Autenticación de dos factores para su sitio web

Jazmie Jamaludin

Una contraseña es un punto único de fallo. Si alguien la descubre, la adivina o la compra en un volcado de datos, accederá directamente a la parte de tu sitio web que gestiona tu negocio. La autenticación de dos factores, normalmente abreviada como 2FA, existe para eliminar ese punto único de fallo solicitando una segunda prueba de identidad independiente antes de permitir el acceso a cualquier persona. Para un propietario de una pequeña empresa que depende de un sitio web para pedidos, reservas, contenido o registros de clientes, es una de las mejoras de seguridad de mayor valor que puede realizar en una tarde.

Esta guía explica qué hace realmente la autenticación de dos factores, los diferentes métodos que puedes usar, dónde son más fuertes y más débiles, y cómo implementar 2FA para ti y tu equipo sin bloquear a nadie ni crear problemas de soporte. El objetivo es que te sientas lo suficientemente seguro como para activarla hoy mismo y tomar decisiones sensatas sobre qué tipo usar.

Qué es realmente la autenticación de dos factores

La autenticación es el proceso de probar que eres quien dices ser. Los profesionales de la seguridad agrupan las formas de probar la identidad en tres categorías: algo que sabes, como una contraseña o un PIN; algo que tienes, como un teléfono o una llave de hardware; y algo que eres, como una huella dactilar o un escaneo facial. La autenticación de un solo factor se basa en solo una de estas, casi siempre la contraseña. La autenticación de dos factores requiere dos factores de dos categorías diferentes, por lo que una contraseña más un código de tu teléfono califica, mientras que una contraseña más una pregunta de seguridad no, porque ambas son cosas que sabes.

La razón por la que las categorías importan es que fallan de diferentes maneras. Las contraseñas se filtran a través de phishing, reutilización y brechas. Un código generado en un dispositivo que tienes físicamente no se filtra de la misma manera, porque un atacante al otro lado del mundo no puede acceder a tu bolsillo. Al combinar dos categorías, obligas a un atacante a superar dos obstáculos no relacionados al mismo tiempo, lo cual es drásticamente más difícil que superar uno.

Dos categorías, no dos contraseñas
La 2FA solo cuenta cuando el segundo factor proviene de una categoría diferente a la primera.
Fuente: Directrices de Identidad Digital del NIST

Por qué una contraseña por sí sola ya no es suficiente

La mayoría de las personas reutilizan contraseñas en varios servicios, lo que significa que una brecha en un sitio web no relacionado puede entregar a un atacante las claves de tu tienda. Las herramientas automatizadas toman listas de pares de correo electrónico y contraseña filtrados e intentan acceder a miles de sitios mediante una técnica llamada "credential stuffing". Debido a que el intento utiliza una contraseña real y válida, no parece obviamente sospechoso. La autenticación de dos factores detiene limpiamente este ataque: incluso con la contraseña correcta, el atacante se detiene en el segundo paso porque no tiene tu teléfono o llave. Este único beneficio es la razón por la que tantas plataformas ahora fomentan enérgicamente, y cada vez más exigen, la 2FA en las cuentas de administrador.

Los principales métodos, comparados

No todos los segundos factores son iguales. Las opciones van desde convenientes pero más débiles hasta un poco más de esfuerzo pero mucho más fuertes. Comprender las ventajas y desventajas te permite adaptar el método al valor de lo que estás protegiendo. Tu base de datos de clientes y la administración de tu sitio web merecen las opciones más sólidas; una herramienta interna de bajo riesgo podría justificar algo más conveniente.

Métodos comunes de 2FA de un vistazo
Método Fuerza y compensación
Código de texto SMS Fácil y familiar, pero vulnerable al intercambio de SIM e interceptación. Mejor que nada, la más débil de las opciones.
Aplicación de autenticación (TOTP) Genera un código rotatorio sin conexión. Resistente a la interceptación. Una opción predeterminada fuerte y gratuita para la mayoría de los equipos.
Notificación push Toca para aprobar en tu teléfono. Conveniente, pero ten cuidado con las aprobaciones accidentales impulsadas por la fatiga.
Clave de seguridad de hardware Clave física que se conecta o se toca. La más fuerte, resistente al phishing. Pequeño costo y debes tener una copia de seguridad.

