Síguenos:
Ciberseguridad
4 de Julio de 2013

Cómo evitar el secuestro de tu identidad digital, si aún estás a tiempo

Cómo evitar el secuestro de tu identidad digital, si aún estás a tiempo

Cómo evitar el secuestro de tu identidad digital, si aún estás a tiempo

Escrito por , 4/07/2013

Tú no has publicado eso en Facebook, seguro. Pero ahí está, y tus amigos no paran de llamarte. En Twitter también, ¿qué está pasando? ¿Y por qué tienes tantos correos en Gmail con cambios de contraseña de tus redes sociales, que no habías pedido? ¡Además, no puedes entrar en tus cuentas! Lo lamento, pero parece que alguien ha secuestrado tu identidad digital.

Lo de digital es un decir, claro. En el mundo en que vivimos nuestra identidad es una mezcla indistinguible entre lo “real” y lo “digital”, la interacción con el resto del mundo (amigos, familia, compañeros de trabajo, contactos en general) se desarrolla a través del teléfono, Whatsapp, redes sociales, Gmail… sin los que sería imposible concebir nuestro día a día.

Tantas cuentas, en tantos sitios…, es difícil evitar la tentación de utilizar los mismos usuarios y contraseñas para distintos servicios, pero incluso tomando precauciones este mecanismo de autenticación es limitado.

Desde hace tiempo en algunos sectores como la banca on line se añade en el proceso otro elemento para disponer de un doble factor de autenticación: algo que sabes (una contraseña) y algo que tienes (una tarjeta de claves o un móvil al que llega un código por SMS). Este nivel añadido de seguridad permite que, aun en el caso de que alguien consiga hacerse con tu usuario y contraseña, necesite de ese elemento para poder utilizar tu cuenta.

El uso de este nivel añadido de seguridad mediante una contraseña de un solo uso (One Time Password) está empezando a hacerse común también en la red, donde usuarios famosos han sufrido la “suplantación” de su personalidad en Google, Twitter o Facebook, entre otros.

Una alternativa más práctica respecto al conocido método de envío de un SMS con una clave es lo que se conoce como TOTP (Time based One Time Password) habitualmente implementado mediante un token físico que genera un número válido únicamente durante un intervalo de tiempo (normalmente 30 segundos).

TokenEl funcionamiento es sencillo: servidor y token comparten una clave (generada y distribuida previamente de forma segura) a partir de la que ambos son capaces de calcular la misma secuencia numérica en un momento dado del tiempo. Cuando se requiere autenticación, es necesario introducir la secuencia para certificar que se trata del usuario correcto, ya que únicamente el poseedor del token puede generar dicho código.

Este mecanismo basado en tokens físicos no está muy extendido por la complejidad en su distribución y el coste que supone. Pero por fortuna también es posible utilizar tokens software, con aplicaciones como Google Authenticator.

Para configurar la verificación en dos pasos con Google Authenticator hay que visitar http://accounts.google.com/security y activar la opción correspondiente. Lo más práctico es utilizar la aplicación para Android (aunque es posible recibir también SMS o llamadas en teléfonos de gama baja).

Una vez instalada la aplicación en el móvil, cuando se acceda a algún servicio ligado a la cuenta de Google (Gmail, Google+…), y tras introducir usuario y contraseña de la forma habitual, se solicitará validación a través de Google Authenticator (con esta aplicación se obtiene un código en el móvil, que se introduce como paso final del proceso de registro).


Token
Basta
con abrir la app de Google Authenticator para obtener un código numérico. Observaremos en la parte superior
derecha un “reloj” azul que va descendiendo hasta llegar a cero, momento en el que
la secuencia se recalcula (este proceso se realiza cada 30 segundos, para dar tiempo suficiente a utilizar la clave).

Es posible simplificar su uso definiendo “dispositivos de confianza”, de forma que tras realizar un registro exitoso no se pida el uso de Google Authenticator de nuevo en el futuro. Así, la incomodidad del proceso se reduce a un par de pasos, una única vez, y se mantiene la seguridad puesto que al utilizar un dispositivo no registrado se volverá a solicitar la autenticación correspondiente (en el acceso web desde un PC sólo funcionará si tienes activadas cookies).

Puesto que hay aplicaciones o servicios ligados al usuario de Google (como Picasa o Gtalk, entre otros) que no se han adaptado todavía a la autenticación en dos pasos, es posible definir contraseñas de aplicación para que continúen funcionando sin cambios.

La iniciativa de software libre Google Authenticator Project proporciona generadores de contraseñas de un solo uso en forma de apps para Android, iOS o Blackberry, así como módulos que permiten a los desarrolladores integrar las aplicaciones con esta tecnología, lo que facilita el proceso de adopción de la autenticación en dos fases.

Actualmente casi todas las redes sociales y servicios “en la nube” tienen disponible esta medida adicional de seguridad, aunque con distinto grado de madurez:

  • Dropbox permite configurar tanto el envío de SMS como el uso de Google Authenticator (es de las pocas que lo han integrado hasta el momento). El proceso es simple y funciona correctamente, de todas las que he probado parece la más trabajada en este aspecto.
  • Twitter en teoría posibilita configurar doble autenticación únicamente mediante envío de SMS.

Lamentablemente, no parece estar disponible en España, ya que no tienen conexión con los distintos operadores. Y tampoco funciona con Google Authenticator.

  • Facebook permite activar el envío de SMS y también es posible utilizar una aplicación TOTP (tipo Google Authenticator) aunque el proceso de configuración no es muy intuitivo, cosas de la lucha entre rivales, supongo. En este caso no lo puedo certificar, lo siento pero no tengo cuenta en Facebook como ya he comentado en alguna ocasión. Rarito que es uno.

Como conclusión, recomiendo configurar en todas las cuentas que lo permitan la doble autenticación, en especial si soporta Google Authenticator y disponemos de un smartphone (es mucho más cómodo que el envío de SMS).

Entiendo que además de la barrera de entrada inicial (configuración en todos los servicios que usamos) y el engorro de necesitar el  móvil cada vez que se accede (aunque la mayoría usamos siempre los mismos dispositivos, con lo que basta una única vez) sea normal plantearse qué pasa si pierdo el teléfono, o me dejan de funcionar aplicaciones.

Como siempre estos problemas son fácilmente evitables si se gestionan antes de que ocurran… Google Authenticator permite configurar teléfonos alternativos a los que enviar las solicitudes de autenticación, así como generar códigos de backup de un solo uso para estas eventualidades (o si estamos de viaje, por ejemplo).

Tenlo presente porque si eres de los que no tomas precauciones te puede pasar como a este chico y quedarte varias semanas sin acceso a tus cuentas de Google. No digas luego que no estabas advertido.

Imagen superior y portada: Guzmán Lozano

Imagen de Tokenpurpleslog

Sobre el autor

Jorge Ordovás

Jorge Ordovás

Ingeniero Superior en Informática, llevo más de una década desarrollando Servicios de TI en múltiples áreas (Servicios Móviles, Medios de Pago, Seguridad, eHealth, ...). En la actualidad lidero el desarrollo de Servicios Financieros para Empresas en el área de Nuevos Negocios de Telefónica. Me interesa todo lo que tenga que ver con medios de pago, monedas virtuales y seguridad. Y en realidad, casi todo lo demás también.
Ver todos sus artículos »