Hoy en día, ya no basta con proteger las cuentas con una contraseña segura: es conveniente -de hecho, necesario- utilizar una autenticación fuerte, también conocida como autenticación de dos factores (2FA).
Índice de temas
Los puntos débiles de las contraseñas “sencillas
A estas alturas ya debería ser sabido por todos lo importante que es utilizar contraseñas muy complejas y que cambien constantemente. Del mismo modo que se hace indispensable utilizar herramientas para poder recordar las muchas (y todas diferentes) contraseñas que tenemos que gestionar.
Se calcula que un usuario medio tiene hoy en día un centenar de contraseñas: es imposible recordarlas todas. Por eso son de gran ayuda los gestores de contraseñas, aplicaciones dedicadas a mantener todas nuestras contraseñas seguras y, por supuesto, encriptadas.
Pero aunque pongamos en práctica las buenas reglas descritas anteriormente, no podemos excluir la posibilidad de que una contraseña sea robada o descubierta. Quizá no por nuestra culpa, pero aún podría ocurrir. Son frecuentes los casos de violación de sitios web (violación de datos) con el robo masivo de miles o millones de contraseñas: en estos casos, nuestras contraseñas acaban en el mercado negro de la web y alguien podría utilizarlas.
Para darse cuenta de ello basta con visitar el famoso sitio Have I been pwned? (cuyo nombre podría traducirse como: “¿Me han hackeado?”).
Fue creada por el experto australiano en ciberseguridad Troy Hunt a finales de 2013 y hoy contiene unos 9.500 millones de cuentas pirateadas (recopiladas de todas las violaciones de datos conocidas).
Si un nombre de usuario que utilizamos para nuestras cuentas está en la lista, debemos ser conscientes de que junto con ese nombre de usuario también habrán robado algunas de nuestras contraseñas.
Por lo tanto, la autenticación sólo con contraseña es intrínsecamente débil, incluso si el conjunto de contraseñas es fuerte, porque la seguridad de la cuenta depende de un único factor, a saber, la contraseña.
Por ello, para elevar los niveles de seguridad, se han introducido técnicas de “autenticación fuerte” o de autenticación de dos o múltiples factores.
Qué es la autenticación de dos factores
También conocido como 2FA o MFA (Multi-Factor Authentication), representa una seguridad adicional y es hoy en día el sistema más seguro del que disponemos para proteger nuestras cuentas.
Como se menciona en la introducción, ya no puede considerarse un “lujo” que se aplique sólo a las cuentas bancarias, sino que debe utilizarse tanto como sea posible, especialmente para todas aquellas cuentas -personales y corporativas- en las que se almacenen datos importantes. Las que deben protegerse con más cuidado son las cuentas de correo electrónico (si piratean nuestro correo, toda nuestra vida quedará expuesta), los servicios en la nube y cualquier cuenta corporativa.
Veremos más adelante cómo todos los sitios importantes ponen ahora a su disposición la autenticación de dos factores como una característica opcional (es decir, que debe activarse como una opción adicional).
Para acceder a cualquier sistema digital (ordenadores, cajeros automáticos, páginas web u otros) primero tendremos que “presentarnos” introduciendo nuestro nombre de usuario. Después tendremos que “demostrar” que somos nosotros: es la fase de “autentificación”, que puede tener lugar de tres maneras diferentes:
1- Conocimiento: ‘Algo que sabe’, por ejemplo, una contraseña o un PIN.
2- Posesión: “Algo que se tiene”, como un smartphone o una ficha de seguridad (esas pequeñas “llaves” que solían darnos los bancos y que generaban un código de 6 dígitos).
3- Inherencia: “Algo que usted es”, como su huella dactilar, su sello de voz, su rostro, su iris o cualquier otro dato biométrico.
En muchos casos, la autenticación se realiza únicamente mediante contraseña: es lo que se denomina autenticación de un solo factor.
Por otro lado, hablamos de 2FA si se utilizan al menos dos de los tres factores enumerados anteriormente. Pero esto no es suficiente: la condición para que se denomine “autenticación de dos factores” sólo se da cuando los dos factores utilizados son de matrices diferentes: en otras palabras, si se utilizan, por ejemplo, “Una cosa que sabe” + “Una cosa que tiene”.
Mientras que una autenticación realizada con dos contraseñas (porque los dos factores son de la misma naturaleza) no puede considerarse -en sentido estricto- 2FA.
