Glosario de términos relacionados con la privacidad en Internet

App de autenticación

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué es una aplicación de autenticación?

Una app de autenticación es una aplicación de seguridad que suele ejecutarse en su dispositivo móvil, generando códigos temporales para la autenticación multifactor. El código temporal se usa junto con el ID de usuario y la contraseña como parte de un protocolo de inicio de sesión mejorado que tiene como objetivo proporcionar mayor seguridad. Estos protocolos mejorados de inicio de sesión pueden aplicarse al iniciar sesión en sitios web, software u otras aplicaciones.

Algunas apps de autenticación tienen capacidades adicionales, pero la tarea principal es reemplazar la entrega de un código temporal de 6 a 8 dígitos a través de texto, voz o correo electrónico. Una app de autenticación es más segura que muchas opciones de MFA (particularmente el texto SMS) y puede ser más fácil de usar.

¿Qué significa autenticación multifactor?

Autenticación multifactor (MFA) es un proceso de inicio de sesión que requiere múltiples formas de prueba de identidad, a menudo incluyendo una contraseña, datos biométricos o un token de seguridad. Cada elemento enviado con el ID de usuario se llama un factor. MFA requiere más de un factor para autentificar la identidad declarada del individuo. Un buen proceso de MFA requiere diferentes tipos de factores, incluyendo factores que son muy difíciles de adquirir para un hacker. MFA está volviéndose más común porque los ataques de phishing y las violaciones de datos han debilitado la seguridad del inicio de sesión tradicional de una sola contraseña.

La configuración de inicio de sesión de MFA más prevalente, a veces llamada autenticación de dos factores o 2FA, es un ID de usuario seguido de una contraseña (el primer factor) y luego un código temporal de 6 a 8 dígitos (el segundo factor), usualmente transmitido al usuario a través de un mensaje de texto SMS. Este código temporal se llama contraseña de un solo uso, o OTP por sus siglas en inglés. Si bien los OTP en general añaden seguridad adicional al proceso de inicio de sesión, usar textos SMS para entregar el OTP puede introducir riesgos de seguridad.

Las apps de autenticación proporcionan un método más seguro de entregar OTPs al reemplazar el método vulnerable de texto SMS con una herramienta que está en posesión del usuario. Dado que el OTP proviene directamente de la app en el teléfono del usuario, no hay transmisiones que puedan ser potencialmente interceptadas. También reduce la posibilidad de que un usuario se convierta en víctima de un intento de phishing para robar un OTP por texto.

¿Cómo funcionan las apps de autenticación?

Una app de autenticación—que se basa en criptografía—crea un código de acceso único basado en el tiempo (TOTP). Este algoritmo TOTP calcula un OTP basado en la hora del día y un secreto conocido solo por su app de autenticación y el servicio en el que está iniciando sesión. El algoritmo privado se transmite del servicio a la app de autenticación durante el proceso de configuración. El TOTP cambia frecuentemente, usando el mismo algoritmo y el nuevo tiempo actual.

Cuando necesita un TOTP para iniciar sesión en un sitio o servicio, la app de autenticación tiene uno listo. Todo esto sucede en su teléfono—no hay interacción con la red. Ingrese el código como parte del inicio de sesión; el servicio luego usa el mismo algoritmo y la hora actual para verificar el código que ingresó. Cuando el código ingresado coincide con el código calculado por el servicio, ha iniciado sesión con éxito.

Algunas apps de autenticación, en coordinación con los proveedores de servicios, pueden hacer más que solo proporcionar TOTPs. También pueden reemplazar la entrada de contraseña con factores biométricos como huellas digitales o escaneos faciales. Algunas pueden establecer protocolos de notificación push—un proceso que pausa el procedimiento regular de inicio de sesión para solicitar la aprobación del inicio de sesión por parte del propietario de la cuenta.

¿Por qué son una buena opción las apps de autenticación?