Códigos SMS: convenientes pero el eslabón más débil

Un mensaje de texto con un código de seis dígitos es el método que la mayoría de las personas conocen primero. Funciona en cualquier teléfono, no requiere ninguna aplicación y es mucho mejor que una contraseña sola. Su debilidad es que la red telefónica nunca fue diseñada para ser un canal de entrega seguro. En un ataque de intercambio de SIM, un criminal convence a tu operador de telefonía móvil para que mueva tu número a su dispositivo, después de lo cual tus códigos llegan a su teléfono. Los mensajes también pueden ser interceptados en tránsito en algunas circunstancias. Usa SMS si es la única opción que ofrece una plataforma, pero prefiere algo más fuerte siempre que puedas.

Aplicaciones de autenticación: el punto óptimo práctico

Una aplicación de autenticación genera un código nuevo de seis dígitos cada treinta segundos utilizando un secreto compartido configurado cuando escaneas un código QR. Debido a que el código se genera en tu dispositivo utilizando un reloj y un secreto almacenado, nada se transmite a través de la red para que un atacante lo intercepte, y sigue funcionando incluso sin señal. Estas aplicaciones son gratuitas, se ejecutan en el teléfono que ya llevas y son compatibles con casi todas las plataformas serias. Para la mayoría de las pequeñas empresas, una aplicación de autenticación es la opción predeterminada correcta para cada cuenta de administrador.

Llaves de hardware: el estándar de oro para cuentas de alto valor

Una llave de seguridad de hardware es un pequeño dispositivo físico que se conecta a un puerto USB o se toca contra el teléfono. Utiliza criptografía vinculada al sitio web específico en el que se está iniciando sesión, lo que la hace resistente incluso a páginas de phishing convincentes, porque la llave simplemente no responderá a una dirección falsa. Si tienes cuentas que causarían daños graves si se vieran comprometidas, como tu registrador de dominio, tu correo electrónico principal o tu proveedor de alojamiento web, una llave de hardware vale el costo modesto. Compra dos y registra ambas, para que una llave perdida nunca te bloquee el acceso.

Protege primero las llaves del reino
dominio, correo electrónico y hosting merecen tu factor de segundo más fuerte.
Fuente: Centro de aprendizaje de Cloudflare

Implementar 2FA sin bloquearte

La razón más común por la que las personas evitan la autenticación de dos factores es el miedo a quedar bloqueadas de su propia cuenta. Ese miedo es razonable pero totalmente manejable. El hábito más importante es guardar los códigos de respaldo o recuperación en el momento en que se habilita la 2FA. Casi todas las plataformas te proporcionan un conjunto de códigos de recuperación de un solo uso durante la configuración. Imprímelos, guárdalos en un lugar seguro y fuera de línea, y trátalos como llaves de repuesto de tus instalaciones. Con los códigos de recuperación a mano, un teléfono perdido o roto es un inconveniente, no un desastre.

Comienza con tus propias cuentas de mayor valor y trabaja hacia afuera. Habilita 2FA en la administración de tu sitio web, luego en tu correo electrónico, tu registrador de dominios y tu panel de control de hosting, ya que estas son las cuentas que un atacante más desea. Para obtener más información sobre los fundamentos en los que se basan estas cuentas, nuestra guía de conceptos básicos de seguridad de sitios web cubre el panorama general, y el artículo complementario sobre seguridad de contraseñas y gestión de accesos se complementa naturalmente con este.

Involucrando a tu equipo

Si otras personas inician sesión en tu sitio web, la 2FA es tan fuerte como la cuenta más débil. Haz que sea un requisito para todos los que tengan acceso de administrador o editor, no un extra opcional. Guía a cada persona para que habilite una aplicación de autenticación y haz que guarden sus propios códigos de recuperación. Mantén un registro sencillo de quién tiene acceso a qué, para que cuando alguien se vaya puedas eliminar su cuenta rápidamente. Los inicios de sesión compartidos son el enemigo de una buena 2FA, porque un único segundo factor compartido es imposible de gestionar limpiamente; en su lugar, dale a cada persona su propia cuenta.