También existe la autenticación de tres factores (3FA), obviamente si se requieren tres factores.
Su uso está mucho menos extendido; uno de los casos más conocidos en los que se utiliza es en el SPID (Sistema Público de Identidad Digital), pero sólo de nivel 3 (disponible con Poste Italiane y Aruba).
Aquí la autenticación se basa en los tres factores: contraseña, la App PosteID y el PIN SPID 3. Por el contrario, la versión SPID 2 utiliza el 2FA: contraseña y la App PosteID.
Cómo funciona la autenticación de dos factores
Utilizar la 2FA no es difícil y, por lo tanto, no tenemos ninguna razón para no adoptarla: tras introducir la contraseña (primer factor) de su cuenta, se le pedirá que teclee un segundo factor, que en la mayoría de los casos es un código numérico. Este segundo factor suele obtenerse a través del smartphone (en forma de mensaje de texto o mediante una aplicación especial) o de una ficha física.
A diferencia de la contraseña, el segundo código es realmente inatacable, porque se genera de forma pseudoaleatoria según un algoritmo específico y tiene una duración muy limitada en el tiempo (normalmente 30 segundos). Por este motivo, también se denomina OTP: ‘one time password’ (contraseña de un solo uso).
El segundo factor puede ser -alternativamente- biométrico (“una cosa que usted es”). Tenemos un ejemplo de ello en las aplicaciones para smartphones que nos proporcionan los bancos: para abrir la aplicación y también para realizar operaciones dispositivas (por ejemplo, hacer una transferencia), se nos pide una segunda autenticación con huella dactilar o reconocimiento facial.
Cómo obtener el segundo factor de autenticación de forma numérica
El segundo factor en forma numérica (contraseña de un solo uso) es la solución más utilizada en 2FA.
Hay diferentes formas de obtenerlo:
OTP con SMS, pero mejor evitarlo
A través de un SMS que nos envían a nuestro smartphone: se trata de una modalidad muy popular, pero es indiscutiblemente la menos segura. Esto se debe a la ya conocida vulnerabilidad del protocolo del Sistema de Señalización nº 7 (SS7).
Además, requiere tener el smartphone conectado a la red celular. Pero la verdadera razón por la que este método es desaconsejable es sobre todo otra: la estafa, ya frecuente, conocida como fraude de intercambio de SIM. En la práctica, un atacante puede conseguir transferir nuestro número de teléfono de una tarjeta SIM a otra.
Llevar a cabo una operación ilegítima de intercambio de SIM significa obtener acceso completo al número de teléfono del propietario legítimo (y desprevenido) de ese número. Sobre todo, significa recibir los SMS con los códigos de autenticación de dos factores, obviamente para realizar transacciones bancarias.
El propietario del smartphone se encontrará con el dispositivo silenciado y desconectado de la red. Cuando se dé cuenta de que su SIM ya no está activa, puede que sea demasiado tarde y el dinero ya habrá desaparecido de su cuenta bancaria.
Aplicaciones dedicadas a la obtención de OTP
Por ello, evitamos la opción de los SMS y utilizamos en su lugar aplicaciones específicas. Cuando el sitio ofrece esta opción (no siempre es posible, pero podemos comprobarlo a través del sitio de autenticación de dos factores), recomiendo elegirla, porque es el método más práctico, no requiere cobertura telefónica y es seguro.
Estas aplicaciones se denominan “Soft Tokens”: en la práctica, se comportan exactamente igual que los tokens de hardware (véase la figura) que nos proporcionaban los bancos: generan una OTP de 6 dígitos, asociada a una cuenta específica.
Existen numerosas aplicaciones de este tipo: las más conocidas -todas gratuitas- son Authy, Google Authenticator, Microsoft Authenticator. Los mejores gestores de contraseñas también ofrecen esta funcionalidad.
Token usb de dos factores: el estándar del futuro
Con un token de hardware: los que solían proporcionar los bancos ya no se utilizan y se están dejando de fabricar porque se consideran inseguros (más adelante explicaremos por qué). En su lugar, se han creado nuevos tipos de tokens, de acuerdo con el estándar FIDO U2F Security Key. Se trata de un estándar de autenticación de código abierto, creado inicialmente por Google y Yubico y posteriormente fusionado en la Alianza FIDO (‘Fast IDentity Online’).
