MENÚ
MALDITA TECNOLOGÍA

Autenticación en dos pasos de Google, aplicaciones de trabajo en el móvil personal y mandar fotos de mi DNI: todo en el 72º consultorio de Maldita Tecnología

Publicado martes, 26 octubre 2021
Comparte
Categorías
Vida digital
Recursos utilizados
Hablar con la fuente involucrada
Expertos
Superpoderes
Legislación

¡Buenas, malditos y malditas! Es turno de nuestro consultorio tecnológico semanal. Esta vez, os hablamos sobre qué implica que Google active la verificación en dos pasos para todas las cuentas, cómo está regulado el uso de nuestros dispositivos personales para trabajar en nuestra empresa y las diferencias entre dar una foto de nuestro DNI o nuestro número a un desconocido.

Podéis enviarnos todas las dudas que tengáis y estaremos encantados de resolverlas. Mandadlas al correo [email protected], completando este formulario o enviando un mensaje a nuestro Twitter, a Facebook o a nuestro bot de WhatsApp: +34 644 229 319.

¿Qué significa que Google active obligatoriamente la verificación en dos pasos en todas sus cuentas?

Algunos de vosotros habéis recibido un correo de Google con un aviso de que “pronto tendrás que iniciar sesión con la verificación en dos pasos”. ¿Qué significa eso? En Maldita.es ya os hemos hablado de la importancia de la verificación en dos pasos para aumentar la seguridad de nuestras cuentas. Este paso adicional, que generalmente se realiza a través de un código temporal, garantiza que aunque quien intente entrar en alguna de nuestra cuentas conozca nuestra contraseña, se le pedirá un paso extra de autenticación. Por ejemplo, un SMS que recibiremos en nuestro móvil. 

Correo que nos ha mandado uno de nuestros malditos para la consulta.

Si bien hasta ahora era una opción voluntaria en la mayoría de los servicios y plataformas, Google ha anunciado que, progresivamente, se activará este sistema a todos los usuarios existentes y vendrá activado por defecto en los nuevos registros de cuentas. ¿Cómo funcionará y qué implicaciones tiene?

Según una publicación en su blog, el sistema que Google utiliza actualmente para verificar inicios de sesión sospechosos (un aviso en tu móvil que te permite decir “Sí” o “No” para autorizarlo) es el que se activará por defecto, pues según la compañía, “la mejor forma de mantener a nuestros usuarios seguros es que las protecciones de seguridad estén configuradas por defecto”. 

Además, la compañía también indicó que esta función sería obligatoria para acceder a YouTube Studio, la herramienta que permite a los creadores de contenido subir y editar sus vídeos, por lo que aquellos usuarios que no la tengan activada, deben hacerlo para poder acceder a este portal.

Para Santiago Casteleiro, informático y maldito que nos ha prestado sus superpoderes, “lo ideal sería mantener lo que ha venido haciendo hasta ahora: proporcionar el segundo factor de autenticación, avisar de los peligros de no usarlo y dejar la libertad y la responsabilidad de aplicarlo al usuario”, añade.

¿Pero cuál sería el ideal? “La autenticación en dos pasos en la que uno de ellos se basa en el envío de un SMS  o una llamada de teléfono es, en general, menos seguro que otros esquemas de dos pasos basado en otros factores como por ejemplo una característica biométrica o el uso de un token físico de seguridad que se posea”, explicaba a Maldita.es Pino Caballero, doctora en Criptología y Seguridad Informática de la Universidad de La Laguna. En el caso de Google, no es un mensaje de texto el que nos llega al móvil, sino una notificación que nos aparece en la pantalla.

Todos estos movimientos de Google se enmarcan dentro del plan de eliminar en un futuro las contraseñas, como reflejan en la propia publicación. ¿Cómo? Pues a través de autorizaciones en nuestro móvil, como la que te acabamos de explicar, con enlaces únicos enviados a nuestro correo o a través de llaves físicas que certifiquen que somos nosotros quienes estamos intentando entrar a la cuenta. 

Esto ya lo ha implantado Microsoft, propietaria de servicios como OneDrive, Office o Windows, que permite iniciar sesión sin contraseña a través de su aplicación Microsoft Authenticator, del sistema de verificación Microsoft Hello o a través de códigos de verificación únicos y temporales.

¿Qué calado tiene que una empresa como Google, con tantos usuarios, lo implante obligatoriamente? “Google ha tenido una política clara en el mercado: comprar aquellas empresas recientes que le pueden hacer sombra para aumentar su tamaño y reducir posible competencia, lo que se traduce en una base cada vez más grande de usuarios, por lo que el alcance de esta decisión es muy profundo”, concluye Casteleiro.

Si quieres activar la verificación en dos pasos en tus cuentas, la Oficina de Seguridad del Internauta, del INCIBE, tiene una guía que puedes consultar para configurar este método de autenticación, ya sea para tu correo electrónico o las redes sociales. También nos dan un último consejo: “Aunque utilicemos múltiples factores de autenticación, probablemente el uso de usuarios y contraseñas como parte del proceso de autenticación seguirá siendo parte de nuestra rutina durante mucho tiempo, por tanto, tendremos que esforzarnos en crear contraseñas robustas”. 

¿Puedo negarme a que mi empresa quiera que fiche con mi teléfono personal? ¿Qué me puede pedir que haga con mi dispositivo propio?

Nos habéis preguntado si es posible negarnos a usar nuestro teléfono personal para fichar en nuestra jornada laboral. De algo similar os hablamos hace unos meses, en concreto sobre el uso de la geolocalización por parte de las aplicaciones de las empresas para saber si nos encontramos en nuestro puesto de trabajo. Hoy ampliamos y te contamos bajo qué condiciones pueden obligarnos a usar nuestros dispositivos personales para fichar, descargar alguna aplicación o monitorizar nuestro trabajo de alguna manera.

