Qué es la verificación en dos pasos y por qué debes activarla en tu cuenta

Las contraseñas son una medida de seguridad débil. Se pueden robar con suma facilidad y adivinarlas es muy fácil. ¿La solución? Usar más de una clave.

Es lo que muchas páginas web hacen con la llamada verificación en dos pasos (o de dos factores), en la que además de preguntar la contraseña, se solicita un código adicional a través del teléfono móvil.

Voy a explicarte de la manera más sencilla posible qué es la verificación en dos pasos, cómo activarla en tus aplicaciones web favoritas y qué es lo que debes tener en cuenta para que resulte eficaz.

¿Qué es la verificación en dos pasos (2FA)?

Cuando usas tu tarjeta de crédito para sacar dinero de un cajero automático, estás usando sin saberlo una verificación en dos pasos: debes introducir la tarjeta (objeto físico, algo que tienes) e introducir después un número PIN (algo que sabes).

La verificación en dos pasos es exactamente eso: usar dos formas de identificación en lugar de una. Así, en vez de usar solo una contraseña, con la verificación en dos pasos debes usar una contraseña más un código que llega a tu teléfono móvil.

Dos pasos: primero la contraseña, luego el código del móvil (fuente)

Hay muchos tipos de verificación de la identidad que se pueden combinar entre sí en un procedimiento de dos pasos: contraseñas, huellas dactilares, reconocimiento facial, dibujo de patrones, códigos PIN, localización geográfica, etcétera.

¿Cómo funciona la verificación en dos pasos?

El primer paso es el de siempre: introducir tu nombre de usuario y contraseña, igual que harías con el método normal.

La novedad es la presencia de un segundo paso, en el que debes introducir un código que recibes a través de tu teléfono móvil.

Tras introducir el código, el PC, tableta o móvil desde el cual te conectas será etiquetado como dispositivo de confianza, y podrás identificarte sin usar códigos adicionales.

¿Qué pasa si pierdo el teléfono o no tengo cobertura?

Si pierdes el teléfono, tienes un buen problema, puesto que los códigos se envían al número que definiste en tu cuenta. No obstante, en caso de perder tu teléfono, todavía puedes…

  • acceder a tu cuenta a través de un equipo de confianza
  • usar códigos de reserva que hayas impreso de antemano

Si no puedes hacer ninguna de las dos cosas, entonces solo te queda la opción de solicitar un nuevo teléfono con el mismo número o bien solicitar a la página web que recupere tu cuenta, un proceso que suele llevar unos días.

En caso de que estés viajando fuera de tu país o no tengas señal y necesites identificarte mediante la verificación de dos pasos, puedes usar aplicaciones que producen códigos sin conexión o bien usar códigos impresos de antemano.

Si tienes un smartphone, recomiendo que uses Google Authenticator (Android, iOS) o Authenticator (Windows Phone), apps que producen códigos sin conexión para que puedas usarlos cuando estés fuera de casa.

¿Por qué dos pasos y no tres?

Por razones prácticas. Nada impide usar más de un sistema de verificación, pero si el uso de dos ya puede resultar incómodo, imagina lo que supone emplear tres o más. El uso combinado de una contraseña y un número generado al azar y enviado a tu teléfono ya sirve para reducir muchísimo el riesgo de acceso no-autorizado a tus cuentas.

¿Qué páginas usan la verificación de dos pasos?

Son cada vez más las páginas que hacen uso de la verificación en dos pasos. La última en unirse ha sido Microsoft, tras la estela de Google, Dropbox, Twitter y otras páginas web y aplicaciones. ¿Que por qué la han aplicado ahora? La pregunta se contesta sola al darse cuenta de tres hechos:

  • hay cada vez más servicios que tienden a aglutinarse en una sola cuenta
  • hay cada vez más usuarios que tienen múltiples dispositivos con acceso a Internet
  • hay cada vez más intentos de hackeos masivos, como el que padeció Twitter

¿Por qué la verificación en dos pasos es opcional?

La verificación en dos pasos es opcional sobre todo por motivos de privacidad: muchos usuarios no quieren asociar su cuenta a un número de teléfono. Para evitar ese obstáculo, en algunos casos se ofrece un generador de claves físico, como el Authenticator de Battle.net, que es un llavero que genera códigos a petición del propietario.

¿Cómo se activa la verificación en dos pasos?

Depende del servicio. En la mayoría de casos basta con entrar en tu perfil, ir al apartado de Cuenta o Seguridad correspondiente y activar la opción desde allí. Para tu comodidad, he recopilado los enlaces a las instrucciones oficiales de cada web:

¿Es la verificación en dos pasos infalible?

No del todo. Por ejemplo, puede darse el caso que el teléfono asociado a tu cuenta esté en posesión del hacker de turno y que este, además, conozca tu contraseña. También puede ocurrir que alguien que conozca tu contraseña tenga acceso a un dispositivo de confianza en el que ya no es necesario introducir códigos de seguridad.

Los virus troyanos y el phishing son otro peligro. Si un hacker consigue hacerse pasar por una entidad legítima o consigue interceptar tus datos, estás igual de expuesto que antes. Ciertos troyanos, además, se coordinan entre ellos: un troyano en el PC puede modificar las peticiones que tú haces a una web y un troyano en el móvil puede quedarse con los códigos de seguridad.

Para minimizar estos riesgos se solucionan añadiendo otras capas de protección a tus dispositivos, como antivirus eficaces y sistemas de bloqueo. Aunque la verificación en dos pasos sea muy eficaz a la hora de minimizar el riesgo de intrusión en tus cuentas, los malos no son tontos, e intentarán usar otras técnicas para sustraer tus datos.

¿Y tú, ya estás usando la verificación en dos pasos?

Para saber más:

Sígueme en Twitter: @remoquete

Artículo original del 19 de abril de 2013, actualizado el 3 de septiembre 2014

Cargando comentarios