¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. 24 horas en una vida (no tan) privada
  3. Seguridad en los pagos, contraseñas, autenticación de dos factores (A2F)
Extrait - 24 horas en una vida (no tan) privada 250 consejos prácticos para proteger sus datos personales en Internet
Extractos del libro
24 horas en una vida (no tan) privada 250 consejos prácticos para proteger sus datos personales en Internet Volver a la página de compra del libro

Seguridad en los pagos, contraseñas, autenticación de dos factores (A2F)

19.00 h

Después de treinta minutos de tediosa investigación, Julia valida la elección de Máximo. Todo lo que tiene que hacer es iniciar sesión en su cuenta de cliente y pagar su pedido.

Para conectarse, Máximo utiliza un identificador único proporcionado por Facebook, aunque también podría haber usado con la misma facilidad el de su cuenta de Gmail. Máximo usa estos identificadores únicos siempre que puede, ¡es tan cómodo!

Para reforzar la seguridad, el sitio sugiere a Máximo que introduzca su número de teléfono. ¿Y por qué no? Los acontecimientos del día le han demostrado que la seguridad informática es importante y que tal vez la ha descuidado demasiado.

Después de todas estas peripecias, Máximo solo tiene que pagar. No es necesario que busque su tarjeta de crédito, ya que el sitio ha guardado sus datos bancarios y postales desde el pedido anterior, hace seis meses. Solo le falta confirmar la compra.

Mientras tanto, ha visto una oferta realmente atractiva en otro sitio web de muebles de diseño. Regresa y decide comprar una pequeña mesa de centro a un precio realmente interesante. Esta es la primera vez que visita este sitio. Como de costumbre, crea una cuenta, escribe su correo electrónico habitual como nombre de usuario, introduce todos sus datos personales, incluido su número de teléfono...

Riesgos

El desarrollo de la autenticación de dos factores (A2F)1 ha mejorado significativamente la seguridad de sus cuentas en línea al permitirle autenticarse a través de dos elementos: uno que conoce, generalmente una contraseña, y otro que posee, como un teléfono inteligente. Si un atacante conoce la contraseña (por ejemplo, debido a una filtración de datos), igualmente no podrá iniciar sesión sin el segundo elemento de autenticación.

Existen varios métodos de A2F. Mencionaremos dos de ellos:

  • SMS A2F: recibe la contraseña en su teléfono inteligente, es única y tiene un límite de tiempo.

  • Protocolo TOTP2: escanea un código QR que genera una contraseña única y de tiempo limitado en su aplicación activada para TOTP.

El segundo método no requiere que proporcione su número de teléfono y sus datos se almacenan en su teléfono inteligente. Sin embargo, es importante que guarde bien su información de autenticación en caso de robo o cambio de teléfono.

Como cualquier dispositivo de seguridad, la autenticación de dos factores no es perfecta3. En cuanto a los SMS A2F, hay varios tipos de ataques. Uno de los más conocidos es el ataque a la tarjeta SIM (Sim Swapping4). El atacante puede redirigir el SMS de seguridad a su propio teléfono, lo que le permite eludir esta barrera de seguridad. Para lograrlo, utiliza técnicas de phishing y, en general, técnicas de ingeniería social. La ingeniería social se refiere a los ataques informáticos que se basan en la manipulación de la persona u organización objetivo para que realicen una acción que permita al atacante ejecutar su piratería. Estos ataques pueden manifestarse como llamadas falsas, mensajes de texto falsos, correos electrónicos falsos, actualizaciones falsas, espionaje de conversaciones, creación de un sentido de urgencia para obtener información sensible, etc.

Cabe señalar que los ataques dirigidos contra la autenticación de dos factores son cada vez más frecuentes. La técnica implica el uso de bots que automatizan...

Consejos

Para todos

 Asegúrese de que la página de pago sea segura: en la barra de direcciones, debe aparecer https (la «s» es una garantía de seguridad) y un icono similar a un candado: images/HSRB16.png.

 Utilice un gestor de contraseñas para generar y almacenar fácilmente contraseñas y otra información relacionada con sus cuentas en línea.

Keepass, Bitwarden

 Verifique usted mismo si su dirección de correo electrónico o número de teléfono han sido robados en una brecha de seguridad de un sitio en el que estaba registrado.

Have I Been Pwned?16

 Priorice la A2F basada en el algoritmo TOTP. Para ello, utilice una aplicación de código abierto, independiente de las Big Tech. Sobre todo, asegúrese de guardar las contraseñas de recuperación de cada una de sus cuentas registradas en caso de cambio de teléfono inteligente y guarde también los tokens de inicio de sesión.

Estas aplicaciones almacenan sus datos de autenticación localmente en su teléfono inteligente: FreeOTP+17, Aegis Authenticator18.

 Para Aegis: Configuración - Copias de seguridad - Respaldar automáticamente la bóveda. Seleccione una carpeta que luego pueda copiar en una unidad externa segura.

 Tenga cuidado de no escanear un código QR cuyo emisor no conoce. Al escanearlo, puede ser redirigido a código informático...

Referencias

1 Método de autenticación también conocido con el anglicismo «2FA», two factors authentification

2 TOTP: Time Based One Time Password....