El pasado diciembre de 2021, Google tomó la decisión de empezar a habilitar la autenticación de doble factor en todas sus cuentas con el fin de mejorar su seguridad y evitar accesos indebidos a la información de sus usuarios. Ahora, unos dos meses después, la compañía anuncia que como resultado de haber convencido a más de ciento cincuenta millones de usuarios para adoptar esa estrategia de seguridad, las intrusiones en sus cuentas se han reducido a la mitad. La compañía va a continuar con el despliegue de la autenticación de doble factor durante todo este año 2022.
Indudablemente, la autenticación de doble factor (2FA o 2SV, two-step verification), que obliga a introducir una clave recibida a través de un sistema o dispositivo adicional, supone una mejora de la seguridad. El dilema, lógicamente, está en cómo conseguir que ese proceso no suponga también un excesivo engorro que, además, como resultado de la ley de Murphy, tiende a producirse siempre en el momento en que más incómodo resulta.
En ese sentido, el uso del doble factor en las cuentas de Google resulta no solo razonablemente sencillo y versátil, sino que además, suele solicitarse únicamente cuando se produce un intento de acceso en un dispositivo diferente a los utilizados habitualmente. La compañía ofrece una amplia gama de posibilidades a la hora de enviar la petición de confirmación con el segundo factor o clave adicional, desde un simple SMS o un prompt en su aplicación, hasta el uso de una aplicación específica de autenticación – yo utilizo la de mi gestor de contraseñas, LastPass Authenticator, pero hay muchas otras, y Google ofrece la suya – o incluso de un dispositivo de bolsillo o token de autenticación, de la propia Google o de otros fabricantes.
Elegir un método u otro depende, fundamentalmente, de la costumbre o de la experiencia. Durante cierto tiempo, opté por el envío de la clave a través de SMS, para terminar hartándome de ella tras algunos intentos en los que el SMS tardaba unos minutos en llegar (no en el caso de Google, que suele enviarlo muy rápido, sino en otros casos, como el de Twitter) o, sobre todo, cuando estaba fuera de España y en un país en el que no tenía mi número de teléfono habitual operativo. Tras esas experiencias, que si se producen en el momento en que quieres acceder a tu cuenta y te retrasan varios minutos resultan, en muchas ocasiones, especialmente incómodas, opté por el uso de la citada aplicación de autenticación, y no he tenido ni un solo problema desde entonces: rápido, seguro e inmediato, el típico caso de aplicación que hace una sola cosa, pero la hace bien. Durante un tiempo combiné también ese protocolo de seguridad con un token de autenticación de Yubikey minúsculo y muy cómodo que tenía que insertar en el puerto USB del ordenador en el que me quería autenticar, pero un cambio de equipo hizo que pasase a tener únicamente puertos USB-C, y no llegué a sustituir el dispositivo por otro con la correspondiente conexión.
La seguridad es una de esas cuestiones en las que no piensas hasta que resulta demasiado tarde. El movimiento de Google de hace algunos meses ha contribuido a que muchas personas que no utilizaban autenticación de doble factor hayan empezado a hacerlo, y hayan podido comprobar que, por lo general, el paso adicional no suele conllevar una molestia excesiva. Si además, los estudios de la propia compañía permiten demostrar, como era de esperar, una reducción efectiva en la incidencia de accesos indebidos a cuentas, estamos hablando sin duda de una buena práctica que deberíamos pensar en adoptar para todos aquellos servicios que consideremos que tienen un cierto nivel de vulnerabilidad, o que contienen datos a los que alguien puede tener interés en acceder.
En muchos sentidos, prácticas como la autenticación mediante doble factor y otras terminan convirtiéndose en una de las variables que determinan el modelo de uso de la red y sus servicios: los usuarios que recurren a ellas se convierten en menos vulnerables a la ciberdelincuencia, frente a aquellos usuarios que o bien no saben que existen, no entienden cómo utilizarlas, o no otorgan a su uso ningún tipo de prioridad.
Aunque no te consideres objetivo de ningún tipo de ciberdelincuente, plantearse el uso de la autenticación de doble factor en las aplicaciones que lo ofrecen es una práctica cada día más recomendable, la complicación de hacerlo es realmente muy escasa, y la mejora de la seguridad es real y objetiva. Ya sabes: no dejes para mañana lo que puedas hacer hoy.
This article is also available in English on my Medium page, «Two-factor authentication: it just works«
