En octubre de 2021 Google comenzó a activar la autenticación en dos pasos en las cuentas de forma automática y aplicó esta medida a 150 millones de cuentas y 2 millones de cuentas de YouTube. El objetivo detrás de esta medida fue minimizar el éxito de los ataques que buscan comprometer cuentas. Esta semana, la compañía compartió algunos números sobre el impacto de esta decisión y aseguró que se redujo en un 50% el compromiso de cuentas en comparación con las que no tenían activada la verificación en dos pasos.
La autenticación en dos pasos, también conocida como verificación en dos pasos o 2FA, es una capa de seguridad adicional que se agrega a las cuentas para que su seguridad no dependa únicamente de una contraseña. De esta manera, a la hora de acceder a una cuenta, luego de ingresar su contraseña los usuarios que tengan habilitada la autenticación en dos pasos deberán validar su identidad con un mecanismo adicional. Este proceso puede ser realizado de diversas maneras. Las formas de autenticación más comunes suelen ser el ingreso de un código que llega a través de un SMS o mediante una app de autenticación, como Google Authenticator, que proporciona un código de un solo uso. Pero existen otras alternativas, como los tokens físicos, preguntas secretas o mediante datos biométricos.
Con el 2FA activado, el criminal no podrá acceder a la cuenta porque el dispositivo que recibe el código de verificación está en manos del propietario de la cuenta, dándole un mayor control sobre la seguridad.
Lo cierto es que la efectividad de la autenticación en dos pasos para prevenir el robo de cuentas ya ha sido demostrada en más de una oportunidad. Un estudio de Google en 2019 revelaba que asociar a tu cuenta de Google un número de teléfono para recuperar el acceso mediante el envío de un código a través de SMS ayudaba a bloquear el 100% de los bots automáticos, el 99% de los ataques de phishing masivos, y el 76% de los ataques dirigidos. Por su parte, datos publicados por Microsoft en 2020 basados en el monitoreo de 30 mil millones de inicios de sesión diarios revelaban que el 99.9% de las cuentas comprometidas no tenían habilitada la autenticación en dos pasos.
Y si bien es sabida la efectividad del doble factor de autenticación, el problema generalmente tiene que ver con que su adopción presenta números bajos. Twitter, por ejemplo, reveló en julio del año pasado que apenas el 2.3% de las cuentas activas habían habilitado la autenticación en dos pasos entre julio y diciembre de 2020. En 2020, datos del ESET Security Report mostraban que en América Latina solo el 17% de las empresas implementaba el doble factor de autenticación como medida de seguridad. Y esto pese a que el acceso indebido es una de las principales preocupaciones en términos de seguridad.
Lectura recomendada: 5 formas en que los cibercriminales roban contraseñas (y cómo evitarlo)
Los pilares para tener una vida digital lo más segura posible es utilizar contraseñas fuertes y únicas (considerar frases contraseña) para cada una de las cuentas y apoyarse en el uso de un administrador de contraseñas para guardar cada una de estas contraseñas únicas y también para crear contraseñas robustas. Además, como mencionamos en este artículo, activar la autenticación en dos pasos para todas las cuentas online que ofrezcan esta opción.
Si aún no has activado la autenticación en dos pasos en tus perfiles de redes sociales y otras cuentas online, en el siguiente artículo compartimos detalles sobre cómo configurar esta capa extra de seguridad en plataformas como Google, Yahoo, Microsoft, Facebook, Instagram o WhatsApp.
Lectura recomendada: 10 reglas esenciales de seguridad en Internet