Cómo usar aplicaciones de autenticación como Google Authenticator para protegerse en línea


Logotipo de código abierto

Cuando la gente me pide consejos de seguridad, les doy lo básico. Una es una contraseña larga y segura con letras mayúsculas y minúsculas, números y caracteres especiales. (No, “Passw0rd!” No es lo suficientemente bueno.) Cada contraseña también debe ser única para cada cuenta (nos encantan las buenas administrador de contraseñas!). Y siempre usa autenticación de dos factores, o 2FA. (No seas como yo, que no tenía 2FA en su cuenta bancaria hasta que un hacker transfirió $ 13,000 de él.) Pero el tipo de 2FA que utiliza también es cada vez más importante.

La 2FA basada en texto, en la que se envía un mensaje de texto con un código de seis dígitos a su teléfono para verificar su identidad, se conoce y se comprende mejor porque utiliza tecnología que la mayoría de nosotros usamos todo el tiempo. Pero es una tecnología que no estaba destinada a servir como verificador de identidad, y es una opción cada vez más insegura a medida que los piratas informáticos continúan encontrando formas de explotarla.

Es por eso que recomiendo usar una aplicación de autenticación, como Google Authenticator, en su lugar. No dejes que el nombre te intimide: hay algunos pasos adicionales involucrados, pero el esfuerzo vale la pena.

SIMjacking: por qué su número de teléfono no es lo suficientemente bueno para verificar su identidad

Para cuando Mykal Burns recibió el mensaje de texto de seguridad de T-Mobile informándole que su tarjeta SIM había sido cambiada a un teléfono diferente, ya era demasiado tarde. En los 20 minutos que le tomó a Burns volver a cambiar la SIM a su teléfono, su cuenta de Instagram desapareció. Con acceso a la tarjeta SIM de Burns, el hacker simplemente le pidió a Instagram que le enviara a Burns un mensaje de texto de recuperación de contraseña para apoderarse de la cuenta de Burns y bloquearlo. Todo lo que Burns pudo hacer fue ver al hacker destruir esa parte de su vida en línea.

“Se borraron las aproximadamente 1,200 fotos que había compartido desde que creé la cuenta en 2012”, dijo a Recode Burns, un productor de televisión con sede en Los Ángeles.

SIMjacking, o intercambio de SIM, se utilizó para tomar el control La propia cuenta de Twitter del cofundador y director ejecutivo de Twitter, Jack Dorsey, en 2019. Pero, como muestra la historia de Burns, no es necesario ser un multimillonario famoso para ser un objetivo. Si un pirata informático sabe lo suficiente sobre usted como para convencer a su operador de telefonía móvil de que es usted, un representante de servicio al cliente desprevenido podría cambiarle su SIM. Hay tambien han sido casos de empleados de operadores de telefonía móvil que aceptan sobornos para cambiar de SIM, en cuyo caso un pirata informático no tendría que saber mucho sobre usted.

Poner un PIN en su SIM puede evitar algo de esto, pero no es infalible. Y como Vice informó En marzo, los piratas informáticos encontraron otras vulnerabilidades de SMS que ni siquiera requieren acceso a su tarjeta SIM.

“Los SMS, como tecnología, han existido durante mucho tiempo”, dijo a Recode Marc Rogers, director ejecutivo de ciberseguridad de Okta, una empresa de tecnología de autenticación de identidad. “Fue diseñado para ser una forma económica de enviar mensajes. No fue diseñado para ser seguro. Además, construimos un montón de servicios de seguridad. … Ahora hay más formas de comprometer un servicio de SMS de las que pueden esperar arreglar “.

Básicamente, si está utilizando mensajes de texto o su número de teléfono para verificar su identidad, es hora de considerar otra cosa.

Las aplicaciones de autenticación, que generalmente son gratuitas, requieren algunos pasos más para configurar que la autenticación basada en texto. Algunas personas pueden encontrar que elegir y descargar otra aplicación, escanear códigos QR, aceptar tokens, puede ser demasiado intimidante o simplemente no vale la pena el esfuerzo adicional. Estoy aquí para decirte que no es intimidante y que vale la pena.

