Doble verificación, o cómo mantener a salvo nuestras cuentas

Es una de las múltiples opciones que tiene, por ejemplo, Google para verificar la identidad de quien desea iniciar sesión. Tras introducir el correo y la contraseña, aparece en el teléfono que tengas indicado una pantalla que informa de que se está intentando acceder a la cuenta. El usuario debe indicar si es él quien desea entrar o no.

Es sencillo porque el mensaje llega en unos instantes y solo hay que introducir en la cuenta a la que se desea acceder el código que aparece en él. Este método no cumple el requisito de la autenticación de doble factor y no es aconsejable actualmente porque cualquiera puede ver el SMS en la pantalla del móvil aunque esté bloqueado si se tienen activadas las notificaciones. Además, se ha detectado que los ciberdelincuentes pueden suplantar al remitente e interceptar los SMS.

Es uno de los métodos más populares últimamente.

Hay servicios, como Discord, que proporcionan varios códigos cuando se activa la verificación en dos pasos. Cuando se desee acceder a la cuenta o si se olvida la contraseña, se emplea uno de esos códigos, que queda desde ese momento inutilizado. Es un sistema muy fiable, pero hay que asegurarse de que ese listado de códigos se guarda en un sitio seguro: perderlos supone no tener más acceso a esa cuenta.

Tras introducir el PIN o la contraseña, hay que usar la huella digital o el reconocimiento facial para acceder a la cuenta.

Como una llave USB que se puede transferir al móvil mediante Bluetooth.

Conan Mobile

El INCIBE ofrece esta herramienta gratis que comprueba la seguridad de las aplicaciones del móvil y la configuración del dispositivo. Plantea al propietario recomendaciones para mejorarla y le avisa cuando alguna puede poner en peligro la integridad de su información. Clasifica la peligrosidad de las 'apps' usando herramientas para detectar virus y por el listado de los permisos que declaran. También avisa de conexiones a redes Wi-Fi inseguras, detecta el envío de SMS y llamadas a números de tarificación especial y tiene un servicio AntiBotnet para detectar incidentes de seguridad pillados con Botnets desde el teléfono.

Google Authenticator / Authy / Microsoft Authenticator.

Aplicaciones para la doble autenticación de identidad hay varias, pero la de Google es la más utilizada porque es cómoda y fácil de usar. Hay que ir añadiendo cada cuenta y luego, cuando se pida la autenticación, pulsar sobre cada una de ellas. Aparece un PIN que cambia cada treinta segundos y que hay que introducir en la cuenta. Si cambias el teléfono recuerda que hay que exportar primero todas las cuentas que tienes asociadas si no quieres tener que introducirlas después una a una en el teléfono nuevo.

Authy y Microsoft Authenticator realizan copias de seguridad en la nube y se sincronizan en distintos dispositivos.

Diversos estudios señalan que la mayoría de los ciberataques (casi el 80%) se producen porque las contraseñas han podido ser descifradas por los ciberdelincuentes en un tiempo de entre varios segundos y dos horas. Tanto si se utiliza la autenticación de doble factor como si no, conviene contar con la barrera de una contraseña fuerte. El Incibe establece estas normas para que sean difíciles de adivinar o calcular:

Tienen que contener al menos ocho caracteres.

Deben combinar caracteres de distinto tipo: mayúsculas, minúsculas, números y también símbolos.

No deben contener palabras sencillas, nombres propios, fechas, lugares o datos personales ni palabras formadas por caracteres que estén próximos en el teclado o que sean excesivamente cortas.

No hay que usar palabras que se adivinen fácilmente como nombre y fecha de nacimiento.

Las contraseñas deben ser distintas en cada servicio, así no hay que cambiar todas si alguna se ve comprometida. Conviene cambiarlas periódicamente.

No conviene usar el recordatorio de contraseñas en el navegador, por si alguien logra acceder a él.

Recurrir a algún gestor de contraseñas. De esta manera, solo hay que recordar la contraseña para acceder al gestor, que debería cifrar las credenciales y tener activado el doble factor de autenticación.