Qué es 2FA o autenticación en dos pasos

por | Dic 13, 2018 | Seguridad WordPress

2FA


El 2FA es uno de los mecanismos de seguridad que se está posicionando con más fuerza en estos últimos años y que permite añadir una capa extra de seguridad a los sistemas de autenticación y autorización tradicionales.

Desde WebEmpresa queremos ayudarte a gestionar tu seguridad, por esa razón implementamos 2FA en la App de nuestra herramienta CiberProtector.

En este artículo, voy a explicar, por qué el segundo factor de autorización es realmente un mecanismo robusto, simple de utilizar e imprescindible para nuestra vida digital.

 

   

 Autenticación Tradicional


A diario utilizamos servicios en Internet, leemos noticias, chequeamos el correo electrónico y navegamos por nuestras redes sociales haciendo uso de nuestras cuentas digitales.

Las cuentas digitales, no son más que una abstracción a una identidad personal sobre un determinado servicio al cuál se quiere acceder. Generalmente las cuentas digitales se encuentran asociadas a un nombre de usuario, un correo electrónico verificado y finalmente una contraseña.

De esta manera, el sistema al que se intenta acceder entiende que se trata de un usuario que conoce el secreto también conocido como contraseña, dando la autorización para poder ingresar y trabajar con sus servicios, actualizar información, etc.

El problema de este mecanismo de autenticación es que a lo largo de los últimos años está quedando obsoleto y muy incompleto, ya que es necesario implementar una gran cantidad de medidas de seguridad para poder controlar los diferentes vectores de ataques.


Cuentas Digitales

Haz clic en la imagen para ampliarla  

De entre los ataque informáticos más efectivos en este tipo de autenticación basado en un usuario y una contraseña, se puede mencionar los ataques conocidos con el nombre de Fuerza Bruta basados en diccionarios de contraseñas y usuarios.

Este ataque consiste en la utilización de herramientas automatizadas que envía todas las combinaciones posibles y cada una de las palabras del diccionario utilizado a los formularios de autenticación, hasta dar con las credenciales correctas y lograr acceder al sistema como si fuese un usuario válido.

También se suelen utilizar ataques de Ingeniería Social haciendo uso de herramientas OSINT (Open Source Intelligence), donde más adelante voy a escribir en el blog temas relacionados con OSINT, que consiste en buscar en redes sociales o en cualquier fuente de Internet, información determinada de las personas para inferir y recopilar información.

En este caso, las redes sociales juegan un papel muy importante, ya que son una fuente generadora de información personal constante.

Luego de recopilar todos los datos, se confecciona un perfil con preferencias, datos importantes tales como fechas, nombre, etc., y finalmente se crea un diccionario con las posibles contraseñas a probar.

Existen muchos ejemplos de compañías en Internet, donde los atacantes lograron obtener las cuentas digitales de los usuarios haciendo uso de este tipo técnicas simples.

Sin ir mas lejos, los proyectos Webs que utilizan los CMS más conocidos como es el caso de WordPress, Joomla!, Drupal o PrestaShop, no implementan por defecto una medida de seguridad extra en su autenticación, solamente se basan en el ingreso y control de un usuario y una contraseña.

Por esa razón es por la que se insiste tanto en fortalecer la complejidad de las contraseñas, como por ejemplo la utilización de caracteres alfanuméricos, Mayúsculas, Minúsculas, caracteres especiales y una longitud mínima de 8 caracteres, hacen que las combinaciones resultantes sean más complicadas de acertar para las herramientas y técnicas de Fuerza Bruta.

Los ataques de Phishing aún siguen siendo los más efectivos para recopilar este tipo de información, tanto de la autenticación como así también datos personales. Los mismos, son ataques de muy bajo presupuesto pero con un impacto muy alto y bastante efectivos.

 

 Los factores de Autenticación


Hablé en un principio que en nuestra vida digital, es necesario ir implementando nuevas medidas de seguridad, pero para ello, repasemos los factores de autenticación que se encuentran en cualquier sistema de información.

El primer factor de autenticación más utilizado es indicar algo que el usuario sabe o un secreto compartido, en este caso se hace referencia a una contraseña que se utiliza en un sistema tradicional de autenticación.

El segundo factor de autenticación consiste en algo que el usuario tiene, por ejemplo, algún token, llave, tarjeta de coordenadas, memoria USB o algún dispositivo que permita al sistema determinar que el usuario que intenta autenticarse tiene ese objeto físico en su poder.

Y finalmente encontramos el último factor de autenticación que consiste en algo que el usuario es, esto hace referencia a alguna de las variadas característica física o biométrica propia del usuario, como una huella dactilar, el iris del ojo, su voz o algún patrón inherente a la persona.

Se dice que un buen mecanismo de seguridad, es combinar estos tres factores de autenticación, asegurando de esta manera que la persona que intenta autenticarse ante un sistema o un servicio es quién dice ser sin lugar a dudas.