Planificación para la pérdida del teléfono

Los dispositivos se pierden, se roban y se reemplazan. Crea un plan de recuperación antes de que lo necesites. Guarda los códigos de recuperación en un lugar seguro, registra un segundo factor donde la plataforma lo permita, como una clave de hardware de respaldo o un segundo dispositivo de confianza, y conoce de antemano cómo cada plataforma crítica maneja la recuperación de la cuenta. Si proteges bien tu dominio y correo electrónico, mantendrás el control de los canales de los que dependen la mayoría de los procesos de recuperación, lo que te mantendrá al mando incluso cuando algo salga mal.

Dónde encaja la 2FA en tu seguridad general

La autenticación de dos factores es poderosa, pero es una capa entre varias. Protege la puerta principal de tus cuentas; no parchea software obsoleto, no escanea en busca de malware ni respalda tus datos. Piensa en ella como parte de una rutina junto con actualizaciones regulares, contraseñas sensatas y monitoreo. Si sospechas que una cuenta ya ha sido comprometida, nuestra guía sobre recuperación de un sitio web hackeado describe los pasos inmediatos, y la guía de mantenimiento de sitios web más amplia muestra cómo estos hábitos encajan con el tiempo. Debido a que los atacantes a menudo combinan el robo de credenciales con el seguimiento y la recopilación de datos, también vale la pena comprender el aspecto de la privacidad, cubierto en nuestra nota sobre análisis y privacidad.

Una advertencia realista: la 2FA reduce drásticamente el riesgo, pero no es mágica. El phishing sofisticado a veces puede engañar a una persona para que apruebe un inicio de sesión o entregue un código de un solo uso en tiempo real. Esta es exactamente la razón por la que las claves de hardware, que se niegan a autenticarse en sitios falsos, son importantes para tus cuentas más sensibles, y por qué la conciencia continua sigue siendo importante. El objetivo no es la perfección, sino elevar el costo del ataque tan alto que dejes de valer el esfuerzo.

Preguntas frecuentes

¿Vale la pena el paso adicional de la autenticación de dos factores?+
Sí. Los pocos segundos que añade al inicio de sesión son triviales en comparación con el tiempo, el dinero y la confianza que pierdes si una cuenta es comprometida. Para cualquier cuenta que toque tu negocio o datos de clientes, es uno de los mejores retornos de esfuerzo en toda la seguridad.
¿Qué pasa si pierdo mi teléfono?+
Utilizas los códigos de recuperación que guardaste al configurar la 2FA, o un segundo factor de respaldo como una clave de hardware de repuesto. Por eso es tan importante guardar los códigos de recuperación durante la configuración. Con ellos, un teléfono perdido es un inconveniente, no un bloqueo.
¿Es una aplicación de autenticación mejor que los códigos de mensajes de texto?+
En casi todos los casos, sí. Las aplicaciones de autenticación generan códigos en tu dispositivo sin enviar nada a través de la red telefónica, por lo que evitan los riesgos de intercambio de SIM e interceptación que afectan a los mensajes de texto. Utiliza los códigos de texto solo cuando no se ofrezca una aplicación.
¿Todo mi equipo debería usar 2FA o solo yo?+
Todo el que tenga acceso debería usarlo. Un atacante solo necesita una cuenta débil para entrar, por lo que exigir 2FA para todos los administradores y editores cierra la brecha. Dale a cada persona su propia cuenta en lugar de compartir un único inicio de sesión.
¿Se puede eludir la 2FA?+
Los atacantes decididos a veces pueden engañar a una persona para que apruebe un inicio de sesión o comparta un código a través de phishing en tiempo real. Esto es raro y mucho más difícil que robar una contraseña. Las claves de hardware resisten incluso esto, por lo que son adecuadas para sus cuentas más sensibles.

Referencias

  1. NIST, Directrices de Identidad Digital (Autenticación), nist.gov
  2. Cloudflare Learning Center, ¿Qué es la autenticación de dos factores?, cloudflare.com/learning

La autenticación de dos factores es el tipo de cambio que parece pequeño pero que elimina toda una clase de ataques. Actívala primero para tus cuentas más importantes, guarda tus códigos de recuperación e involucra a tu equipo. Si necesitas ayuda para planificar una rutina de seguridad más amplia, consulta nuestros servicios de mantenimiento web o ponte en contacto.

Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS