En lo que respecta a la seguridad online de tu empresa, nunca se es demasiado precavido. El volumen y la sofisticación de las amenazas a la ciberseguridad están aumentando rápidamente y tres de cada cuatro empresas estadounidenses corren el riesgo de sufrir un ciberataque importante (incidentes que tienen un impacto significativo en la posición financiera de una empresa). Como resultado, muchas empresas están revisando con ojo crítico sus prácticas actuales de infoseguridad.
Después de todo, una gran cantidad de información personal, financiera y confidencial se guarda en tus cuentas profesionales online, y se suelen filtrar datos con frecuencia dando como resultado una pérdida de ingresos. Para la mayoría de las organizaciones, hay un paso único y sencillo que puede ayudar a mejorar la disciplina de ciberseguridad de sus empleados de forma masiva: la doble autenticación o 2FA.
La doble autenticación, a examen
La autenticación es el proceso de verificación de la identidad de un usuario para poder establecer acceso al sistema de un ordenador o a una cuenta en línea. Hay tres “factores” principales para la autenticación:
- Un factor de conocimiento (algo que sabes, por ejemplo, una contraseña o un PIN).
- Un factor de posesión (algo que tienes, por ejemplo, un dispositivo móvil o una tarjeta de identificación).
- Un factor inherente (algo que eres, por ejemplo, una huella dactilar o tu voz).
También hay factores de ubicación y factores de tiempo, pero son menos comunes. La doble autenticación, o 2FA, solo significa que tu sistema de seguridad usa dos de estos factores.
En otras palabras, la doble autenticación es una segunda capa de seguridad sobre tu contraseña o número de PIN. Si tras iniciar sesión con tu contraseña se te ha pedido introducir un código numérico que te han enviado a tu dispositivo móvil para demostrar tu identidad, ya conoces la 2FA.
Sin embargo, obtener el código a través de un mensaje de texto no es el único método de doble autenticación que existe. Existe una gran variedad de opciones, incluidas las aplicaciones de autenticación, las notificaciones push o entrantes, los tokens de software, la autenticación basada en voz y muchas más. Sin embargo, en la mayoría de los casos, la capa adicional de seguridad será probablemente un mensaje SMS con un código.
¿Qué es una aplicación de autenticación?
Aunque seguramente estés familiarizado con la mayoría de tipos de doble autenticación, como los mensajes de texto, mensajes basados en voz y notificaciones push o entrantes; seguramente no conozcas tan bien las aplicaciones de autenticación. Lo cierto es que son relativamente sencillas.
Así que, ¿qué es una aplicación de autenticación? Básicamente, se trata de una aplicación de tu teléfono que genera códigos de verificación digitales susceptibles de usarse para verificar tu identidad cuando inicies sesión en una web o aplicación. Hay muchas aplicaciones de autenticación entre las que elegir, como la aplicación de autenticación de Google y Duo Mobile. A grandes rasgos, suelen seguir el mismo procedimiento.
Se considera que las aplicaciones de autenticación son una forma ligeramente más segura de doble autenticación que la que consiste en recibir un código de acceso por mensaje de texto SMS. Esto se debe a que, en términos técnicos, los SMS no son algo que se tiene, sino algo que te envían.
Como tal, hay una pequeña posibilidad de que los hackers puedan engañar a tu proveedor de telefonía para que realicen la portabilidad de tu número de teléfono a un dispositivo diferente. A este tipo de fraude se le conoce como "SIM swap" o suplantación de SIM. Si asumimos que ya tienen tu contraseña, esto permitiría a un atacante ganar acceso a tu cuenta. Por contraste, los códigos de verificación para las aplicaciones de autenticación expiran muy rápido (generalmente, a los 20 o 30 segundos), y este código no sale de la aplicación.
¿Cómo funciona la doble autenticación (2FA)?
Una vez que configuras la doble autenticación en tu sistema —ya utilices una aplicación de autenticación, notificaciones push o entrantes o mensajes SMS—, usarla es relativamente sencillo. A continuación te contamos paso a paso cómo es el proceso de la 2FA:
- Al usuario se le pide iniciar sesión en la web o aplicación.
- Este introduce su nombre de usuario y contraseña, rellenando el primer factor de seguridad.
- Una vez que el sitio reconoce al usuario, se le pedirá iniciar el segundo paso del proceso de inicio de sesión. En este punto, el usuario debe demostrar que tiene algo, como una tarjeta de identificación o un teléfono, rellenando el segundo factor de seguridad, es decir, "posesión". En muchos casos, a los usuarios se les enviará un código de acceso de seguridad de un solo uso para confirmar su identidad.
- Por último, el usuario introduce la clave de seguridad y, una vez que la web le ha autenticado, se les concede acceso.
¿Por qué usar la doble autenticación?
No se puede subestimar la importancia de proteger los archivos y el contenido de tu empresa. Se estima que los daños causados por la ciberdelincuencia a nivel mundial ascenderán a unos 15,63 billones de dólares anuales en 2029. Los costes asociados a la ciberdelincuencia incluyen la destrucción o mal uso de los datos, dinero robado, disrupciones posteriores al ataque, robo de propiedad intelectual y pérdida de productividad.
También tienes que pensar en los gastos potenciales asociados con la restauración de los datos y sistemas pirateados, la investigación forense y el daño reputacional.
A medida que las amenazas se vuelven cada vez más sofisticadas y el resto del mundo implementa la doble autenticación como estándar, las empresas no se arriesgan a ponerse en una situación vulnerable frente a los piratas. Sería como no llevar cinturón porque el coche ya tiene airbags. Técnicamente estás protegido, pero no todo lo protegido que podrías estar.
Por qué no deberías confiar en contraseñas “seguras”
En lo que respecta a la seguridad online, el factor de autenticación más común, de lejos, es la combinación de nombre de usuario y contraseña. Esto significa que la mayoría de sistemas solo usan una autenticación de un solo factor. Aunque las contraseñas han sido el referente de infoseguridad durante décadas, hay diferentes razones por las que puede que haya llegado el momento de dejarlas atrás:
1. Los humanos tendemos a tener mala memoria
Lamentablemente, esto es un hecho. Además, en muchos casos, las contraseñas que elegimos son ridículamente fáciles de adivinar: “contraseña”, “12345”, “qwerty”, etc.
2. La gente tiene más cuentas online de las que tenían cuando se presentaron las contraseñas como medida de seguridad
Esto significa que a menudo tenemos demasiadas contraseñas que recordar. Esto puede llevarnos al "reciclaje de contraseñas", es decir, a usar la misma contraseña para diferentes cuentas, lo cual puede facilitar las cosas a los hackers a la hora de conseguir acceso.
3. Algunos sitios web utilizan preguntas de seguridad
Por ejemplo, “¿Cuál es el segundo apellido de tu madre?” como una especie de segundo factor. No obstante, con tanta abundancia de información personal disponible online, a menudo los hackers pueden averiguar las respuestas a estas preguntas, que son relativamente fáciles.
Es importante tener en cuenta que las preguntas de seguridad son simplemente un segundo factor de conocimiento y esta práctica no es una doble autenticación “real”. Básicamente estás respaldando una contraseña con otra contraseña. En ese sentido, está más cerca de la verificación en dos pasos (2SV, por sus siglas en inglés), una forma de autenticación que no exige diferentes factores, solo varios pasos.
Conclusión: las contraseñas son la forma más básica de seguridad y, por ese motivo, la doble autenticación está convirtiéndose, cada vez más, en un estándar de seguridad para las empresas.
Más allá de la doble autenticación
Las ventajas asociadas con la doble autenticación son considerables. Pero la doble autenticación no es el destino final para la infoseguridad. De hecho, está lejos de serlo.
Después de todo, la doble autenticación no es infalible. Si un atacante quisiera obtener acceso a los sistemas de tu ordenador, una búsqueda física en tu espacio de trabajo podría llevarle a encontrar una tarjeta de empleado o un dispositivo de almacenamiento descartado que contenga contraseñas.
Y lo que es más, los hackers pueden interceptar mensajes de texto a través de correos de phishing, lo cual les habilita potencialmente para evitar el segundo factor de autenticación. Básicamente, la 2FA es tan fuerte como el elemento más débil del proceso de seguridad.
Alternativas a la doble autenticación
Así que, ¿qué otras opciones hay? La 2FA es sencillamente un subconjunto de un concepto mucho más amplio: la autenticación multifactor (MFA, por sus siglas en inglés).
Teóricamente, podrías tener una triple autenticación, cuádruple autenticación, quíntuple autenticación y así hasta el infinito. Mientras que los usuarios normales seguramente no utilicen nada que vaya más allá de la doble autenticación, a la gente que trabaja en entornos de alta seguridad puede exigírsele usar algo como la triple autenticación (3FA), que generalmente implica el uso de un factor de inherencia, como una huella dactilar o el escáner del iris.
Cómo conseguir la 2FA con Dropbox
Está claro que habilitar la doble autenticación puede tener ventajas importantes para tu empresa, pero el proceso de implementar la 2FA en toda la empresa puede ser un poco abrumador. Por suerte, no tiene por qué ser tan difícil.
Dropbox ofrece doble autenticación. Si activas la 2FA, Dropbox te exigirá a ti y a tu equipo ofrecer una segunda forma de identificación (p. ej., un código de acceso de seis dígitos o clave de seguridad) cada vez que inicies sesión en tu cuenta o vincules una nueva tablet, ordenador o teléfono.
Además, Dropbox ofrece numerosas funciones de protección de contraseñas que pueden ayudarte a proteger y controlar la información confidencial de tu empresa, al tiempo que las fechas de caducidad para los enlaces compartidos y las contraseñas protegen tus PDF y carpetas.
Hay otras medidas de ciberseguridad que puedes implementar con Dropbox para proteger tus archivos incluso de forma más efectiva. La protección de los datos es nuestra máxima prioridad y la seguridad en la nube es un complemento ideal de la doble autenticación. Con varias capas de protección en la infraestructura distribuida en la nube, puedes asegurarte de que a todos tus archivos online se les asigna el mismo nivel de protección. Además, el almacenamiento en la nube cifrado de nivel empresarial que ofrece Dropbox puede usarse para cumplir con la mayoría de los estándares normativos a nivel internacional.
Mantén tus datos a salvo y aprovecha la doble autenticación con Dropbox
Depender de una única contraseña como única protección para tus archivos y datos te deja vulnerable frente a amenazas que se pueden prevenir. Con la 2FA, dificultas mucho a las personas con malas intenciones el acceso a tu contenido.
Tanto si eres usuario de Dropbox y buscas un poco más de tranquilidad como si necesitas una solución de almacenamiento en la nube con múltiples capas de protección, Dropbox te ofrece todo lo que necesitas.
Regístrate para obtener una cuenta y comenzar a beneficiarte de la doble autenticación hoy mismo.
