Usar la autenticación en dos pasos o la autenticación de doble factor (2FA, por sus siglas en inglés) es una práctica clave en términos de seguridad informática. Consiste, básicamente, en activar una función en nuestras cuentas que hace que cada vez que iniciemos sesión se nos pida algo más aparte de nuestra contraseña. El 2FA también se usa para confirmar transacciones bancarias, por ejemplo, y añadir una capa más de seguridad a un pago electrónico.
Hay diferentes métodos para usar un 2FA -firmas digitales, códigos que se envían por SMS o al correo electrónico, etc.-, y entre ellos están las aplicaciones móviles, como Authy o Google Authenticator. ¿Cómo funcionan? Las descargamos, creamos una sesión y vinculamos las cuentas que queramos. Una vez hecho eso, la app genera códigos aleatorios cada cierto tiempo (normalmente segundos o unos pocos minutos) que se nos pedirán desde el servicio en el que estemos intentando iniciar sesión.
Al cambiar a cada poquito rato y estar alojados en una aplicación en nuestro móvil personal, esto aumenta la seguridad de que ese código no sea interceptado por un ciberdelincuente, como puede pasar en el caso de los SMS. Sin embargo, hay algo que genera preocupación sobre el uso de estas aplicaciones y es qué pasa si perdemos nuestro teléfono o nos lo roban, ¿cómo accedemos entonces a los perfiles?
Extraviar el móvil no significa perder el acceso a nuestras cuentas, solo habrá que volver a instalar la aplicación de 2FA
A día de hoy, perder el móvil no significa necesariamente perder el acceso a todas nuestras cuentas. “Casi todos los sistemas tienen un proceso de ‘recuperación de contraseña’, por así llamarlo, básicamente el típico correo o número al que le envían los códigos en caso de problemas en los inicios de sesión”, nos recuerda Lucía Cachinero, ingeniera de Ciberseguridad y maldita que nos ha prestado sus superpoderes.
Para que estas aplicaciones funcionen en nuestro móvil, a veces nos tenemos que registrar en ellas; eso significa que tenemos que darles ciertos datos personales para crear una cuenta. Esos datos son los que nos ayudarán en este caso a recuperar el acceso a nuestra app de 2FA.
Bastará con volver a instalar la aplicación y volver a acceder a ella usando esos datos personales para iniciar sesión (atendiendo, por supuesto, a que cada aplicación tendrá su propia configuración y la forma de hacerlo variará de una a otra). Es cierto que no todas las aplicaciones de 2FA requieren iniciar sesión en ellas, pero en ese caso bastaría con volver a instalar la aplicación.
"Los desarrolladores tienen que tener en cuenta este escenario y proporcionar alguna forma de recuperar el acceso. Twitter proporciona un código de respaldo y, si todo sale mal, permite contactar con el equipo de soporte mientras que Twitch se respalda en crearte una cuenta en Authy automáticamente para facilitarte la recuperación de la app", detalla nuestra maldita Paula Díaz, ingeniera de software. "Las propias apps de autenticación también pueden tener alguna funcionalidad para evitar estos casos. Por ejemplo, Authy permite tener la información en varios dispositivos e incluso alojar copias de seguridad encriptadas en la nube", añade.
En el caso de que la aplicación que estemos usando no sincronice los perfiles que teníamos guardados, deberemos vincularlos otra vez, de modo que vuelva a generar esos códigos aleatorios para iniciar sesión. Una vez hecho eso, acudiremos a todas las cuentas que tuviésemos aseguradas con ese 2FA y volveremos a vincularlas a la app: “Si por lo que sea se nos plantea una situación de bloqueo se puede recurrir a esto y esa segunda cuenta”, explica Cachinero. Esto también varía de una a otra, algunas funcionan, por ejemplo, escaneando un código QR.
Si no puedes acceder a las cuentas activadas en el 2FA, habrá que probar con un método distinto al código para iniciar sesión
Vale, ¿qué pasa si no puedo acceder a las cuentas en las que tengo activada el 2FA en la app? Imagina que, para entrar en tu correo de Microsoft, usas una aplicación que te genera ese código aleatorio. Al perderla, ya no puedes acceder porque no tenías la sesión iniciada en tu ordenador ni en tu móvil.
En ese caso, lo que tendremos que hacer es intentar iniciar sesión y, cuando lleguemos al paso en el que nos piden el código, buscar la opción para “Intentar con otro método” (o similares). A veces, esto es posible y otras no; en caso negativo, el paso se complica un poco, ya que tendremos que contactar con el equipo de soporte de Microsoft para que nos ofrezcan una alternativa para iniciar sesión.
"Tener 2FA no significa que solo puedas tener la sesión en un dispositivo; significa que tienes dos pasos de autenticación en lugar de solo uno. Entonces, si alguno de tus pasos dependía de tu móvil (por ejemplo, porque usabas una app de autenticación que solo tengas en él) entonces sí, no podrás iniciar sesión porque has perdido ese método y tendrás que pedir que te restauren el acceso", resume Díaz.
Otras alternativas al uso de una aplicación de 2FA
Última pregunta: ¿qué pasa si no nos convence el usar una aplicación para usar la autenticación en dos pasos o de doble factor? Tenemos más opciones para identificarnos ante un servicio digital, opciones que nos da Cachinero:
- Usar un multifactor de autenticación: de esta forma, no dependemos solo de un código, un mensaje o una contraseña, sino de varios. Por ejemplo, usar un SMS y una pregunta de seguridad.
- Usar datos biométricos: hay servicios, por ejemplos las apps bancarias, que dan la opción de iniciar sesión usando la huella dactilar o el reconocimiento facial. También se están popularizando otro tipo de reconocimientos, como el de retina.
- Autenticación mediante hardware: por ejemplo, usar un USB que haga a la vez de llave de seguridad para "abrir" nuestra sesión al insertarlo en un dispositivo.
En este artículo han colaborado con sus superpoderes la maldita Paula Díaz y Lucía Cachinero, especialistas en ciberseguridad. Forman parte de Superpoderosas, un proyecto de Maldita.es en colaboración con FECYT que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 14/10/2022