“Ese es nuestro propósito de promover realmente estas aplicaciones de autenticación”, dijo a Recode Akhil Talwar, director de administración de productos de LastPass, que crea un administrador de contraseñas y una aplicación de autenticación. “Son realmente fáciles de usar, súper seguros y también convenientes. En algunos casos, solo recibe una notificación de inserción “.

Cómo elegir y usar una aplicación de autenticación

Las aplicaciones de autenticación funcionan de la misma manera que la 2FA basada en texto, pero en lugar de recibir un código por mensaje de texto, el código aparece en la aplicación. El código también cambia cada 30 segundos aproximadamente como una medida adicional de protección: es casi imposible para un pirata informático adivinar el código correcto cuando cambia con tanta frecuencia. Un pirata informático tendría que tener una suerte ridícula (supongo que todo es posible) o tener posesión de su dispositivo físico para acceder al código.

Varios sitios tengo recomendaciones para obtener buenas aplicaciones de autenticación y sus respectivas funciones, que deberían ayudarlo a descubrir cuál funciona mejor para usted. Google Authenticator es uno de los más populares y proviene de Google, por lo que puede confiar en que estará disponible durante mucho tiempo y que la empresa sabe lo que está haciendo para mantener la aplicación segura. Pero también es una de las aplicaciones de autenticación más básicas que existen. Si está buscando algunas funciones más, la mayoría recomienda Authy, tiene una interfaz agradable y le permite buscar dentro de la aplicación una cuenta específica (muy útil si tiene muchas cuentas para desplazarse), y es más fácil cambiar a un dispositivo nuevo que Google Authenticator. Las aplicaciones de autenticación de LastPass y 1Password se pueden vincular a los administradores de contraseñas de esas empresas. Y el autenticador de Microsoft, que, como Google, cuenta con el respaldo de una empresa enorme y de larga duración, también es una buena opción.

“Tres cosas clave en las que pensar al decidir sobre una aplicación de autenticación son la reputación y la estabilidad de la empresa que la creó, las revisiones de seguridad independientes realizadas en ella y la capacidad de realizar una copia de seguridad y restaurar la aplicación en caso de pérdida o robo ”, Dijo a Recode Mathew Newfield, director de seguridad e infraestructura de Unisys.

Algunos autenticadores tienen una función de inserción en la que simplemente confirma que está tratando de iniciar sesión en un sitio en lugar de recordar e ingresar un código de seis dígitos. Pero no todas las aplicaciones de autenticación hacen esto, y no todos los sitios web y aplicaciones admiten esa funcionalidad, al menos todavía no. Algunas aplicaciones le brindan la opción de tener una copia de seguridad en la nube o de usar la aplicación en varios dispositivos, lo que le agradaría tener si su teléfono (y, por lo tanto, la aplicación de autenticación en él) se rompe o se pierde. Algunas aplicaciones tienen una función de búsqueda para que pueda encontrar la aplicación en la que intenta iniciar sesión fácilmente, lo que resulta muy útil si tiene una lista larga de inicios de sesión.

“La única regla general es que cualquier aplicación de autenticación es mejor que ninguna”, dijo Rogers, de Okta.

Una vez que se haya decidido por una aplicación de autenticación y la haya descargado en su dispositivo, es hora de agregarle sus cuentas.

En honor a nuestro amigo Burns, usemos la aplicación de Instagram como ejemplo de cómo conectar su aplicación de autenticación a una cuenta:

Ir a la configuración > Seguridad > Autenticación de dos factores > Aplicación de autenticación

Desde allí, Instagram le pedirá que abra su aplicación de autenticación y agregue su cuenta de Instagram automáticamente. Luego verá un código de 6 dígitos en la aplicación. Ingrese ese código en Instagram y listo.

Google Authenticator es su autenticador básico, y ahora mi cuenta de Instagram está en él.

Pero no has terminado. Luego, Instagram le mostrará un conjunto de códigos de respaldo. Anote algunos o todos y guárdelos en un lugar seguro (no en su teléfono); es posible que los necesite para restaurar el acceso a la aplicación o al sitio web si pierde el acceso a su teléfono y su aplicación de autenticación no tiene la suya propia. sistema de respaldo.

Los sitios web son un poco diferentes de configurar. En honor a nuestro otro amigo secuestrado, Jack Dorsey, usemos el sitio web de Twitter como nuestro ejemplo.

