¿Qué es la autenticación de dos factores (2FA)?

La mayoría de la gente está familiarizada con los sistemas de seguridad 2FA basados en SMS. En este sistema, una aplicación envía un código numérico al teléfono móvil del usuario cuando este se autentica. El usuario debe introducir su contraseña y el código para continuar. No es suficiente con introducir uno u otro, sino que es necesario introducirlos ambos para la autenticación.

La 2FA es el método de autenticación multifactor (MFA) más común y se refiere a cualquier método en el que los usuarios deben proporcionar más de un factor de autenticación para probar su identidad. 

Aunque la 2FA suele asociarse con los sistemas informáticos, también puede proteger activos y lugares físicos. Por ejemplo, en un edificio de acceso restringido puede ser necesario presentar una tarjeta de identificación y pasar por un escáner de huellas dactilares para entrar.

Según el informe "Cost of a Data Breach" de IBM, las credenciales comprometidas causan el 10 % de las vulneraciones de datos. Las contraseñas son relativamente fáciles de robar para los actores de amenazas a través del phishing, el spyware o los ataques de fuerza bruta.

La autenticación de dos factores ayuda a fortalecer la seguridad de la cuenta al requerir un segundo factor. Los hackers no solo necesitan robar dos credenciales para entrar en un sistema, sino que el segundo factor suele ser algo difícil de piratear. Los segundos factores de riesgo más habituales son las huellas dactilares y la biometría, las claves de seguridad física y las contraseñas que caducan.

Los factores de autenticación son las credenciales que los usuarios proporcionan para verificar sus identidades. Los segundos factores de riesgo más habituales son las huellas dactilares y la biometría, las claves de seguridad física y las contraseñas que caducan. 

Utilizar dos tipos de factores diferentes se considera más seguro que utilizar dos factores del mismo tipo, ya que los hackers necesitan usar métodos distintos para hackear cada factor.

Por ejemplo, los hackers pueden robar la contraseña de un usuario mediante la instalación de un spyware (o software espía) en su ordenador. Sin embargo, dicho spyware no detectaría las contraseñas de un solo uso del smartphone del usuario. Los hackers tendrían que encontrar otra forma de interceptar esos mensajes. 
 
Los tipos de factores de autenticación incluyen:

• Factores de conocimiento
• Factores de posesión
• Factores inherentes 
• Factores de comportamiento

Un factor de conocimiento es un fragmento de información que, en teoría, solo el usuario conocería. Una contraseña es el factor de conocimiento más común. Los números de identificación personal (PIN) y las respuestas a las preguntas de seguridad también son típicos.

En la mayoría de las implementaciones de 2FA, un factor de conocimiento sirve como primer factor de autenticación. 

A pesar de su uso generalizado, los factores de conocimiento son el tipo de factor de autenticación más vulnerable. Los hackers pueden obtener contraseñas mediante ataques de phishing, malware o ataques de fuerza bruta en los que utilizan bots para generar y probar las posibles contraseñas de una cuenta hasta que funcione.

Tampoco suponen un gran reto para los ciberdelincuentes otros tipos de factores de conocimiento. Las respuestas a muchas preguntas de seguridad, como la clásica "¿Cuál es el apellido de soltera de tu madre?", se pueden descifrar fácilmente con una investigación básica o ataques de ingeniería social que engañan a los usuarios para que revelen información personal.

La práctica común de requerir una contraseña y una pregunta de seguridad no es una verdadera 2FA porque utiliza dos factores del mismo tipo, en este caso, factores de conocimiento.

Dos factores de conocimiento serían un ejemplo de un proceso de verificación de dos pasos. El proceso consta de dos pasos (introducir una contraseña y responder a una pregunta), pero utiliza solo un tipo de factor.

La verificación en dos pasos es más segura que una única contraseña porque requiere dos pruebas. Sin embargo, al tratarse de dos factores del mismo tipo, son más fáciles de robar que dos factores de tipo diferente.

Los factores de posesión son cosas que una persona posee. Los dos tipos más comunes de factores de posesión son los tokens de software y los tokens de hardware.

Los tokens de software suelen adoptar la forma de contraseñas únicas (OTP). Los OTP suelen ser códigos de acceso de 4 a 8 dígitos de un solo uso que caducan después de un tiempo establecido. Los tokens de software se pueden enviar al teléfono de un usuario por mensaje de texto, correo electrónico o mensaje de voz. Los tokens también pueden ser generados por una aplicación de autenticación instalada en el dispositivo.

