En 2021, millones de cuentas de Google y YouTube empezaron a contar con la posibilidad de tener una autenticación de dos factores, también conocida como 2FA. En 2022, tras un año de evaluaciones que realizó la compañía, se informó que el efecto de esta decisión fue positivo porque se redujo en un 50% el compromiso de cuentas en contraste con las que no tenían habilitada la verificación en dos pasos.
Estas cifras marcan la importancia de los 2FA para que tanto personas individuales como empresas generen una estrategia de ciberseguridad robusta. Por ese motivo, las principales compañías tecnológicas ya desarrollan este tipo de tecnologías y, según la firma internacional MarketsAndMarkets, este mercado estuvo valuado en US$ 15.200 millones en 2023 y alcanzará los US$ 34.800 millones en 2028.
Sin embargo, aún quedan millones de personas alrededor del mundo que no utilizan esta tecnología, ya sea de forma personal o corporativa. Por ese motivo, es preciso demostrar con datos los beneficios de los 2FA y sus capacidades para reducir todo tipo de ciberataques.
En un contexto donde las amenazas cibernéticas crecen año a año, esta tarea resulta crucial y puede ayudar a muchos usuarios a proteger sus cuentas y, de esta manera, evitar problemáticas que incluyen desde pérdida de dinero hasta suplantación de identidad.
Introducción: qué es y cómo nació la autenticación de dos factores
La autenticación en dos factores, también conocida como 2FA, es un modelo o sistema de autenticación que le requiere al usuario generar una doble verificación para acceder a una plataforma, aplicación o sitio web. Esta multiplicación de factores agrega una capa extra de seguridad con el objetivo de proteger la información y los datos de la persona, una cuestión fundamental en un contexto donde los ciberataques continúan creciendo.
Cifras oficiales aportadas por Entel Digital en cuanto a ciberseguridad, destacan que durante 2023 Chile fue el cuarto país en América Latina en cantidad de delitos informáticos. Solo superado por Brasil, México y la Argentina, el país escaló del séptimo al cuarto lugar en un año, con 21 ataques de ransomware y un promedio de 1,9 incidencias por mes.
“Esto es casi el doble que en 2021 y tres veces más que en 2022, cuando se registraron siete. Para la muestra de ransomware, los equipos de investigación de Entel Digital analizaron más de 440 casos de 19 países de Latinoamérica. De ellos, 42 eran de Chile de 16 industrias diferentes”, destaca el informe.
En esa línea, una de las recomendaciones más frecuentes para los individuos es activar el factor de doble autenticación siempre que sea posible. Si bien es una tecnología que actualmente está en auge, data de hace varias décadas cuando la empresa RSA comenzó a comercializarla en 1986. Sin embargo, en ese momento era bastante diferente a lo que se encuentra hoy en día. En su primera versión, la 2FA consistía en un llavero con una pequeña pantalla de LCD que se podía transportar fácilmente. En la pantalla se mostraba un código numérico que se añadía a las contraseñas y así se sumaba el segundo factor de identificación.
Durante más de 20 años esta fue la forma preponderante de 2FA, sobre todo en grandes empresas. Sin embargo, en 2011, esto cambiaría luego de que Google revelara haber sufrido varios ciberataques desde China. Esto generó que desarrollara mejoras en esta tecnología que primero aplicó a cuentas comerciales y luego al público general. Tras este proceso, otras compañías como Microsoft, Twitter, Apple y Amazon crearon sus propias opciones de doble autenticación y, desde entonces, se han mejorado exponencialmente estos sistemas.
En la actualidad, los 2FA están disponibles en casi todas las plataformas de relevancia, ya que se convirtieron en un estándar de ciberseguridad. De todas formas, aún hay muchos usuarios que no los utilizan, lo que genera una problemática a resolver porque, al no hacerlo, aumenta sustancialmente la posibilidad de sufrir un ciberataque. Tanto que, según datos de Microsoft, el 99.9% de las cuentas comprometidas no tenían esta capa tecnológica agregada.
Tipos de factores de autenticación en 2FA
En términos generales, existen tres grandes tipos de factores de autenticación en 2FA. El primero es conocido como un factor de conocimiento (algo que se conoce, como por ejemplo una contraseña o un PIN), el segundo es un factor de posesión (es decir, algo que se tiene, como un dispositivo móvil o una tarjeta de identificación) y el tercero es un factor de inherencia, por ejemplo, una huella digital o la propia voz.