La razón por la que muy pocas veces se encuentra un sistema que combine todos estos mecanismos, está asociado a los costos de implementación de los dispositivos para determinar por ejemplo los rasgos biométricos o la distribución de token, el registro y asociación de características de los usuarios, etc.

Otra razón para que no se encuentre este tipo de implementación en más sistemas, es por que los mecanismos de seguridad van en el lado contrario a la usabilidad de los sistemas. Es decir, que a medida que se añade más medidas de seguridad se vuelve más tediosa la usabilidad para los usuarios.

A raíz de esto se comenzó a fortificar los mecanismos de seguridad combinando al meno dos de los factores más utilizados, tales como el uso de un usuario y una contraseñas sumado a algún objeto que la persona puede tener en su poder. De allí surge el concepto de 2FA.

 

 ¿Qué es 2FA?


Un sistema de autenticación en dos pasos, es una capa extra de seguridad que permite combinar dos mecanismos de autenticación para la comprobación de un usuario.

En otras palabras, además de requerir el ingreso de un usuario y contraseña, solicita el ingreso de un segundo factor de autorización, como por ejemplo el ingreso de un pin, un código de seguridad enviado por SMS a su teléfono móvil o el ingreso de un Token generado aleatoriamente.


Doble factor de sutenticación

Haz clic en la imagen para ampliarla  

Como un esquema general para entender el funcionamiento de 2FA, el usuario ingresa sus credenciales válidas de acceso. El sistema valida esa información proporcionada y activa el segundo factor de autenticación. El usuario genera un PIN o recibe un mensaje con el código. Finalmente esta información la ingresa al sistema y de esta manera se cierra el circuito del 2FA.

 

 ¿Cuáles son los beneficios de utilizar 2FA?


Teniendo un concepto un poco más claro sobre 2FA, es posible comprender que esta incorporación provee grandes ventajas a la hora de proteger las cuentas digitales.

Beneficios de utilizar la autenticación en dos pasos:

  • Protección cuentas digitales
  • Alertas inmediatas

 

 Protección cuentas digitales


Si lo vemos de la siguiente forma, nuestras cuentas digitales están expuestas 24x7x365 sobre las plataformas de servicio. Si logramos implementar 2FA estamos reduciendo la brecha de exposición notablemente.

Si por ejemplo, la plataforma en donde utilizamos algún servicio es vulnerada y se exponen o filtran todas las cuentas de usuario y contraseñas, cuando intenten acceder con esa información, el 2FA va a solicitar el Token, código o USB y al no contar con ello no es posible acceder a dicho servicio.

Eso quiere decir que por más que el atacante tenga en su poder la información necesaria para acceder no va a poder completar su ataque.

 

 Alertas inmediatas


Si un atacante intenta acceder con una cuenta digital robada y ésta tiene activada 2FA, además de no poder ingresar al servicio, se dispara una alerta automática al usuario indicando que alguien intenta acceder.

Con lo cuál, el usuario tiene la ventaja de ingresar y realizar una acción rápida como por ejemplo el cambio de contraseña.

Los servicios más utilizados en Internet ya comenzaron a adoptar 2FA haciendo uso de sus propias Apps, smartphone o SMS, tales como Facebook, Instagram, Twitter, Gmail, etc. Pero lo más interesante es que en proyectos propios, también es posible activar 2FA.

 

 2FA y CiberProtector


Todos los clientes de WebEmpresa tienen acceso gratuito por 3 meses para probar la herramienta CiberProtector. Una excelente herramienta pensada esencialmente para administrar y proteger la vida digital de los usuarios.

Además de contar con una App compatible con Android e iOS, plugins para los navegadores web Google Chrome y Firefox, o sistemas operativos como macOS o Windows, una de sus características es la posibilidad de activar 2FA sobre el CMS más utilizado en Internet que es WordPress a través del uso de un plugin desarrollado específicamente para CiberProtector.

 

 Conclusiones


Las cuentas digitales y la información que generamos con ellas día a día son el valor más preciado de Internet. Hoy los servicios más populares y utilizados implementan 2FA de forma opcional para cada usuario.

Somos nosotros los que tenemos que tomar conciencia de esta realidad y saber que en cuestión de segundos nuestra información personal, laboral, bancaria, etc., puede ser expuesta y publicada de forma masiva y descontrolada.

Es necesario ir adoptando estas nuevas mejoras de seguridad de forma preventiva para evitar ser víctimas de ciberdelincuentes que intentan apoderarse de nuestra información.

 

Desde WebEmpresa entendemos esta situación y nos preocupa la seguridad y privacidad de cada uno de nuestros clientes, por esa razón desde hace tiempo venimos trabajando con soluciones para acercar aquello que parece complejo en un control más simple y centralizado con productos como WPCenter para la gestión de WordPress y CiberProtector para proteger tu vida online.