{"id":73,"date":"2014-06-23T17:01:09","date_gmt":"2014-06-23T15:01:09","guid":{"rendered":"http:\/\/ciberseguridad.pre.metafrase.es\/?p=73"},"modified":"2014-06-23T17:01:09","modified_gmt":"2014-06-23T15:01:09","slug":"que-es-la-autenticacion-de-dos-factores","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/que-es-la-autenticacion-de-dos-factores\/","title":{"rendered":"\u00bfQu\u00e9 es la autenticaci\u00f3n de dos factores?"},"content":{"rendered":"<p>Hace poco escrib\u00edamos comentando las palabras de un pez gordo de Symantec que comentaba que los antivirus estaban muertos; Pues tambi\u00e9n se est\u00e1 leyendo \u00faltimamente bastante que <strong>las contrase\u00f1as est\u00e1n muertas y que no sirven<\/strong>. \u00bfEntonces la autenticaci\u00f3n con usuario y contrase\u00f1a ya no sirve? \u00bfpor qu\u00e9?<\/p>\n<h2>\u00bfCu\u00e1l es el problema con la autenticaci\u00f3n con usuario y contrase\u00f1a?<\/h2>\n<p>El principal problema no es la contrase\u00f1a en s\u00ed, sino nuestra fr\u00e1gil memoria: <a href=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2014\/06\/Olvidadizo11.jpg\" target=\"_blank\" rel=\"noopener\"><img fetchpriority=\"high\" decoding=\"async\" class=\"alignleft wp-image-82 size-medium lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Olvidadizo\" width=\"300\" height=\"190\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2014\/06\/Olvidadizo1-300x190.jpg\"><\/a>nuestra mente no es capaz de recordar tantas combinaciones de usuario y contrase\u00f1a como ser\u00eda deseable para asegurarnos un alto nivel de seguridad. Por esta raz\u00f3n la mayor\u00eda de nosotros, o bien termina reutilizando estas contrase\u00f1as en nuestros diferentes servicios y Apps, o bien tiene como mucho 3 \u00f3 4 variaciones o reutilizando fechas de nacimiento, aniversarios de boda, etc.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><\/h2>\n<h2>\u00bfPor qu\u00e9 es importante no repetir los pares usuario\/contrase\u00f1a?<\/h2>\n<p>B\u00e1sicamente porque si en alguno de los servicios donde los estamos usando, se produce una brecha de seguridad y llegan a robar las credenciales, como probablemente estemos usando las mimas credenciales en otros sitios web o en otras aplicaciones, estos delincuentes podr\u00e1n obtener acceso a estas cuentas por nosotros.  \u00bfY qu\u00e9 importancia tiene? \u2013 Pues puede tenerla, y mucha, sobre todo si logran entrar a por ejemplo nuestra cuenta iTunes (donde habr\u00e1 asociada una tarjeta de cr\u00e9dito), o a nuestro email, o Facebook, d\u00f3nde podr\u00edan empaparse de nuestra identidad: saber qui\u00e9nes somos, con qui\u00e9n nos relacionamos, a qu\u00e9 nos dedicamos, etc. para posteriormente hacerse pasar por nosotros, y gastar dinero y que paguemos nosotros.<\/p>\n<p>Esto no s\u00f3lo ha ocurrido en el pasado reciente, sino que contin\u00faa ocurriendo en la actualidad a pesar de las innumerables medidas de seguridad e inversi\u00f3n que realizan sitios como Google, eBay, Amazon, etc. Ah\u00ed est\u00e1n los famosos casos de Sony, Adobe, etc.<\/p>\n<h2><\/h2>\n<h2>Ya: pero eso s\u00f3lo pasa a grandes empresas o gente importante<\/h2>\n<p>Error t\u00edpico: pensar que lo malo solo sucede a los dem\u00e1s. Hace apenas un mes, nos llama una persona y nos cuenta que han sido v\u00edctimas de un robo. Unos 5,000\u20ac de su cuenta de ahorros que hab\u00edan transferidos haci\u00e9ndose pasar por \u00e9l (lo que se conoce como <a title=\"Robo de Identidad\" href=\"http:\/\/es.wikipedia.org\/wiki\/Robo_de_identidad\" target=\"_blank\" rel=\"nofollow noopener\"><em>robo de identidad<\/em>)<\/a>. No hab\u00edan hackeado su banca electr\u00f3nica, ni aparentemente hab\u00edan gastado dinero con su tarjeta de cr\u00e9dito, pero <em>hab\u00edan conseguido que un empleado de su sucursal bancaria hiciera por \u00e9l una transferencia urgente.