Factor de conocimiento
El factor de conocimiento es el más común de todos los 2FA porque el usuario solo necesita demostrar que conoce algo que es secreto para poder generar el ingreso. En general se trata de una contraseña que debería combinar letras, números y algún carácter especial para que sea robusta y poco usual. También se suele utilizar respuestas a preguntas establecidas que solo el individuo conoce.
Factor de posesión
Para explicar los factores de posesión, se suele usar el ejemplo de una llave física que una persona tiene en su poder para abrir una cerradura. Este sistema funciona de forma similar, aunque a través de una memoria USB con un identificador único o una tarjeta identificatoria, que son los elementos más frecuentes.
Factor de inherencia
Los factores inherentes son aquellos que están asociados directamente a la personas y, por lo general, son datos biométricos. Lectores de huellas dactilares, de retina o reconocimiento de voz son los más usuales. De todas formas, algunos de ellos, como el reconocimiento de voz, están en duda en la actualidad porque se pueden falsificar fácilmente con inteligencia artificial.
Funcionamiento y obtención de la autenticación de dos factores
El funcionamiento del doble factor de autenticación es relativamente sencillo para el usuario. El mismo consiste en una doble verificación de identidad a través de dos factores distintos. El primero suele ser una contraseña que, una vez ingresada correctamente, habilita la aparición del segundo factor: un código generado en el momento, un dato biométrico, una respuesta secreta o incluso un USB cifrado.
De esta manera, si un usuario no registrado logra sobrepasar el primer factor, aún debe traspasar el segundo para acceder a la información. Además, por lo general, se suele enviar un mensaje a través de otro método, por ejemplo SMS o mail, al dueño de la cuenta para dar aviso sobre la activación del segundo factor.
En cuanto a la obtención del 2FA, también hay distintos formatos para el acceso. En algunos casos la propia plataforma los genera, pero, en caso de que no lo haga, existen aplicaciones que los producen. Algunas de estas últimas incluso son gratuitas, como es el caso de 2FA Authenticator y Microsoft Authenticator, entre varios otros más.
En lo que respecta a canales de obtención, en la actualidad también existen múltiples opciones. Las más frecuentes suelen ser SMS y correo electrónico debido a la penetración de los smartphones y la conectividad móvil en todas las regiones del planeta. Aunque también existen otras como las llaves de seguridad con USB, Bluetooth y NFC y los códigos de recuperación.
Ejemplos y aplicaciones prácticas de la autenticación de dos factores
Las aplicaciones que generan autenticación de dos factores tienden a considerarse como más seguras que otros sistemas, sobre todo aquellos que integran SMS. Al no estar conectadas directamente a Internet o una empresa de telefonía celular, contienen un factor menos de riesgo que los atacantes puedan interceptar para generar un delito informático. Por otro lado, solo generan códigos para acceder a las cuentas, pero no ingresan en ellas, lo que resulta otra ventaja adicional.
En la actualidad existen decenas de aplicaciones gratuitas que ofrecen el servicio de autenticación en dos factores. La mayoría de ellas están disponibles tanto para sistema operativo Android como iOS y son intuitivas para utilizar. Entre los ejemplos más utilizados se encuentran:
- Google Authenticator
- 2FA Authenticator
- Microsoft Authenticator
- Twilio Authy
- FreeOTP
La relevancia del 2FA para la ciberseguridad
Los factores de doble autenticación son extremadamente importantes en términos de ciberseguridad. Según datos oficiales y la experiencia de expertos en el sector, el 90% de las contraseñas pueden ser descifradas entre 5 y 6 horas por un hacker con la tecnología disponible para hacerlo. Por lo tanto, contar con una segunda capa de seguridad se vuelve especialmente relevante.
La incorporación del 2FA minimiza considerablemente la posibilidad de que una persona ingrese a una cuenta, ya sea de un individuo o una empresa, para robar y utilizar información y datos privados. Si bien esta tecnología debe ser incluida dentro de una estrategia más grande de ciberseguridad, es una de las cuestiones más importantes a incorporar. Sobre todo porque agrega un paso más de acceso pero, además, envía mensajes al propietario de la cuenta en caso de registrar intentos de ingreso dudosos.
