Glosario de términos relacionados con la privacidad en Internet

Autenticación multifactor

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué es la autenticación multifactor?

La autenticación multifactor (MFA) es un proceso de inicio de sesión que requiere múltiples formas de prueba de identidad, a menudo incluyendo una contraseña, datos biométricos o un token de seguridad. Al iniciar sesión, una persona proporciona una identidad—como un nombre de usuario o correo electrónico—y luego autentifica esta identidad proporcionando información adicional como una contraseña. Cada elemento de autentificación se llama un factor. MFA requiere más de un factor para autentificar la identidad declarada del individuo. Una configuración MFA común es un ID de usuario seguido de una contraseña y luego un código temporal de 6-8 dígitos.

Un término similar es la autenticación de doble factor, también llamada autenticación en dos pasos o 2FA. Este término especifica que se requieren exactamente 2 factores, mientras que el más general MFA significa que se necesitan dos o más factores. MFA está volviéndose más común tanto como un proceso de inicio de sesión opcional para el usuario como requerido. MFA puede ser usado al iniciar sesión en una computadora, desbloquear un dispositivo móvil o iniciar sesión en una cuenta o aplicación. MFA es particularmente común al iniciar sesión en una cuenta en un dispositivo no usado previamente para acceder a esa cuenta.

Hábitos de seguridad laxos y herramientas de hacking mejoradas han debilitado la seguridad del método tradicional de inicio de sesión con un ID de usuario y contraseña. Cuando se enfrentan a tantos IDs y contraseñas que recordar, los usuarios a menudo recurren a usar un correo electrónico como ID y reutilizan contraseñas en múltiples inicios de sesión. Esto hace que las cuentas sean más fáciles de hackear, especialmente con los métodos más avanzados de hacking y ingeniería social de hoy en día.

Los factores adicionales requeridos por un inicio de sesión MFA añaden complejidad, haciendo más difícil romper las capas de seguridad. Un hacker puede conocer el ID de un usuario (especialmente si es una dirección de correo electrónico) y puede adquirir una contraseña almacenada a través de una violación de datos, phishing, o el descifrado de contraseñas. Pero si el hacker no tiene acceso a la fuente del factor adicional (por ejemplo, no pueden obtener el código de 6 dígitos enviado al teléfono móvil del propietario de la cuenta), entonces no podrán completar el proceso de inicio de sesión. Cada vez más propietarios de bases de datos y proveedores de servicios están confiando en MFA por su mayor seguridad contra el acceso no autorizado a cuentas.

¿Cómo funciona la autenticación multifactor?

Para ser más efectivos, los factores deben ser de diferentes tipos o de diferentes fuentes. Usar dos contraseñas no es mucho más seguro que usar una—a violación de datos que contiene una contraseña probablemente tendrá también la segunda contraseña.

Los factores generalmente se dividen en tres categorías:

  • Algo que sabes. Esto suele ser una contraseña memorizada o PIN.
  • Algo que tienes. A menudo un generador de tokens o una app en tu dispositivo móvil, o un mensaje SMS enviado a tu dispositivo.
  • Algo que eres. A menudo tu huella digital o reconocimiento facial.

Combinaciones de estos tipos de autentificación (saber + tener, saber + ser, tener + ser) son más difíciles de hackear o robar. Alguien podría robar una contraseña, pero no una huella digital. Y si no tienen tu teléfono móvil, no pueden recibir los códigos de autentificación enviados a este.

Tipos de autenticación multifactor

Contraseña de un solo uso (OTP)

Este proceso de MFA es familiar para muchas personas. Requiere que el usuario introduzca un código de 6-8 dígitos enviado a su teléfono móvil, por correo electrónico o proporcionado en un mensaje de voz. Esto cae bajo el tipo de factor “tener”—por ejemplo, asume que el usuario legítimo está sosteniendo el teléfono que recibe el código enviado por mensaje de texto o grabado por voz. Estos códigos a menudo solo son viables por un tiempo limitado, tal vez de 10-30 minutos. La expiración significa que hay menos posibilidad de que el código se adivine antes de que quede obsoleto.

Recibir un OTP vía texto tiene algunos inconvenientes:

  • Los mensajes SMS no asegurados pueden ser interceptados.
  • El phishing es un problema. Los usuarios pueden ser engañados para proporcionar un OTP cuando un hacker envía un mensaje de texto o correo electrónico fingiendo ser la organización con la que estás tratando de iniciar sesión. Por ejemplo, el hacker tratando de iniciar sesión usando una identificación y contraseña robadas podría enviar un mensaje con un enlace a un sitio web falso. El sitio web falso recopilará la OTP que el usuario introduce sin saberlo, y luego el hacker puede usar el código en el sitio web real.
  • Un dispositivo móvil robado con poca seguridad personal puede poner los mensajes SMS en manos del ladrón.
  • Necesitas un dispositivo móvil y buena conexión a Internet para recibir el mensaje con el código.
  • Un atacante puede convencer a tu proveedor de servicios móviles para portar tu número a una nueva tarjeta SIM (a menudo llamado un “ataque de intercambio de SIM”).

OTP basado en token

Un token de seguridad OTP puede ser software instalado en el dispositivo de un usuario, o un pequeño dispositivo físico propiedad del usuario. Los dispositivos físicos son a menudo un llavero o tarjeta inteligente—un dispositivo del tamaño de una tarjeta de crédito—con una pantalla LCD. La pantalla proporciona un nuevo código de un solo uso a intervalos regulares (como cada 30 o 60 segundos). Las versiones de software también se conocen como apps de autenticación, y su popularidad está creciendo. Las apps de autenticación se instalan en el dispositivo del usuario (teléfono o tableta) y proporcionan una OTP, reemplazando el mensaje de texto, correo electrónico o mensaje de voz. Una sola app de autenticación puede gestionar códigos para múltiples cuentas de inicio de sesión.

Similar a la OTP de texto, la MFA basada en tokens utiliza las categorías de autentificación “saber” y “tener”, pero es más segura porque evita las debilidades de la OTP de texto SMS. La desventaja de un token físico es que puede perderse, ser robado, o simplemente quedarse atrás (en casa o en el coche), dejando al usuario incapaz de iniciar sesión.

Llaves de hardware

Las llaves de seguridad de hardware son pequeños dispositivos físicos que se conectan a tu computadora o dispositivo móvil, a veces a través de un puerto USB o una entrada de energía. Algunos modelos pueden comunicarse con tu dispositivo de manera inalámbrica. La mayoría son lo suficientemente pequeños como para llevarse en un llavero cuando no se usan.

Sus ventajas y desventajas son similares a las de un dispositivo OTP basado en tokens, pero pueden gestionar más que solo códigos de un solo uso. Dependiendo del modelo, también pueden almacenar y usar contraseñas permanentes y otros protocolos de seguridad para ti. Algunos incluyen lectores de huellas dactilares para autentificar antes de ejecutar software. Las llaves de hardware también pueden integrarse directamente en el enclave seguro de un dispositivo (un método que está volviéndose cada vez más común con el amplio soporte de passkeys).

Notificación push

Para este proceso MFA, el primer paso es iniciar sesión como de costumbre, usando una identificación y contraseña. Luego, el servidor encargado de autentificar al usuario “empuja” un mensaje a través de la app al dispositivo elegido por el usuario (generalmente su teléfono móvil) y le pide al usuario que confirme que es él intentando iniciar sesión. Aunque no se suministra información como para OTP, esto cuenta como un segundo factor del tipo “tener” porque usa un dispositivo físico (el teléfono) asociado con el usuario correcto. La notificación push también se beneficia de la capa de seguridad en el teléfono—el usuario debe desbloquear el teléfono (con huella dactilar, escaneo facial o PIN) para proporcionar la aprobación.

Una notificación push puede servir como advertencia al usuario si una persona no autorizada está tratando de iniciar sesión en la cuenta del usuario. Sin embargo, tiene su propia vulnerabilidad a ataques de phishing. Un actor malintencionado puede hacer que el servicio envíe múltiples notificaciones push (intentando iniciar sesión repetidamente), hasta que la persona finalmente toque “Aceptar” por frustración o confusión. Esto se llama un “ataque de fatiga multifactor” o “bombardeo de notificaciones push”.

Mejores prácticas para usar la autenticación multifactor

La autenticación multifactor ofrece capas adicionales de seguridad para tu actividad en línea. Aquí hay algunas cosas que puedes hacer para aprovechar los beneficios de MFA:

  • Activa la opción MFA siempre que esté disponible.
  • Si la única opción de MFA disponible son los códigos OTP por SMS, entonces aún se recomienda usarlo sobre nada. Sin embargo, se recomienda que uses un número de teléfono prepago separado o un número de teléfono de Google Voice que se utilizará solo para recibir estos códigos OTP por SMS.
  • Nunca compartas un código de acceso de un solo uso con nadie más.
  • Si recibes un mensaje o aviso con una OTP que no solicitaste, sigue con la organización y revisa tus cuentas. Pero no uses enlaces enviados por mensaje de texto o correo electrónico no solicitados para hacer esto—podrían ser intentos de phishing. En su lugar, escribe la dirección del sitio web tú mismo, o usa un marcador previamente almacenado.
  • Evalúa adecuadamente las notificaciones push, particularmente si las estás recibiendo múltiples veces. Esto probablemente es una indicación de que alguien está intentando hackear tu cuenta.
  • Cuando esté disponible, configura la MFA a través de una app de autenticación. Hay varias disponibles para cualquier dispositivo móvil, y generalmente son gratuitas para descargar y usar.

¿Qué sigue para la autenticación multifactor?

Un desarrollo reciente en MFA es un proceso resistente al phishing llamado passkeys. Cuando configuras una cuenta utilizando passkeys, tu dispositivo o app almacenará el passkey de manera segura y lo vinculará solo al sitio web para el cual se registró originalmente. Luego, cada vez que uses ese servicio, tu dispositivo verificará automáticamente que estés en el sitio web correcto antes de autentificar con el passkey. Si accidentalmente haces clic en un sitio de phishing falso, tu dispositivo no reconocerá el sitio web y no podrá encontrar el passkey correcto para iniciar sesión. En este caso, el intento de phishing es bloqueado exitosamente, y te mantienes más seguro.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.