La autenticación en dos pasos es un sistema para confirmar que realmente eres tú quien está accediendo a una cuenta, sobre todo contra los ataques por el uso de contraseñas débiles.
Ciudad de México, septiembre 2022 – Casi todas las personas han pasado por intentos de robo de alguna cuenta, o de algún servicio como el correo electrónico, cuentas bancarias, acceso a alguna página web o servicios de mensajería como WhatsApp, a plataformas de videojuegos, redes sociales, servicios de streaming de video y otros. Por suerte, hoy en día existen métodos que intentan mitigar que alguien desconocido use de nuestros servicios online o tenga acceso a alguna de nuestras cuentas.
De acuerdo con el reporte “Revisando la autenticación de dos pasos y la seguridad”, creado por Sinch, líder mundial en comunicaciones en la nube para el engagement móvil de clientes, se destaca la autenticación de dos pasos (también conocida como 2FA), como una de las formas más eficaces para proteger las cuentas, y se utiliza ampliamente en todo el mundo.
“El SMS es mucho más que solo un canal de distribución de comunicación, para muchas de las empresas que cuentan con aplicaciones que requieren de seguridad adicional como la autenticación de dos factores, los SMS representan una pieza clave”, señala enfáticamente en el reporte William Dudley, Jefe de Innovación y Evangelización Móvil de Sinch.
De acuerdo con el análisis ESET Security Report, a finales de 2021 datos mostraban que en América Latina tan solo el 17% de las empresas implementaba la autenticación de dos pasos como medida de seguridad, lo anterior pese a que el acceso indebido es una de las principales preocupaciones de los usuarios en términos de seguridad.
Por su parte, en octubre de 2021, Google comenzó a activar la autenticación en dos pasos en las cuentas de forma automática y aplicó esta medida a 150 millones de cuentas y 2 millones de cuentas de YouTube. El objetivo detrás de esta medida fue minimizar el éxito de los ataques que buscaban comprometer cuentas. A febrero de 2022, la compañía compartió algunos números sobre el impacto de esta decisión y aseguró que en ese periodo menor a seis meses se redujo en un 50% el engagement de cuentas en comparación con las que no tenían activada la verificación en dos pasos.
Otro estudio de Google reveló que asociar a tu cuenta de Google un número de teléfono para recuperar el acceso mediante el envío de un código a través de SMS, ayuda a bloquear el 100% de los bots automáticos, el 99% de los ataques de phishing masivos, y el 76% de los ataques dirigidos. Y si bien es sabida la efectividad del doble factor de autenticación, el problema generalmente tiene que ver con que su adopción presenta números bajos. Twitter, por ejemplo, reveló en julio del año pasado que apenas el 2.3% de las cuentas activas habían habilitado la autenticación en dos pasos entre julio y diciembre de 2020.
Un método común y conveniente para desplegar la 2FA es entregar tokens (códigos PIN, códigos de verificación, contraseñas de un solo uso u OTPs, y similares) a través de SMS al dispositivo móvil del usuario.
En una encuesta reciente realizada por Sinch, el 75% de los encuestados indicaron que el SMS era su método de método de entrega preferido. Además, el 85% de los encuestados dijeron que preferían recibir un código de autenticación en su dispositivo móvil para proporcionar seguridad adicional y contraseña para las transacciones en línea.
“Como canal de entrega externo, el SMS es abrumadoramente popular entre los consumidores y es proporcionado para compras en línea, como Amazon y eBay, así como bancos, redes sociales, proveedores de correo electrónico y muchos otros. La principal ventaja de los SMS es que los usuarios no necesitan contar con un móvil específico, descargar un generador de códigos o una aplicación de autenticación, lo que podría considerarse una barrera para la adopción de la 2FA por parte de los consumidores”, puntualiza el reporte de Sinch.
Para mejorar la seguridad de 2FA se recomienda que las empresas que la implementan utilicen códigos cortos aprobados o números de teléfono gratuitos, es decir, identificadores de remitente aprobados y comprobados para sus mensajes SMS de 2FA. No se recomienda utilizar códigos largos aleatorios, que son populares entre los estafadores.
Otra recomendación del reporte es que, si el dispositivo móvil de un usuario es cuestionable, las opciones de alta seguridad incluyen el uso de tokens de hardware separados o el despliegue de tres (o más) factores, como la biometría, entre ellas huella dactilar, escaneo de iris o retina, reconocimiento facial o reconocimiento de voz.
Finalmente, el análisis señala que para las empresas preocupadas por la confidencialidad la interceptación y la fiabilidad de la entrega de los SMS, existe la posibilidad de mitigar ese riesgo eligiendo a un proveedor como Sinch, que cuente con la certificación ISO 27001.