Desde Gitnux, firma de investigación global, comparten datos que respaldan la importancia de esta tecnología en términos de ciberseguridad. En esa línea, el 2FA puede bloquear el 100% de los bots automatizados, el 96% de los ataques de phishing y el 76% de los ataques dirigidos.
Implementación y beneficios del 2FA en las empresas
Por lo general se suele hacer mención a los beneficios del 2FA para las personas individuales. Sin embargo, las ventajas también son relevantes para las empresas porque suelen resguardar mucha información que, de ser robada a través de un ciberataque, puede desencadenar una serie de problemáticas graves.
Esta cuestión gana aún más importancia en la actualidad porque la mayoría de las compañías implementan sistemas laborales híbridos. Si bien esto es una ventaja para la dinámica laboral, al sumarse accesos desde dispositivos remotos también se agiganta la posibilidad de sufrir ciberataques. Por ese motivo, el 2FA resulta una tecnología clave para que los empleados puedan ingresar a las plataformas y aplicaciones corporativas sin la preocupación de generar brechas de seguridad.
Por otro lado, los ciberataques no solo generan daños operacionales sino también de credibilidad. De cara a los clientes, las empresas que sufren crímenes informáticos pueden perder reputación y usuarios debido a estas situaciones. Por ese motivo, sumar 2FA también es un beneficio para demostrar robustez y seriedad a quienes son clientes de la compañía.
Finalmente, otra ventaja que suele destacarse para las empresas a la hora de invertir en 2FA es que reducen los costos y pérdidas porque evitan casos de fraude. Esto genera que los equipos de atención al cliente puedan enfocarse en otras labores y ser más eficientes en sus trabajos..
Riesgos y precauciones asociados con la autenticación de dos factores
Si bien la autenticación de dos factores es una tecnología recomendada para mitigar ataques cibernéticos, esto no quiere decir que sea infranqueable. Es cierto que baja considerablemente la posibilidad de sufrir un ingreso no deseado a una cuenta pero, de todas formas, existen riesgos y preocupaciones asociadas a esta tecnología.
Uno de los riesgos más usuales es el de sufrir un SIM Swapping con el cual los hackers atacan directamente al método 2FA. Es decir, se hacen del SMS recibido para el ingreso y, una vez dentro, modifican la contraseña y se apoderan de la cuenta. Por ese motivo, se suele recomendar utilizar aplicaciones de generación de códigos y dejar de lado el sistema relacionado con mensajes de texto.
Otra preocupación cada vez más alarmante es el ataque a través de phishing, una metodología que crece a nivel global. Por lo general, los hackers utilizan sistemas para engañar a las personas y hacerse de los códigos emitidos por los 2FA. A través de mensajes que simulan ser el operador de la plataforma o mails muy similares a los de atención al cliente de una empresa, piden el token de ingreso y si la persona se los otorga, se hacen de la cuenta. Por ese motivo es importante saber que las compañías jamás pedirán a sus usuarios información de datos personales y no se debe compartirlos con nadie.
Finalmente, una preocupación actual es la suplantación de identidad a través de inteligencia artificial. Muchos 2FA recaen en el uso de identificación por voz o retina. Hoy en día hay herramientas de IA que duplican a la perfección desde la voz hasta la cara de un sujeto y, por lo tanto, permiten vulnerar cuentas privadas. Esta dinámica preocupa a los expertos en ciberseguridad e impulsan a las compañías del sector a crear nuevas soluciones para frenar su expansión.
Casos de estudio: ataques cibernéticos mitigados por el 2FA
Expertos en ciberseguridad que estudian este campo de innovación señalan que uno de los ataques que mitigan los 2FA son los 1/51. Este sistema consiste en un hacker llevando a cabo un ataque de fuerza bruta en el cual prueba 51 combinaciones de contraseñas diferentes de forma muy veloz hasta dar con la correcta. Está comprobado que una gran parte de la población elige contraseñas débiles y que siguen patrones que los delincuentes estudian para hacer más fácil su labor. Por ese motivo, al tener un 2FA se mitiga esta posibilidad porque, aun si obtiene la contraseña, el atacante debe pasar una segunda capa de seguridad y, además, se da aviso al dueño de la cuenta de que algo extraño está ocurriendo.
