doble factor


Llevo tiempo dándole vueltas a este asunto.

El caso es que prácticamente todas las semanas tenemos noticias de alguna brecha de seguridad que expone miles o millones de cuentas de usuario. El “gordo” de la semana pasada se lo ha llevado Yahoo (EN), pero vamos, que no fue el único, como veremos este miércoles en la newsletter exclusiva de mecenas.

Todas las semanas. Y eso que sepamos de forma pública. Puede estar seguro que por cada una que llega a nuestros oídos, habrá como mínimo cinco más de las cuales quizás nos enteremos el mes que viene, o quizás nunca…

En algunos, ese volcado de datos se expone públicamente para que terceros puedan utilizarlo, y como medida de presión para demostrar la “incompetencia” de la compañía que está detrás. En el resto, directamente se vende en el mercado negro.

Aquí es donde entra el que los administradores hayan hecho sus deberes correctamente o no. Para cualquiera que haya estado trabajando en el equipo azul de alguna de estas grandes compañías de servicios, sabrá que tarde o temprano, y aunque hagamos nuestra labor lo mejor posible, va a ocurrir. Eso sí, para cuando ocurra, que al menos la hostia sea pequeña.

Así, nos encontramos con bases de datos totales o parciales que de una u otra manera han sido expuestas en la red. Con más o menos información, y con más o menos contenido sensible cifrado.

Hay mucha diferencia entre almacenar un universo de credenciales en texto plano, a exponerlo bajo un algoritmo de cifrado robusto. En el primero, que lamentablemente sigue siendo la tónica de muchos servicios, estamos hipotecando el futuro de nuestros usuarios/clientes, delegando la seguridad de su identidad digital en el buen quehacer que unilateralmente salga de ellos (y que ya le adelanto será más bien nulo). En el segundo, como mínimo, le estamos poniendo las cosas bastante más difíciles a los cibercriminales, salvaguardando de esta manera a los nuestros.


Y entonces entra en juego la responsabilidad del usuario, que en la mayoría de los casos ha utilizado la misma contraseña para múltiples servicios, que puede no ser consciente del riesgo que está asumiendo, y al cual rara vez y de forma proactiva (sin denuncias masivas o presión por parte de administraciones) acaba por ser avisado a tiempo.

E incluso a esto habría que sumar los problemas habituales que tiene el mundo de las contraseñas: dependen de algo que conocemos (y por tanto, pueden ser olvidadas), son más robustas conforme más largas y difíciles son de recordar, y no existe ninguna manera de almacenarlas con suficientes garantías (como mucho, dependientes de otra contraseña, cosa que ocurre con los gestores de contraseñas (ES), y a sabiendas que entonces delegamos la responsabilidad de todo lo demás en una única llave maestra que también podría ser olvidada y/o robada).

Una todos estos puntos y quizás llegue a la misma conclusión que un servidor: Que las contraseñas ya no son un método de seguridad aceptable. Y que haríamos bien en empezar a considerar el doble factor de autenticación como una base desde la que erigir la seguridad de nuestra identidad digital.

El segundo factor de autenticación como medida de seguridad por defecto

El asunto es tan sencillo como parece.

  • Para acceder a mis servicios el cibercriminal necesitará tener acceso a mi smartphone y a mis contraseñas.
  • Si alguien me roba el smartphone (cosa que debe ocurrir presencialmente), no tiene mis contraseñas.
  • Si alguien consigue mis contraseñas (cosa que puede ocurrir virtualmente), no tiene mi móvil.
  • Círculo cerrado.

De esta manera delegamos la seguridad de nuestras cuentas a dos factores: uno que conocemos (contraseñas) o es innato en nosotros (huella dactilar, iris del ojo), y otro que tenemos (generalmente el smartphone, que cuenta prácticamente siempre con conectividad, y por tanto, con un canal secundario de comunicación/identificación).

Que uno de los dos factores se vea en un momento dado comprometido, es algo probabilísticamente plausible. Que en el mismo momento los dos factores se vean comprometidos, es algo probabilísticamente improbable.

Hablamos de que alguien sea capaz de robarnos físicamente y además, encontrar la manera de llegar a nosotros (identificarnos) en nuestro alter ego virtual para realizar con éxito un ataque digital. Que además de ladrón, tenga un interés inaudito en nuestra persona y un conocimiento lo suficientemente alto sobre cómo funcionan los sistemas informáticos para encontrarnos en el vasto océano digital y conseguir hackearnos.


De verdad, quitando casos muy puntuales de ataques dirigidos, que precisan de un nivel de sofisticación y una planificación realmente curiosa, la amplia mayoría de robos y hackeos se producen en entornos diametralmente distintos (el robo es puramente circunstancial y presencial, el hackeo es masivo y ubícuo).

Y en el día a día no requiere que cambiemos nuestra rutina. A nivel de usabilidad, tener un doble factor de autenticación solo afecta en el momento en el que queremos acceder a un servicio desde un dispositivo no conocido (cosa que no suele ser lo habitual en el grueso de la sociedad). A nivel de implementación, solo se hace la primera vez, y desde entonces quedará activo hasta que le digamos lo contrario.

La seguridad de estos segundos factores, además, está bastante más cuidada que la que tenemos habitualmente en los medios tradicionales. Un token (esto es, a fin de cuentas, una contraseña) que se genera justo en el momento en el que la necesitamos, y cuyo ciclo de vida (el tiempo que servirá como token de acceso) es muy limitado (entre medio minuto y unas pocas horas, según el servicio). La contraseña generalmente la creamos una vez, y estará activa hasta que se vuelva a cambiar, cosa que para la mayoría de usuarios significa que estará activa hasta fin de servicio. La huella dactilar o el iris de nuestros ojos es único y personal, lo que quiere decir que siempre será identificativo y que, descontando la paulatina deterioración del cuerpo con el paso de los años, seguirá vigente hasta fin de servicio.

Bajo este prisma, por supuesto, presupongo que el dispositivo que utilicemos como segundo factor cuenta, per sé, con un sistema de seguridad propio (como puede ser un pin, una contraseña o una huella dactilar). De nada nos serviría esto si el bloqueo se realiza de forma automática desplazando el dedo por la pantalla, y en él, tenemos por defecto acceso a la mayoría de servicios digitales.

Pero como verá, tiene una solución bastante más inmediata que delegar la seguridad de tooooda nuestra identidad digital en el papel de un único factor, que para colmo depende de un canal masivo y accesible desde cualquier sitio, y que semana tras semana demuestra ser imperfecto.

¿Qué le parece?