Por qué no es suficiente con una contraseña
Al igual que la mayoría de las personas, es probable que usted use una contraseña sólida para proteger sus cuentas. Pero los piratas informáticos usan diferentes tácticas para robar o predecir sus contraseñas.
- Los piratas informáticos usan ataques de phishing para engañarlo y lograr que usted les dé sus credenciales de inicio de sesión.
- Los estafadores compran este tipo de credenciales robadas en incidentes de filtración de datos y usan su nombre de usuario y su contraseña para iniciar sesión en la cuenta donde se produjo el incidente. (Por eso es importante que cambie su contraseña de inmediato si descubre que su información quedó expuesta en un incidente de seguridad de datos).
- Los piratas informáticos también podrían tratar de usar su nombre de usuario y la contraseña que usa para conectarse a otra de sus cuentas. Esta táctica funciona únicamente si usted usa el mismo nombre de usuario y contraseña en más de un lugar, y ese es el motivo por el que nunca hay que reutilizar el mismo nombre de usuario y la misma contraseña.
- Si los piratas informáticos solo tienen su nombre de usuario, pueden usar un software para predecir su contraseña. Si el sitio no cuenta con las salvaguardias para detectar este tipo de ataque, los piratas informáticos pueden intentar acceder a su cuenta con muchas contraseñas diferentes generadas por ese software.
Al tomar medidas para reforzar la seguridad de su contraseña usted está creando una importante línea de defensa contra los piratas informáticos. Pero la mejor manera de proteger sus cuentas es usar un sistema de autenticación de dos factores, que también se conoce como verificación de dos pasos o autenticación de múltiples factores.
Proteja sus cuentas
Para impedir el acceso no autorizado a sus cuentas, los sitios suelen pedirle que inicie su sesión usando un nombre de usuario y una contraseña. Este proceso verifica quién es usted y se conoce como autenticación. La credencial que usted ingresa para iniciar sesión, que en este ejemplo es su contraseña, es un tipo de factor de autenticación. Los factores de autenticación se dividen en tres categorías:
- Algún dato que usted conoce, como una contraseña, un PIN o la respuesta a una pregunta de seguridad.
- Algún dato que usted tiene, como un código de acceso por única vez que recibe a través de un mensaje de texto, email, aplicación de autenticación o una llave de seguridad.
- Algún dato de reconocimiento personal, como su huella digital, su rostro o su retina.
Para iniciar sesión en una cuenta con un sistema de autenticación de dos factores usted debe ingresar datos de dos de las tres categorías mencionadas.
Dos factores son mejores que uno
Usar un solo factor para conectarse a su cuenta, por ejemplo, un dato que usted conoce, como una contraseña, es como tener una cerradura en la puerta de su casa. Y una no muy segura.
Usar una autenticación de dos factores es como tener dos cerraduras en su puerta, y es mucho más seguro. Aunque un pirata informático conozca su nombre de usuario y su contraseña, no puede conectarse a su cuenta sin la segunda credencial o factor de autenticación.
Los métodos de autenticación más comunes
Cada vez son más los sitios y aplicaciones que ofrecen autenticación de dos factores. Algunos le permiten escoger el método de autenticación a usar. Otros le dan una sola opción. Estos son algunos de los métodos de autenticación más comunes.
1. Código de acceso de uso único enviado por mensaje de texto o email
Con este tipo de autenticación, usted recibe un código de acceso de verificación por mensaje de texto o email. Por lo general, es un código de seis dígitos, pero puede ser más extenso. Solo es válido para un único inicio de sesión y caduca automáticamente.
Obtener un código de acceso por mensaje de texto es un método común y simple de autenticación ya que solo hay que tener un teléfono que pueda recibir mensajes de texto. Pero tiene sus inconvenientes. Los piratas informáticos pueden apropiarse de su número de teléfono mediante un ataque de duplicación de tarjeta SIM y recibir los mensajes de texto enviados a su número, incluidos los mensajes con códigos de verificación, antes de que usted se dé cuenta de que le robaron el número de teléfono.
