias creadas por el usuario.

El método de 2FA más usado consiste en recibir un código de autenticación válido para una sola vez mediante mensaje de texto. Sin embargo, el sistema no puede verificar que usted sea realmente la persona que recibe el SMS, ya que los números de teléfono también se pueden hackear y falsificar. Si los hackers obtienen acceso a la cuenta de su proveedor de servicios inalámbricos, pueden interceptar cualquier mensaje que se le dirija, incluyendo los códigos de acceso de 2FA. 

De hecho, el NIST ya no recomienda sistemas de autenticación de dos factores que dependan de los SMS junto una contraseña. No obstante, el informe de Duo antes mencionado descubrió que los mensajes de texto seguían siendo el segundo factor de 2FA más usado en 2021, conocidos por más del 85 % de los encuestados.

También se consideraba el segundo factor más fácil de usar y la elección preferida de los usuarios, con más de la mitad (53,4 %) que lo seleccionaron como preferido. Solo el 20,2 % eligió la segunda opción, el correo electrónico, y menos del 10 % de los encuestados dijo preferir un código de acceso móvil, una llamada telefónica, una clave de seguridad, una notificación push o un token de hardware al configurar una cuenta nueva. 

Mirando hacia el futuro, la autenticación de dos factores probablemente crecerá para satisfacer las exigencias de seguridad tanto de organizaciones como de usuarios. Estas son algunas de las innovaciones más notables en la 2FA y más allá.

Las organizaciones que requieran una protección de información mejorada pueden querer actualizarse desde la 2FA a la autenticación multifactor (MFA), que usa tres o más métodos de autenticación para acceder a cada sesión. Según Alex Weinert, Director de programas de grupo para protección y seguridad de identidad de Microsoft, la MFA bloquea el 99,9 % de los intentos de hackeo en los servicios de la nube de la organización.

En el ejemplo más habitual de MFA, los sistemas de autenticación seguros de tres factores suelen combinar una contraseña y un token físico con un escaneo de huella dactilar, autenticación de voz u otra forma de seguridad biométrica.

Según datos de Markets and Markets, la autenticación multifactor multiplicará por más de dos su valor estimado actual de 12 900 millones de dólares hasta alcanzar los 26 700 millones de dólares en 2027. Los factores que impulsan este crecimiento incluyen:

Cada vez más organizaciones persiguen la adopción de medidas de autenticación sin contraseña. Nuevos factores que explorar incluyen el acceso basado en la hora del día, el tipo de dispositivo y la ubicación geográfica. Muchas empresas también experimentan con biometría conductual, como la forma en que los usuarios mueven el ratón, la rapidez con la que mecanografían e incluso la duración de cada pulsación de tecla. Con innovaciones tecnológicas como estas, las organizaciones podrían en definitiva migrar de la 2FA o la MFA a la autenticación continua.

A pesar de las imperfecciones de la autenticación de dos factores, actualizarse desde un sistema de solo contraseña a un modelo de 2FA reduce drásticamente la probabilidad de que se produzca una costosa violación de datos. La reducción del riesgo asociado con trabajar, asociarse o comprar en línea a través de una organización sirve como testimonio de lo bien que una marca trata a sus clientes y partes interesadas.

Más de 20 000 empresas eligieron a Dashlane para protegerse contra violaciones de datos. Dashlane usa la 2FA, la arquitectura de conocimiento cero y el cifrado más fuerte de 256 bits para ofrecer a los equipos una experiencia de usuario simplificada sin sacrificar la protección de datos críticos. Póngase en contacto con un experto en ciberseguridad de Dashlane hoy mismo para solicitar una demostración en directo.

Alexandra Dumitriu

Alexandra is a savvy localization program and project manager with over 8 years of experience in localization. She has worked in many fields, including medical, gaming, software, and human resources, handling all steps of the localization process and workflow on the client side and the localization agency side. She’s always looking out for efficiency and quality, knows her audiences, and adapts to them. Currently, most of her time is dedicated to ensuring Dashlane is properly adapted to international customers.

Leer más