Las apps de autenticación ofrecen varias mejoras sobre otros procedimientos de MFA:

  • Los mensajes de texto SMS no están encriptados y son fáciles de interceptar. Los TOTPs proporcionados por las apps de autenticación nunca se transmiten, y por lo tanto no pueden ser interceptados.
  • Los códigos SMS son válidos por períodos de tiempo más largos (15 minutos es común), dando a un hacker tiempo para usar el código robado. En cambio, los códigos de las apps de autenticación son válidos solo por un minuto o menos.
  • Algunos teléfonos muestran mensajes de texto mientras el teléfono está en reposo, incluyendo la visualización de un OTP. Esto significa que cualquier persona puede potencialmente ver el OTP enviado por texto. Las apps de autenticación requieren que desbloquee el teléfono e incluso la app antes de que pueda ver el OTP.
  • Las apps de autenticación son más fáciles de usar—no requieren revisar correos electrónicos o mensajes de texto, ni escuchar un mensaje de voz. Es más probable que una persona utilice una app de autenticación en más cuentas, aumentando la seguridad general.
  • Es menos probable que un hacker pueda secuestrar o copiar la funcionalidad de su app de autenticación. Tendrían que interceptar el algoritmo generador de códigos inicial, obtener acceso a la app una vez instalada en su teléfono, o tomar control de su número de teléfono a través de un ataque de intercambio de SIM (lo cual es posible pero menos común).

¿Son diferentes las apps de autenticación de los gestores de contraseñas?

El objetivo principal de un Gestor de contraseñas es hacer seguimiento de contraseñas estáticas (permanentes), y a veces ID de usuario y otra información personal. Sin embargo, hay algunos Gestores de contraseñas que también pueden funcionar como una app de autenticación y proporcionar OTPs. Otros gestores de contraseñas se sincronizarán con ciertas apps de autenticación para agilizar el proceso de MFA. Usar un gestor de contraseñas como una app de autenticación, o integrarse con una, tiene la ventaja de sincronizar todo en todos tus dispositivos.

Seleccionar y configurar una app de autenticación

En un entorno de trabajo o escuela, es posible que se te requiera usar una app de autenticación específica por un administrador de TI. Para uso personal, debes seleccionar una de la tienda de aplicaciones oficial de tu teléfono. Basa tu selección en las características que te importan y en qué plataforma necesitas que funcione (por ejemplo, iOS o Android). Algunas apps de autenticación se centran en privacidad o seguridad, mientras que otras pueden priorizar el funcionamiento dentro de redes de trabajo, o ofrecer acceso a través de periféricos como un reloj inteligente. Las apps de autenticación generalmente son gratuitas. Sé cauteloso con aquellas que cuestan directamente o requieren compras dentro de la app—las tarifas pueden indicar un desarrollador sospechoso.

Aunque todas las apps de autenticación realizan la tarea básica de generar TOTP, hay algunas buenas características a buscar. Una app que te permita respaldar tus datos en caso de que pierdas o cambies de teléfono puede ahorrarte mucho tiempo en el futuro. Otras cosas a buscar son encriptar los datos almacenados, funcionalidad en múltiples plataformas (móvil y computadora de escritorio), e integración con un gestor de contraseñas. Elegir una app de un editor de confianza siempre es una buena idea.

Una vez que la app esté instalada y hayas configurado cualquier cuenta requerida con la autenticación (no todas las apps de autenticación requieren una cuenta), ve al sitio web de cada proveedor de servicios y comienza el proceso ahí. En la sección de configuraciones de seguridad, activa MFA o 2FA y luego selecciona “app de autenticación” como el método. Registrar tu app en el sitio web generalmente solo requiere escanear un código QR mostrado en la pantalla y luego confirmar con un TOTP.

Otras mejores prácticas de seguridad

Usar una app de autenticación es un gran paso para aumentar la seguridad de tus cuentas en línea. Aquí hay algunos pasos adicionales que puedes seguir:

  • Mantén la app de autenticación en un dispositivo seguro—tu teléfono debe necesitar algo como un PIN, huella digital o escaneo facial para desbloquearlo.
  • Activa la opción de MFA siempre que esté disponible.
  • Si la única opción de MFA disponible son los códigos OTP por SMS, entonces sigue siendo recomendable usarlo en lugar de nada. No obstante, se recomienda que tengas un número de teléfono prepagado separado o un número de teléfono de Google Voice solo para recibir estos códigos OTP por SMS.
  • Nunca compartas una contraseña de un solo uso con nadie más.
  • No confíes únicamente en una app de autenticación para proporcionar toda la seguridad que necesitas. Sigue practicando buenos hábitos de contraseñas creando contraseñas fuertes y únicas.
  • Usa un gestor de contraseñas para ayudar a gestionar el proceso de inicio de sesión. Esto aumenta la seguridad y facilita el iniciar sesión.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.