Con un token de software, el dispositivo del usuario actúa como factor de posesión. El sistema 2FA asume que solo el usuario legítimo tiene acceso a la información entregada o generada por ese dispositivo. 

Aunque las OTP basadas en SMS son uno de los métodos de autenticación más fáciles de usar, también son los menos seguros. Los usuarios necesitan conexión a Internet o móvil para recibir estos códigos de autenticación, y los hackers pueden utilizar sofisticados ataques de intermediario (man-in-the-middle) o de phishing para robárselos. 

Las OTP también son vulnerables a la clonación de SIM, en la que los delincuentes crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima y lo usan para interceptar sus mensajes de texto.

Las aplicaciones de autenticación, como Google Authenticator, Authy, Microsoft Authenticator y Duo, pueden generar tokens sin conexión de red. Un usuario empareja la aplicación de autenticación con un servicio, a menudo mediante el escaneo de un código QR. A continuación, la aplicación genera de manera continua contraseñas de un solo uso basadas en el tiempo (TOTP) para el servicio emparejado. Cada TOTP caduca en 30-60 segundos, lo que dificulta el robo. 

Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP. Cuando un usuario inicia sesión en una cuenta, la aplicación envía una notificación push a su sistema operativo iOS o Android, que debe tocar para confirmar que el intento es legítimo.

Aunque las aplicaciones autenticadoras son más difíciles de descifrar que los mensajes de texto, no son infalibles. Los hackers pueden utilizar malware para robar TOTP directamente de los autenticadores. También pueden lanzar ataques de fatiga MFA, en los que inundan un dispositivo con notificaciones push fraudulentas con la esperanza de que la víctima las confirme accidentalmente. 

Los tokens de hardware son dispositivos dedicados, como llaveros, tarjetas de identificación o dongles, que funcionan como llaves de seguridad. Algunos tokens de hardware se conectan al puerto USB de un ordenador y transmiten información de autenticación a la página de inicio de sesión. Otros tokens generan códigos de verificación para que el usuario los introduzca manualmente cuando reciba la instrucción.

Aunque los tokens de hardware son difíciles de piratear, se pueden robar, al igual que los dispositivos móviles de los usuarios que contienen tokens de software. Según el informe "Cost of a Data Breach" de IBM, los dispositivos perdidos o robados son un factor en hasta el 6 % de las vulneraciones de datos.

Los factores inherentes, también conocidos como “biométricos”, son características físicas o rasgos únicos para el usuario, como huellas dactilares, características faciales o patrones retinianos. Muchos smartphones y ordenadores portátiles tienen lectores integrados de rostro y huellas dactilares, y muchas aplicaciones y sitios web pueden utilizar estos datos biométricos como factor de autenticación.

Aunque los factores inherentes son los más difíciles de descifrar, los resultados pueden ser desastrosos cuando se consigue. Si un hacker accede a una base de datos biométricos, puede robar esos datos o vincular sus propios datos biométricos al perfil de otro usuario. Cuando los datos biométricos se ven comprometidos, no pueden cambiarse con rapidez ni facilidad, lo que dificulta detener los ataques en curso.

Los avances en la generación de imágenes mediante inteligencia artificial (IA) suscitan preocupación entre los expertos en ciberseguridad, ya que los hackers podrían utilizar estas herramientas para engañar al software de reconocimiento facial. 

Los factores conductuales son artefactos digitales que verifican la identidad de un usuario en función de los patrones de comportamiento. Algunos ejemplos son el rango de direcciones IP típico de un usuario, la ubicación habitual y la velocidad media de escritura.

Los sistemas de autenticación de comportamiento utilizan la IA y el machine learning (ML) para determinar una línea de base de los patrones normales de un usuario y señalar actividades anómalas, como el inicio de sesión desde un nuevo dispositivo, número de teléfono o ubicación.

Algunos sistemas de autenticación de dos factores permiten a los usuarios registrar dispositivos de confianza como factores. Aunque es posible que el usuario tenga que proporcionar dos factores al iniciar sesión por primera vez, el uso del dispositivo de confianza actuará automáticamente como segundo factor en el futuro.

Los factores de comportamiento también desempeñan un papel en los sistemas de autenticación adaptativa, que cambian los requisitos de autenticación en función del nivel de riesgo. Por ejemplo, es posible que un usuario solo necesite una contraseña para iniciar sesión en una aplicación desde un iPhone de confianza en la red de la empresa. Es posible que ese usuario deba añadir un segundo factor para iniciar sesión desde un dispositivo nuevo o una red desconocida. 

