Mi columna de esta semana en Invertia se titula «Elon Musk, la ciberseguridad y la verificación en dos pasos» (pdf), y trata de hacer lo mismo que lo que hago en clase cuando, todos los días, hago login en mi cuenta de Google y, ostentosamente, saco mi smartphone para hacer la autenticación en dos pasos desde la tarima: que cuantas personas sea posible caigan en la cuenta de que no es ningún engorro terrible y sí aporta mucha más seguridad a nuestras cuentas que no tenerla.
¿Qué pretende Elon Musk anunciando que cobrará por utilizar la verificación en dos pasos mediante SMS en Twitter, una medida que ha escandalizado a muchos expertos en ciberseguridad? Obviamente, ni perjudicar la seguridad de sus usuarios, ni nada perverso por el estilo. Simplemente, en su proceso de rigurosa aplicación de la disciplina de presupuesto de base cero, se ha encontrado con una partida de gastos, la de SMS, que quiere eliminar, aunque no sea especialmente onerosa, y que además, no tiene demasiado sentido.
La verificación en dos pasos es, sin duda, una gran idea que puede mejorar sensiblemente nuestro nivel de seguridad y el de las compañías. Pero dentro de las distintas metodologías para llevarla a cabo, la que utiliza el SMS es la menos recomendable, no solo porque es la menos segura, sino porque, además, esla más incómoda cuando, por ejemplo, estás de viaje fuera de tu país y con el smartphone en modo WiFi para evitar cargos de roaming. Para Musk, quitarse la verificación en dos pasos mediante SMS es no solo eliminar un gasto absurdo – o, básicamente, un «quien insista en usarlo, que se lo pague» – sino, además, mejorar la seguridad de sus usuarios al proponerles que, mejor, recurran a cualquiera de las múltiples apps de autenticación, la mayoría además completamente gratuitas – Google Authenticator, Microsoft Authenticator, Salesforce Authenticator, LastPass Authenticator, Authy, etc. – y que proporcionan un nivel de seguridad mejor que un SMS, que se transmite a través de canales no cifrados y es susceptible de un ataque mediante, por ejemplo, una SIM clonada.
El mensaje es claro: tener que sacar el smartphone y hacer unos pocos clics (muy pocos) cada vez que quieres logarte en una aplicación no es un engorro terrible, y mejora mucho tu seguridad. Utilízalo, e idealmente, con una app sencilla que se baja en un instante, se usa sin necesidad de que nadie te explique nada, y además, demuestra a otros que te tomas la ciberseguridad en serio. Lo único que hay que hacer es ir a la aplicación que quieres proteger, especificar que quieres utilizar la verificación en dos pasos, y elegir la app de verificación que deseas utilizar para ello.
Cada vez más, los problemas relacionados con la ciberseguridad, sobre todo la corporativa, están pasando de ser un problema que todos disculpábamos porque «le podía pasar a cualquiera» a ser algo que revela desinterés, descuido, grave ignorancia o incluso negligencia e irresponsabilidad, que en algunos casos puede incluso llegar a generar consecuencias de diversos tipos. El equivalente tecnológico de prestarle la llave de la caja a cualquiera o de dejarla debajo del felpudo.
Si no la usas, plantéate usarla. Si tu empresa no la usa, recomiéndales que lo hagan. Es solo un paso más, pero muy sencillo, y puede eliminar una buena cantidad de problemas.