Ángel Benito Rodero, abogado del grupo de especialistas en protección de datos Secuoyagroup, comenta a Maldita.es que “si bien esta cuestión no se regula expresamente en la normativa vigente, nuestra jurisprudencia se muestra claramente contraria a que las empresas obliguen a las personas trabajadoras a aportar su propio dispositivo móvil con conexión a datos para desarrollar su trabajo”. 

Así, el experto nos refiere a la sentencia de la Audiencia Nacional que afirma que dicha imposición supondría "un abuso de derecho empresarial, ya que quiebra con la ajenidad de medios que caracteriza al contrato de trabajo". Por tanto, nos podríamos negar a utilizar una aplicación de control en nuestro teléfono personal y tendríamos las de ganar.

En el mismo sentido, Maite Sanz de Galdeano, abogada y consultora en protección de datos y derecho digital, recuerda que en el caso de dispositivos privados y su uso en un contexto laboral, “es obligatorio que previamente se haya acordado, bien de forma individual en el propio contrato de trabajo, o a través de políticas corporativas que se hayan firmado previamente con los empleados”. 

Es lo que se denomina como BYOD (“Bring your own device”), que consiste en que los empleados sean los que aporten sus propios dispositivos: “Optar por esta práctica supone grandes desafíos técnicos y organizativos para la empresa, y para el empleado aceptar cierto control necesario tanto por cuestiones de seguridad como de cumplimiento laboral. Sobre los riesgos que conlleva, se puede leer lo publicado en INCIBE”, añade la abogada.

Además, Benito Rodero incide en la necesidad de que la empresa haga un estudio previo sobre el uso de dispositivos de los trabajadores en su jornada laboral. “El empresario debería realizar un juicio de proporcionalidad de dicha medida, en concreto, determinar si se puede lograr el mismo fin con otra medida menos invasiva para la privacidad del trabajador”. 

En el caso de que se concluyese que es una opción proporcional, “se debería informar a la representación de los trabajadores y, finalmente, proporcionar al empleado información completa y comprensible sobre las circunstancias del tratamiento de datos personales y los derechos que la persona trabajadora tiene al respecto”, finaliza el experto. 

¿Qué diferencia hay entre proporcionarle a un desconocido nuestro número de DNI o directamente una foto del documento?

“¿Me dejas sacarle una foto a tu DNI? Así ya tengo los datos”. La próxima vez que te pregunten algo similar, es importante que te pares a pensar cuál es el propósito por el que te lo están pidiendo y para qué trámites. Nos habéis preguntado por este tema en un contexto relacionado con un accidente de coche, pero aun así hay diferencias entre dar solo nuestro número de DNI y proporcionar una foto o fotocopia del documento completo. Veamos por qué.

En Maldita.es ya os contamos por qué nunca debemos enviar una foto de nuestro DNI o pasaporte a alguien que no conocemos y qué podemos hacer si ya lo hemos hecho. Nuestro DNI es un dato personal que nos identifica directamente. La cuestión es que con una imagen pueden llegar a suplantar nuestra identidad o autorizar trámites por nosotros, mientras que con el número simplemente esto se complica algo más.

“Con dar solo el número de nuestro DNI no pueden hacer nada, de hecho si has participado en algún proceso de la Administración, es posible que tu número de documento se encuentre en algún boletín”, nos explica Samuel Parra, abogado especializado en protección de datos en ePrivacidad. En cambio, una vez proporcionamos una foto de nuestro documento de identidad a otra persona, “estamos expuestos a que nos suplanten, como ocurre en plataformas de compraventa, a que pidan un préstamo a nuestro nombre, etc”. Es decir, a que lo usen con fines ilegítimos.

La abogada especializada en derecho digital, privacidad y protección de datos Camino García aconseja “evitar enviar fotos de nuestro documento de identidad a particulares”. Si hablamos de un contacto con una empresa pide que nos aseguremos “de que la entidad a la que proporcionamos el DNI es real y tiene una actividad lícita y prevenir el envío a través de servicios de mensajería instantánea, optando por canales corporativos de las empresas o entidades que nos lo piden”. 

Ante la duda, Camino nos recuerda que “podemos negarnos a facilitar el dato en base al principio de minimización previsto en el artículo 5 del Reglamento General de Protección de Datos y que la entidad justifique la necesidad de aportación del dato en el contexto concreto”. En el caso por el que nos habéis preguntado, en el que se soliciten nuestros datos por haber presenciado un accidente de coche, podríamos dar solo nuestro número y no mandar una fotografía con toda la información.

Y si nos arrepentimos de haber enviado esa foto del DNI a una persona que nos la pidió, ¿puedo poner una reclamación ante la Agencia Española de Protección de Datos (AEPD) o poner una denuncia ante las autoridades? No, por eso Samuel Parra insiste en lo importante que es tomar precauciones: “Se trata de una relación entre particulares, no se puede reclamar nada a la AEPD porque es una relación entre dos personas y no es un tratamiento comercial, por lo que no procede”. Podríamos interponer una reclamación si, por ejemplo, esa persona cuelga la foto de nuestro DNI en Twitter o en otra red social”, pero no solo por tenerla.

Sobre la posibilidad de denunciarlo ante las autoridades, Parra señala que solo si han cometido un delito, como podría ser la suplantación, o tenemos sospechas de que vaya a cometerlo. “De hecho, si así fuera, son totalmente compatibles las dos vías: la reclamación ante la AEPD y la denuncia a las autoridades”.

¡Lo último!

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo ha colaborado con sus superpoderes el maldito informático Santiago Casteleiro.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.