Ve a Configuración y privacidad > Seguridad y acceso a la cuenta > Seguridad > Autenticación de dos factores > Aplicación de autenticación.

A partir de ahí, se le pedirá que escanee un código QR con la cámara de su teléfono, lo que abrirá su aplicación de autenticación y le agregará su cuenta de Twitter. Si no puede escanear un código QR o la aplicación no se abre correctamente, también puede generar un código e ingresarlo manualmente.

Authy es otra aplicación de autenticación. Agregar mi cuenta de Twitter es fácil.

De vuelta al sitio de Twitter, haga clic en “siguiente” e ingrese el código de seis dígitos en su aplicación. Nuevamente, recuerde guardar el código de respaldo de Twitter en un lugar seguro.

Ahora que está configurado, cuando inicie sesión en Instagram o Twitter, se le pedirá que ingrese un código de su aplicación de autenticación. Abra la aplicación, obtenga el código de la cuenta en la que está intentando iniciar sesión e introdúzcalo en el sitio o la aplicación. Puede optar por hacer esto cada vez que inicie sesión en un sitio, o puede optar por hacerlo solo una vez si está utilizando un dispositivo en el que confía. Y eso es.

Dos cosas muy importantes y finales para recordar

Una vez que tenga la aplicación de autenticación en funcionamiento en una cuenta, asegúrese de haber desactivado la 2FA basada en texto y eliminado su número de teléfono de la cuenta (desafortunadamente, algunas aplicaciones y sitios web no le permitirán hacer esto). Y no use su número de teléfono como una opción de copia de seguridad de recuperación de cuenta. Después de todo, la única razón por la que está haciendo esto es que los números de teléfono son verificadores de identidad deficientes.

Finalmente, si está comprando un teléfono nuevo, asegúrese de transferir su aplicación de autenticación de su dispositivo anterior al nuevo. Si su aplicación de autenticación requiere que tenga ambos dispositivos en su poder para hacer esto, asegúrese de planificar con anticipación, o de lo contrario tendrá que confiar en todos esos códigos de respaldo de la cuenta para restaurar manualmente el acceso a sus cuentas. No está bien. No es divertido. Pero aún mejor que ser pirateado.

Nuevamente, esto va a ser un poco más complicado que confiar en 2FA basado en SMS, pero piense en lo que puede perder si sus cuentas son pirateadas. Es posible que no se dé cuenta de lo valiosas que son algunas de esas cuentas, y las cosas que contienen, hasta que las pierde. Burns ahora usa una aplicación de autenticación siempre que sea posible. Pudo recuperar su cuenta de Instagram después de dos días, gracias a una conexión que tenía en Facebook. Pero no recuperó las 1200 fotos que tenía en su cuenta, incluidas las de su amada perra, Bonnie, que murió el año pasado. Su cuenta de Instagram es privada ahora y su uso ha sido moderado.

“Tengo la mayoría de las fotos originales respaldadas desde mi teléfono, pero desaparecieron las ediciones de fotos (filtros, etc.) que hice en la aplicación, los recuerdos que adjunté en los subtítulos y los comentarios de otros”, dijo Burn. “Bastante decepcionante … Realmente no publiqué nada en la cuenta durante un año después de recuperarla, y recientemente comencé a publicar fotos nuevamente”.

Fuente abierta es posible gracias a Omidyar Network. Todo el contenido de código abierto es editorialmente independiente y producido por nuestros periodistas.

Latest articles

¿Son estas estadísticas precisas? si es así, ¿qué significa para la economía? : Economía

Regla VI:Todos los comentarios deben relacionarse con el contenido económico del artículo y no deben reaccionar simplemente al titular. Esta publicación se...

Enlaces 15/06/2021 | capitalismo desnudo

El núcleo de la Tierra está creciendo 'desequilibrado' y los científicos no saben por qué Ciencia viva El próximo cambio de régimen hacia empresas...

La represión de Ortega arrincona a la oposición (15 de junio de 2021)

Las tasas de homicidio han disminuido drásticamente desde que Nayib Bukele asumió el cargo en El Salvador. Pero las desapariciones están subiendo:...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »