Hay que dejar claro que la base es exactamente la misma: El Segundo Factor de Autenticación (es decir, lo de que para acceder a tu cuenta desde un nuevo dispositivo te pidan que además de saber tu usuario/contraseña tengas que meter un código normalmente enviado a tu smartphone vía SMS o una aplicación) es hoy en día el sistema de seguridad más sencillo de aplicar y qué más protege nuestras cuentas y dispositivos.
Sin “peros”, sin puntos y seguido.
Con esto quiero decir que ni mucho menos voy a hacer apología en este artículo de no utilizar un 2FA en nuestras cuentas. Todo lo contrario. Como explicaremos, estos problemas se deben a una mala implementación del 2FA por parte de algunas compañías, y como también veremos, se puede solucionar de una manera bastante sencilla.
Pero vamos al lío.
Índice de contenido
Cómo desbloquear una cuenta de Apple/Google tras un robo o extravío de terminal
Hace unos días, y con apenas una semana de diferencia, dos mecenas de la comunidad comentaban por el grupo privado que tenemos en Telegram dos situaciones que estaban viviendo en el que por tener un 2FA activo en sus cuentas se las habían visto y deseado para poder acceder a ellas tras extraviar su smartphone.
El tema en ambos casos era prácticamente el mismo, aunque prefiero comentarlos por separado.
Caso 1: Un iPhone robado
- El robo de un iPhone: Su pareja había extraviado, o aparentemente le habían robado el teléfono en la calle.
- Bloqueo inmediato de terminal para que el problema no vaya a mayores: Como ya expliqué en su día tras haber perdido mi mochila con dos portátiles y prácticamente todo lo necesario para vivir por descuido, una de las primeras cosas que hay que hacer es bloquear el dispositivo. Y en el caso de iPhones o smartphones Android la cosa es sencilla ya que tanto Apple como Google ofrecen este servicio de forma remota (entras a tu cuenta desde otro dispositivo y alertas de que el terminal está perdido, pudiendo realizar varias tareas (que emita un ruido, si tiene activa la localización y los datos que muestre dónde está…) entre ellas la del bloqueo del terminal).
- El problema: La cosa es que al bloquear el dispositivo, Apple en este caso bloquea también por seguridad la cuenta (como ya explicamos también para evitar que te usurpen la identidad y el problema sea aún mayor), y aquí viene el chiste. Al tener un segundo factor de autenticación activo, para desbloquear tu cuenta y poder gestionar la situación necesitas meter el 2FA… que es precisamente el envío de un SMS o una llamada a tu teléfono… El mismo que te han robado.
Caso 2: Acceder de urgencia a tu cuenta sin tener el smartphone a mano
- El smartphone se había extraviado: el chico lo dejó sin querer en el taxi, y lamentablemente en modo silencio, sin vibración y con una fuda protectora (vaya, que por mucho que llamase el taxista no se iba a enterar).
- Acceso desde otro dispositivo mientras intentaba ponerse en contacto con la cooperativa de taxis: El viaje era por negocios, y entre que conseguía y no avisar al taxi, era necesario acceder a su cuenta corporativa para poder avisar al cliente de que llegaría tarde a la reunión.
- El problema: Y por razones obvias (para eso está el 2FA), al no ser un dispositivo habitual, Google le pedía el segundo factor de autenticación… que es nuevamente el envío de un SMS o una llamada a tu teléfono… El mismo que como ya hemos dicho, no tenía.
Son, bajo mi humilde opinión, dos situaciones que podemos considerar relativamente comunes.
Normalmente la gente si pierde o le roban un dispositivo, suele ser el smartphone, que es el que más sacamos fuera. Y bien sea porque lo tenemos que bloquear, bien sea porque necesitamos acceder desde otro dispositivo a los servicios de la cuenta, ese 2FA que nos protege se vuelve un problema.
¿Cuál es la solución y cuál debería ser la solución?
En ambos casos ya suponía la respuesta, pero aprovechando que ese día tenía una reunión por el centro me acerqué a la nueva tienda de Apple en Sol (la tienda es la misma que la de siempre, pero la han remodelado completamente) para preguntarles. Y el corolario fue el esperable.
Puesto que PREVIAMENTE esta persona no tenía ningún otro dispositivo de la manzana asociado a su cuenta, la única manera de acceder nuevamente a su cuenta era pidiendo un duplicado de la SIM, y ya desde otro dispositivo pasar el doble factor de autenticación.