Por otro lado, los 2FA que generan códigos son mucho más eficaces que aquellos que envían un SMS como segundo factor de autenticador porque un delito común es el SIM Swapping. Este delito permite clonar la SIM de un celular y, por lo tanto, recibir toda la información que le llega al original. Entonces, al llegar el SMS con el segundo factor de autenticación, al hacker también le llega y le permite ingresar primero a la cuenta y cambiar la contraseña para hacerse de ella.
Finalmente, los 2FA son altamente efectivos contra los phishing. Esta modalidad consiste en una serie de técnicas con las cuales los hackers engañan a sus víctimas para obtener datos sensibles como las contraseñas a sus cuentas. Es muy común que se hagan pasar por personal de las empresas y pidan información confidencial con la excusa de estar haciendo actualizaciones u otro tipo de actividades. Es importante recalcar que ninguna compañía hará esto de forma oficial, pero aun así hay muchas personas que suelen caer en la trampa. Lo positivo de los 2FA es que aun cayendo en la trampa, si hay un segundo factor de autenticación, los delincuentes no podrán acceder y darán tiempo a los usuarios a darse cuenta de la estafa.
Futuro de la autenticación de dos factores: tendencias y desarrollos emergentes
La autenticación de dos factores es una tecnología relativamente nueva si se tiene en cuenta que sus versiones actuales fueron creadas a partir de 2010. Si bien en la última década se realizaron grandes avances en este segmento aún queda mucho por realizar y de cara al futuro la principal tendencia es agregar a los 2FA otras tecnologías.
En este campo, la biometría es la tecnología que más desarrollos está generando a partir de un concepto llamado “Mobile-centric Biometric Authentication’”. El mismo hace referencia al análisis de datos biométricos no solo para ingresar a las cuentas, sino también para analizar el comportamiento en el dispositivo. De esta manera, y sumando otras tecnologías como inteligencia artificial, se puede detectar si el comportamiento dentro de la plataforma o aplicación no es el habitual y bloquear el uso en caso de detectar actividades sospechosas.
Otras alternativas que crecen y son cada vez más habituales se relacionan con hardwares. Pequeños USB encriptados que se conecten para dar acceso o dispositivos que hagan lo mismo a partir de bluetooth o NFC son una de las opciones. Por otro lado, también se trabaja en códigos QR personales que cumplan con la misma función.
De continuar este proceso, la meta es ir hacia un futuro sin contraseñas, ya que pueden ser fácilmente descifradas por los hackers, y que los factores de autenticación sean propios de la persona. Ya sea que estos sean intrínsecos a ellas, como sus datos biométricos relacionados a huellas digitales o retinas, o de posesión, gracias a dispositivos que solo ese individuo tenga, serán los 2FA utilizados con mayor frecuencia en los próximos años.
Conclusiones: la necesidad inminente de fortalecer la seguridad digital con 2FA
Las cifras arrojadas por decenas de estudios realizados a nivel global y la opinión de los expertos en ciberseguridad son contundentes con respecto a los 2FA: esta tecnología es necesaria para disminuir los ciberataques. Al agregar una capa extra de seguridad, protege mejor a la información guardada dentro de plataformas y aplicaciones y disminuye las posibilidades de que un hacker tenga éxito al intentar ingresar a una cuenta ajena.
Los datos oficiales destacan que el uso de la autenticación de dos factores aumentó un 51% de 2017 a 2021. De todas formas, aún existen millones de personas alrededor del mundo que no implementan esta tecnología, incluso cuando existen aplicaciones gratuitas para acceder a ella, y eso es una problemática a resolver. Sobre todo porque el 99.9% de las cuentas comprometidas no tenían esta capa tecnológica agregada.
Por otro lado, desde la pandemia los ciberataques aumentan año a año y Chile es un caso relevante de esto porque pasó del séptimo puesto a nivel regional al cuarto en 2023 en la tabla de más delitos informáticos registrados. Por lo tanto, cada vez será más relevante el uso de los 2FA y de las tecnologías que se asociarán a ellos en el futuro cercano, como la biometría y la inteligencia artificial.
De esta manera se logrará robustecer la seguridad de aquellos datos que resultan vitales para la vida cotidiana de los individuos y las empresas y que hoy se encuentran en plataformas y aplicaciones digitales.