Existen numerosos modelos: los más sencillos requieren la inserción en un puerto USB (aquí se muestra la llave de seguridad U2F de Yubico), los más avanzados (por ejemplo, YubiKey) también funcionan con NFC (Near Field Communication) o a través de Bluetooth como la Titan Security Key de Google (por lo que también pueden utilizarse con smartphones que no dispongan de puerto USB).
Desde luego, no es el sistema más barato. Pero la mayor limitación es que se trata de una tecnología reciente, por lo que aún no se puede utilizar con todos los servicios. Sólo unos pocos navegadores lo soportan, entre ellos Chrome, Firefox y Opera.
Sin embargo, se convertirá en el estándar del futuro próximo, también porque ya se ajusta a los niveles criptográficos más elevados, incluido el FIPS 140-2 (“La validación garantiza una seguridad y una conformidad sólidas”) y la autenticación de nivel 3 (AAL3), tal y como se indica en las directrices SP800-63B del NIST (más información al respecto más adelante). También garantiza el cumplimiento de la directiva europea PSD2 relativa a la Autenticación Fuerte de Clientes (SCA).
Cómo activar la autenticación de dos factores
El método para activar la autenticación de dos factores es -más o menos- siempre el mismo: después de registrarse en el sitio, se accede a la página “Ajustes de seguridad” (el nombre puede ser ligeramente diferente, pero siempre es la sección a la que se va, por ejemplo, para cambiar la contraseña).
Elegimos activar la 2FA, tras lo cual el sitio nos preguntará cómo queremos recibir el código: el método más común en todos los sitios es por SMS, por lo que tendremos que indicar un smartphone “de confianza” al que se enviará el código. Recomiendo registrar siempre DOS o más números de teléfono, para mayor seguridad (luego, en cada inicio de sesión posterior, se nos pedirá que elijamos en qué dispositivo queremos recibir el código).
Algunos sitios le permiten elegir, como alternativa al código SMS, el uso de las aplicaciones antes mencionadas (soft tokens) capaces de generar el código temporal (OTP). Como hemos dicho, si está disponible, ésta es la opción preferida: en este caso el emparejamiento se realiza mediante la lectura de un código QR que aparece en la pantalla del ordenador y que tendremos que encuadrar con la cámara del smartphone, en el que previamente habremos abierto la aplicación.
En la fase de activación de la autenticación de dos factores, por lo general (pero cada sitio puede comportarse de forma diferente) también se nos proporcionará una clave de recuperación (muy compleja, que debe guardarse por separado).
Por regla general, las contraseñas + el código OTP se utilizan para la 2FA, la clave de recuperación es la “solución de emergencia” que debe utilizarse sólo en caso de: olvido de la contraseña o pérdida o robo del dispositivo.
En los inicios de sesión posteriores, además del nombre de usuario y la contraseña, tendremos que introducir el código OTP de 6 dígitos que muestra la aplicación y que se regenerará cada 30 segundos.
Existe -casi en todos los sitios- una cómoda opción que nos permitirá no tener que introducir más el código OTP en los siguientes inicios de sesión: esta opción se denomina generalmente: “considerar este dispositivo de confianza” (o algo similar) y debe activarse una vez.
En la práctica, dado que la autenticación de dos factores está pensada para impedir el acceso desde ordenadores o dispositivos que no sean el nuestro, podemos hacer que el sitio reconozca que estamos iniciando sesión desde nuestro dispositivo “habitual” y ya no requiera el segundo factor de autenticación.
Servicios que ofrecen autenticación de dos factores
A excepción de los servicios bancarios por Internet, que nos lo imponen, en todos los demás sitios no estamos obligados a utilizar la autenticación de dos factores.
Es una opción opcional, pero que recomiendo encarecidamente, al menos para servicios importantes como, por ejemplo: Amazon, Apple ID (iCloud), Dropbox, Evernote, Facebook, Google, LinkedIn, Microsoft, PayPal, Twitter, Yahoo!, WordPress, etc.
Prácticamente todos los sitios importantes lo ponen a su disposición (y en muchos casos lo recomiendan).
En el sitio de Two Factor Auth se puede consultar la lista completa de los cientos de sitios en los que es posible activarlo, dividida por categorías. Además, se indican las opciones disponibles (SMS, hard token, soft token, etc.) para cada sitio.