Si obtiene un código de acceso de verificación por email, use una contraseña sólida y una autenticación de dos factores en su cuenta de email. De esa manera, será más difícil que alguien pueda piratear su email y robarle su código de acceso de uso único.
Los estafadores tratan de engañarlo para que usted les dé su código de acceso de verificación. Cualquiera sea la historia que le cuenten, no comparta su código de verificación con ninguna persona si usted no inició el contacto.
Si la única opción que le ofrece la cuenta es recibir un código de acceso de verificación por mensaje de texto o email, piense que es mejor que nada. Pero si tiene la opción, una aplicación de autenticación o llave de seguridad son métodos más seguros.
2. Una aplicación de autenticación
Algunas cuentas le permiten usar una aplicación de autenticación en su teléfono o tablet para verificar que usted es la persona que está tratando de iniciar sesión. Existen varias aplicaciones de autenticación, como Google Authenticator, Microsoft Authenticator y Duo.
Por lo general, las aplicaciones de autenticación generan un código de acceso de verificación, igual al que podría recibir por mensaje de texto o email. Pero el uso de una aplicación es más seguro por que el código de acceso no se puede obtener por medio de un ataque de duplicación de tarjeta SIM o si alguien piratea su email.
Es posible que una aplicación de autenticación también le ofrezca la opción de recibir una notificación automática en su teléfono o tablet cada vez que alguien intenta iniciar sesión en su cuenta. En la notificación podrían figurar algunos detalles sobre el intento de inicio de sesión, como la cuenta en la que alguien está intentado iniciar sesión, su ubicación física, el tipo de dispositivo que está utilizando esa persona y la fecha y hora del intento de inicio de sesión. Usted puede aprobar o denegar la solicitud con un toque.
3. Una llave de seguridad
Las llaves de seguridad son dispositivos físicos que se usan como un segundo factor de autenticación. Son de diferentes formas y tamaños. Usted puede comprar una de estas llaves para su uso personal u obtener una de su empleador.
Las llaves de seguridad usan un sistema de codificación para confirmar que la llave está vinculada a su cuenta. Algunas se conectan a un puerto USB. Otras se conectan sosteniéndolas cerca de su dispositivo a través de un sistema de comunicación de campo cercano (NFC). Las llaves de seguridad son el método de autenticación de dos factores que ofrece mayor protección porque no usan credenciales que están al alcance de los piratas informáticos y por lo tanto no le pueden robar esos datos.
Cómo activar un sistema de autenticación de dos factores
Cada vez son más los sitios y aplicaciones que ofrecen autenticación de dos factores, pero, por lo general, no es un sistema que esté configurado de manera predeterminada. Para activarlo, vaya a la configuración de su cuenta, busque la autenticación de dos o múltiples factores y siga las instrucciones.
Comience con las cuentas más delicadas, como su cuenta bancaria, de tarjetas de crédito, email, medios sociales, sitio web de presentación de declaraciones de impuestos y aplicaciones de pago. Luego, agréguela a otras cuentas, por ejemplo, a los sitios donde hace compras.
Después de configurar la autenticación de dos factores, es posible que tenga la opción de recordar el dispositivo que está usando para iniciar sesión Si habilita esa opción, en lugar de tener que dar la segunda credencial cada vez que se conecte, puede que solo tenga que hacerlo en determinadas situaciones, por ejemplo, cuando se conecta desde otro dispositivo. Escoja esta opción para que la cuenta recuerde únicamente sus propios dispositivos. No escoja la opción de recordar el dispositivo si se conecta a sus cuentas en una computadora de uso público, por ejemplo, en una biblioteca.
La autenticación de dos factores le puede ofrecer un nivel de seguridad adicional para protegerlo contra los piratas informáticos. Y dedicar unos minutos para activarla ya puede ahorrarle las molestias y las incontables horas, que le llevará recuperar una cuenta pirateada o lidiar con el robo de identidad.
Cortesía de la Federal Trade Comission.
Para mayor información acerca de empresas en los Estados Unidos: www.200gfs.com