<\/em> No sab\u00eda c\u00f3mo hab\u00eda podido ocurrir y lo cierto es que no tenemos la certeza absoluta, pero tras investigar su equipo, su m\u00f3vil y su tablet, ver que estaban limpias de malware tras escanear hasta con 3 de los mejores motores antimalware del mercado el equipo y de analizar con ProcessExplorer los procesos en su m\u00e1quina, determinamos que estaba limpio.<\/p>\n<p>Tras tirar del hilo lo que hab\u00eda ocurrido es que hab\u00edan capturado en un Hotspot WiFi \u2013supuestamente de un aeropuerto, pero \u00bfrealmente era un Hotspot leg\u00edtimo?- sus credenciales de correo electr\u00f3nico; Con ellas, en lugar de dedicarse a buscar Spam se hab\u00edan empapado de su vida, de sus negocios y hab\u00edan visto una forma de robarle haci\u00e9ndose pasar por \u00e9l, a trav\u00e9s del email y del tel\u00e9fono. Y les funcion\u00f3.<\/p>\n<p>Os aconsejo ver, si ten\u00e9is un poco de tiempo este cap\u00edtulo de <a href=\"http:\/\/www.mundohacker.es\/\" target=\"_blank\" rel=\"nofollow noopener\">MundoHacker<\/a>, en el que se explican muchas vulnerabilidades de las redes WiFi y por qu\u00e9 hay que tener cuidado con ellas:<\/p>\n<hr \/>\n<p>&nbsp;<\/p>\n<h3>Volviendo al problema: \u00bfEs suficiente por tanto tener un usuario y una contrase\u00f1a?<\/h3>\n<p>Evidentemente, a la vista est\u00e1 que no. Aunque seamos capaces de anotar en una libreta cada usuario y contrase\u00f1a de cada servicio de Internet que usemos, y que todas ellas sean lo suficientemente distitntas como para que cuando nos hackeen una de ellas, esto no suponga que tenemos comprometidos los dem\u00e1s servicios web, la realidad, es que no basta. Porque si de alguna sofisticada manera son capaces de obtenerlas, ya se pueden hacer pasar por nosotros c\u00f3modamente.<\/p>\n<h2><\/h2>\n<h2>\u00bfPor d\u00f3nde pasa la soluci\u00f3n entonces?<\/h2>\n<p>No hay una \u00fanica soluci\u00f3n. Quiz\u00e1s una combinaci\u00f3n de varias sea lo m\u00e1s factible:<\/p>\n<ol>\n<li>Usar un gestor de contrase\u00f1as: como <a href=\"https:\/\/agilebits.com\/onepassword\" target=\"_blank\" rel=\"nofollow noopener\">1Password<\/a>, <a href=\"https:\/\/agilebits.com\/onepassword\" target=\"_blank\" rel=\"nofollow noopener\">Keepass<\/a>, etc.<\/li>\n<li>Usar una autenticaci\u00f3n de doble factor: <a href=\"http:\/\/es.wikipedia.org\/wiki\/Google_Authenticator\" target=\"_blank\" rel=\"nofollow noopener\">Google Authenticator,<\/a> Authy, SMS o <a href=\"https:\/\/latch.elevenpaths.com\/\" target=\"_blank\" rel=\"nofollow noopener\">Latch<\/a><\/li>\n<\/ol>\n<p><a href=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2014\/06\/1Password11.png\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" class=\"size-medium wp-image-101 aligncenter lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"1Password\" width=\"300\" height=\"218\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2014\/06\/1Password1-300x218.png\"><\/a><\/p>\n<h4>Continuar\u00e1<\/h4>\n","protected":false},"excerpt":{"rendered":"<p>Hace poco escrib\u00edamos comentando las palabras de un pez gordo de Symantec que comentaba que los antivirus estaban muertos; Pues tambi\u00e9n se est\u00e1 leyendo \u00faltimamente bastante que las contrase\u00f1as est\u00e1n muertas y que no sirven. \u00bfEntonces la autenticaci\u00f3n con usuario y contrase\u00f1a ya no sirve? \u00bfpor qu\u00e9? \u00bfCu\u00e1l es el problema con la autenticaci\u00f3n con [&hellip;]<\/p>\n","protected":false},"author":12,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-73","post","type-post","status-publish","format-standard","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/73","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=73"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/73\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=73"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=73"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=73"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}