Otra ventaja de utilizar 2FA: si lo activamos, ya no nos harán las obsoletas preguntas de seguridad. Una buena razón más para elegirlo.
Autenticación de dos factores: guía del NIST
También podemos encontrar orientaciones útiles sobre el uso de la autenticación de dos factores en las directrices publicadas por el NIST.
Recordemos que el NIST (Instituto Nacional de Normas y Tecnología) es una agencia del gobierno de Estados Unidos que se ocupa de la gestión de la tecnología. Forma parte del DoC, Departamento de Comercio.
El NIST fue fundado en 1901 y su tarea institucional es desarrollar normas tecnológicas. En particular, publica las Normas Federales de Procesamiento de la Información (FIPS), que definen las normas obligatorias del gobierno estadounidense.
Obviamente, las normas definidas por el NIST no son vinculantes en Europa, pero debido a su autoridad se consideran un punto de referencia no sólo en EE.UU., sino en todo el mundo.
El NIST trata el uso de contraseñas y la autenticación de dos factores en el SP 800-63 y, en particular, en el SP 800-63-3 “Directrices sobre identidad digital”, disponible en este enlace: y en el SP 800-63B “Directrices sobre identidad digital – Autenticación y gestión del ciclo de vida”.
En SP 800-63-3, la tabla 5.2 define los tres niveles AAL (Authenticator Assurance Level), mientras que la sección 6.2 “Selección de AAL” muestra cómo seleccionar los niveles de autenticación más adecuados para cada tipo de servicio digital.
Los niveles 2 y 3 de AAL requieren el uso de una autenticación multifactor fuerte.
SP 800-63B analiza los distintos modos disponibles para la autenticación de dos factores. El AAL 2 se trata en el capítulo 4.2, y el AAL 3 en el capítulo 4.3.
Está establecido que cuando se utiliza una combinación de dos factores de autenticación únicos, uno debe ser un secreto almacenado, es decir, una contraseña (capítulo 5.1.1), mientras que el segundo autenticador debe estar basado en la posesión (es decir, “algo que se tiene”). Así, el solicitante (el que inicia la sesión) debe demostrar la posesión y el control de dos factores de autenticación distintos, que tienen el requisito de “garantizar la resistencia a la suplantación” (en otras palabras: impedir que alguien los utilice en nuestro lugar).
En el capítulo 5.1.3 Dispositivos fuera de banda, se desaconseja el uso de la línea telefónica para recibir el segundo factor OTP, precisamente por el riesgo de intercambio de SIM (del que ya hemos hablado antes).
En su lugar, se recomienda el uso de un “dispositivo OTP multifactor”, como se explica en el capítulo 5.1.5: también podría tratarse de un smartphone (“algo que usted tiene”), que a través de una aplicación especial genera un código OTP “basado en el tiempo” (como se ha explicado anteriormente).
Aquí destaca un aspecto muy importante: para mayor seguridad, el teléfono inteligente debe activarse primero mediante “algo que sabe” (una contraseña de desbloqueo) o mediante “algo que es” (su huella dactilar, su cara, etc.).
Este último no es un paso que deba subestimarse y nos hace comprender por qué, con la entrada en vigor de la Directiva (UE) 2015/2366 (PSD2), los tokens de hardware (las barritas de plástico que generaban un código de 6 números) ya no están permitidos para la autenticación en los sitios bancarios: eran dispositivos inseguros, ya que podían activarse sin ningún código de seguridad. Así, en caso de robo o pérdida, cualquiera podría haberlos utilizado.
Autenticación fuerte del cliente (SCA) en el mundo bancario
Sabemos que fueron los bancos los primeros en introducir la autenticación multifactor.
Pero recientemente esto ha sido revisado y mejorado debido a la Directiva (UE) 2015/2366 conocida como PSD2 (Payment Services Directive 2).
Esta Directiva de la UE fue transpuesta por Italia con el Decreto Legislativo nº 218 de 15 de diciembre de 2017 y sustituye a la anterior Directiva 2007/64/CE (llamada Directiva de Servicios de Pago).
La PSD2 ya está en vigor en todos los Estados de la UE, tras la adopción del Reglamento Delegado (UE) 2018/389 publicado el 27 de noviembre de 2017. Como Reglamento (y no como Directiva) es obligatorio y directamente aplicable en cada uno de los estados miembros a partir del 14 de septiembre de 2019 (como se especifica en el art.38).
Con posterioridad a esta fecha, muchos usuarios han recibido comunicaciones de su banco que han endurecido (¡y complicado!) la forma en que pueden acceder a los servicios bancarios por Internet: ésta es precisamente la consecuencia directa de la aplicación de la PSD2.
De hecho, esta directiva aborda de forma importante la autenticación multifactor, que se conoce como autenticación fuerte del cliente (SCA). Ahora se ha regulado con más fuerza y se ha hecho obligatorio para las transacciones bancarias en línea (Internet y móvil).
Se define de forma muy precisa en la DSP2 en el Art.4 párrafo 30 como:
“autenticación fuerte del cliente”: una autenticación basada en el uso de dos o más elementos, clasificados en las categorías de conocimiento (algo que sólo el usuario sabe), posesión (algo que sólo el usuario posee) e inherencia (algo que caracteriza al usuario), que son independientes, en el sentido de que la violación de uno no compromete la fiabilidad de los demás, y que está diseñada de tal forma que protege la confidencialidad de los datos de autenticación.
Las condiciones en las que debe aplicarse obligatoriamente se definen en el artículo 97:
“Los Estados miembros velarán por que un proveedor de servicios de pago aplique una autenticación fuerte del cliente cuando el ordenante :
1. accede a su cuenta de pago en línea;
2.inicia una operación de pago electrónico;
3.realiza cualquier acción, a través de un canal remoto, que pueda implicar un riesgo de fraude en el pago u otro abuso”.
El artículo 74 establece las responsabilidades del ordenante y las del “proveedor de servicios de pago” (PSP). Esta última está obligada a exigir una autenticación fuerte. En particular (párrafo 2): “Si el proveedor de servicios de pago del ordenante no exige una autentificación fuerte del cliente, el ordenante no tendrá consecuencias financieras a menos que haya actuado de forma fraudulenta. Si no aceptan la autenticación fuerte del cliente, el beneficiario o su proveedor de servicios de pago deberán reembolsar la pérdida financiera causada al proveedor de servicios de pago del ordenante”.
Concluyamos nuestro examen de la PSD2 citando el art. 98: éste asigna a la ABE (Autoridad Bancaria Europea) la tarea de emitir “Normas técnicas reglamentarias sobre autenticación y comunicación”.
La ABE emitió las Normas Técnicas de Reglamentación (NTR), que fueron adoptadas el 27 de noviembre de 2017 por la Comisión Europea mediante el Reglamento Delegado (UE) 2018/389 y, por tanto, vinculantes a partir del 14 de septiembre de 2019.
Los RTS especifican con precisión los requisitos para los procedimientos de autenticación fuerte (SCA) y sus exenciones de uso, así como los requisitos para la protección de las credenciales de seguridad de los usuarios.
Sin entrar en los detalles del RTS, podemos, sin embargo, afirmar que las normas de seguridad para el SCA son -en la práctica- las que hemos esbozado en los puntos anteriores: por ejemplo, deben eliminarse los antiguos tokens de hardware que, como hemos explicado, no garantizan un nivel de seguridad adecuado.
Muchos bancos ya han retirado estas fichas, otros lo harán en breve. Serán sustituidos por aplicaciones instaladas en los teléfonos inteligentes que requieran un mecanismo de desbloqueo por parte del usuario (o sistemas con un nivel de seguridad equivalente).
El RTS también establece excepciones al uso del SCA. Esto no es obligatorio para:
-micropagos (no superiores a 30 euros);
-pagos de transporte y aparcamiento realizados en terminales no tripuladas (por ejemplo, billetes de metro).
Además, el PSP puede quedar exento de la aplicación del SCA siempre que haya realizado un análisis específico del riesgo asociado a la propia transacción (el denominado TRA: Análisis del Riesgo de la Transacción).
El PSP también debe tener en cuenta los siguientes factores de riesgo para la evaluación en tiempo real
-los hábitos de gasto anteriores del usuario (tipos de importes y servicios de pago utilizados)
-la localización tanto del ordenante como del beneficiario en el momento del pago, y el medio y canal utilizados para efectuar el pago;
-signos de un posible uso indebido y anormal del instrumento de pago.
Prohibida su reproducción total o parcial.