Un duplicado que por supuesto tiene un coste (calcula unos 5 euros), y que lo que es peor, no siempre en tienda te lo pueden hacer en el momento (el último duplicado que pedí me tardó 2 días en llegar a casa).
Con el segundo caso afortunadamente el chico pudo recuperar relativamente rápido su smartphone, y ya con él avisar al cliente y seguir su día.
Pero la base es la misma: lo recomendable sería que a la hora de crear ese segundo factor de autenticación hubiéramos agregado otra opción más para evitar este tipo de situaciones.
Por ejemplo en mi caso tengo también como 2FA otra cuenta de correo e incluso hasta otro número de teléfono de un familiar.
Y es aquí donde va mi queja, por que creo que esto que decimos que es recomendable además debería ser obligatorio.
Que tanto Apple como Google, por citar quizás los dos servicios más importantes en el día a día de muchos de nosotros, fuercen al usuario la primera vez que crean ese segundo factor de autenticación a que además agreguen aunque sea una opción más, con un paso del tipo:
Para asegurar que puedas acceder a tu cuenta en caso de que tu dispositivo móvil se haya extraviado, por favor, agrega otro número de teléfono de confianza (un familiar, por ejemplo) que te permita recuperar el acceso a tu cuenta.
Un paso más solamente. Y le evitas males mayores a tus usuarios.
¿Que esa persona no tiene ningún familiar o amigo de confianza? Pues le das la opción de recuperar la cuenta con otra cuenta de correo.
Y si tampoco lo tiene, con otro dispositivo (un ordenador, por ejemplo).
Raro será que justo haya alguien que no puede cubrir ninguna de estas casuísticas, pero si es así, pues ya le dejas pasar alertándole de que estará desprotegido en caso de extravío del smartphone.
No afecta apenas a la usabilidad, y solventaría muchos problemas a futuro.
Y para los que llevamos ya tiempo con esto, que sirva de recordatorio de que delegar toda la seguridad en un único 2FA, por muy seguro que sea, puede pasarnos factura el día de mañana.
Por lo pronto me da que todos los mecenas que están en Telegram ya han activado otro factor de autenticación extra. Y espero que tú hagas lo mismo tras leer esta pieza :).
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Excelentes recomendaciones, Pablo, son pequeños detalles que de momento, uno no determina, hasta que algo malo pasa, muchas gracias de nuevo, y claro, muchos vamos a tener en cuenta las recomendaciones y a tomar acciones preventivas, saludos.
Me alegra mucho que te hayan servido Diego. Para eso estamos.
¡Felices fiestas!
Muy buen artículo!
Lo que no me ha quedado claro es cómo se activa un segundo 2FA en cada uno de los casos. Sería estupendo si lo pudieras ampliar
Me lo apunto Mario.
Normalmente hay que ir a los ajustes de Seguridad y/o Privacidad, y de ahí buscar algo que dice segundo factor de autenticación, que no es más que la primera vez que intentes entrar en tu cuenta te va a pedir que insertes un código que o bien te lo envían por SMS, o bien lo sacarás de otra aplicación que tienes en tu dispositivo como puede ser Google Authenticator.
En todo caso a ver si me animo y creo un tutorial con los pasos a seguir en Google, Facebook y compañía.
Hola Pablo!
A mi me paso, que cuando hice el primer registro del 2F salió todo muy bien, aunque NO GRABE NI GUARDE EL QR, como tenia diversas cuentas, cuando iba a realizar el segundo registro me salio la pregunta si quería mantener ambas o reemplazar, no sé que me pasó en ese momento y no sabía en verdad que poner! así es que puse “reemplazar” y esa acción me trajo como consecuencia no poder accesar al primer registro, solo la segunda. ahora quiero ver como puedo echar todo para atras o recuperar la primera cuenta de acceso, que debo hacer? UTILIZE GOOGLE AUTHENTICATOR
Una pregunta Edwin: ¿Has probado a, dentro del servicio (no de Google Authenticator, del servicio donde activaste el 2FA) ver si ofrecen alguna otra opción de acceso.
Algunos como Google o Facebook dan la opción, si previamente se configuró, de utilizar otro 2FA como puede ser el envío de SMS a tu teléfono.
Si no es así, la única manera en efecto va a ser intentar ponerse en contacto con el administrador y comentarles el caso, a ver si pueden hacer algo.
¡Saludos!