Mientras que los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios, su implementación requiere importantes recursos y experiencia. Además, si un hacker consigue acceder a un dispositivo de confianza, puede hacerse pasar fácilmente por el usuario.

Los sistemas de autenticación de dos factores sin contraseña solo aceptan factores de posesión, inherentes y de comportamiento, no de conocimiento. Por ejemplo, pedir a un usuario que introduzca su huella dactilar junto con un token físico constituiría 2FA sin contraseña.

La autenticación sin contraseña elimina los factores de conocimiento porque son fáciles de comprometer. Si bien la mayoría de los métodos actuales de 2FA utilizan contraseñas, los expertos del sector anticipan un futuro cada vez más sin contraseñas. 

Las claves de acceso, como las basadas en el popular estándar FIDO, son una de las formas de autenticación sin contraseña más comunes. Utilizan criptografía de clave pública para verificar la identidad de un usuario.

Según el informe "Cost of a Data Breach", las credenciales comprometidas y el phishing son los dos vectores de ciberataque más comunes. Juntos, representan alrededor del 26 % de las vulneraciones de datos. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los hackers pueden utilizar para secuestrar cuentas y dispositivos legítimos y causar estragos.

Los hackers suelen atacar las contraseñas porque son relativamente fáciles de descifrar mediante fuerza bruta o engaño. Además, como la gente reutiliza las contraseñas, los hackers a menudo pueden utilizar una sola contraseña robada para entrar en varias cuentas. Las consecuencias de una contraseña robada pueden ser graves para los usuarios y las organizaciones, ya que pueden derivar en robo de identidad y/o de dinero, sabotaje del sistema y más.

La autenticación de dos factores ayuda a frustrar el acceso no autorizado al añadir una capa adicional de seguridad a los sistemas de gestión de identidades y accesos (IAM). Incluso si los hackers pueden robar una contraseña, aún necesitan un segundo factor para obtener acceso a una cuenta. 

Además, estos segundos factores suelen ser más difíciles de robar que un factor de conocimiento. Los hackers tendrían que falsificar datos biométricos, imitar comportamientos o robar dispositivos físicos. 

Los métodos de autenticación de dos factores también pueden ayudar a las organizaciones a satisfacer ciertas obligaciones de cumplimiento. Por ejemplo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) requiere explícitamente MFA para los sistemas que gestionan los datos de las tarjetas de pago.

Otras normativas, como la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD), no requieren explícitamente la 2FA. Sin embargo, la 2FA puede ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.

Aunque la autenticación de dos factores es más sólida que los métodos de un solo factor, especialmente los que solo utilizan contraseñas, la 2FA no es infalible. En concreto, los hackers pueden abusar de los sistemas de recuperación de cuentas para eludir la 2FA y hacerse con una cuenta.

Por ejemplo, un hacker puede hacerse pasar por un usuario válido que ha perdido el acceso y necesita restablecer las credenciales de su cuenta. Los sistemas de recuperación de cuentas a menudo requieren otros medios de autenticación, como la respuesta a una pregunta de seguridad. Si esa pregunta es tan básica como "apellido de soltera de la madre", el hacker puede descubrir la respuesta tras una breve labor de investigación, y después restablecer la contraseña de la cuenta y bloquear el acceso al usuario real.  

Los hackers también pueden comprometer una cuenta al obtener acceso a otra. Por ejemplo, si un atacante quiere acceder a un sistema corporativo sensible, primero podría hacerse con la cuenta de correo electrónico de un usuario. A continuación, pueden solicitar un restablecimiento de contraseña con el sistema corporativo, que envía un correo electrónico a la cuenta que ahora controla el hacker.

La 2FA basada en SMS, quizás la forma más común de 2FA, puede piratearse mediante una sofisticada ingeniería social. El atacante puede hacerse pasar por su objetivo y llamar al proveedor de telefonía del objetivo, alegando que le han robado el teléfono y que debe transferir su número a uno nuevo. A continuación, las OTP se envían al teléfono que controla el hacker en lugar del teléfono del objetivo.  

Los usuarios pueden protegerse de estos ataques al asegurarse de que todas sus cuentas (correo electrónico, proveedores de telefonía, etc.) requieren una 2FA o MFA segura. Al establecer la MFA en todas las cuentas, se dificulta que los hackers utilicen una cuenta para comprometer otra.

Los usuarios también pueden asegurarse de que los factores de autenticación que elijan sean difíciles de descifrar. Los datos biométricos y los tokens de seguridad física, por ejemplo, son más difíciles de robar que las respuestas a las preguntas de seguridad.