{"id":156650,"date":"2022-09-10T09:15:23","date_gmt":"2022-09-10T09:15:23","guid":{"rendered":"https:\/\/magazineoffice.com\/he-aqui-por-que-la-gente-dice-que-la-autenticacion-de-dos-factores-no-es-perfecta\/"},"modified":"2022-09-10T09:15:27","modified_gmt":"2022-09-10T09:15:27","slug":"he-aqui-por-que-la-gente-dice-que-la-autenticacion-de-dos-factores-no-es-perfecta","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/he-aqui-por-que-la-gente-dice-que-la-autenticacion-de-dos-factores-no-es-perfecta\/","title":{"rendered":"He aqu\u00ed por qu\u00e9 la gente dice que la autenticaci\u00f3n de dos factores no es perfecta"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"dt-post-content\">\n<p>Cuando se introdujo por primera vez la autenticaci\u00f3n de dos factores, revolucion\u00f3 la seguridad de los dispositivos y ayud\u00f3 a que el robo de identidad fuera mucho m\u00e1s dif\u00edcil, a costa de peque\u00f1os inconvenientes a\u00f1adidos a los inicios de sesi\u00f3n.<\/p>\n<p>Pero no es perfecto, ni ha resuelto todos nuestros problemas de pirater\u00eda y robo de datos.  Algunas noticias recientes han proporcionado m\u00e1s contexto sobre c\u00f3mo los piratas inform\u00e1ticos han estado eludiendo la autenticaci\u00f3n de dos factores y erosionando parte de nuestra confianza en ella.<\/p>\n<figure class=\"alignnone\"><\/figure>\n<h2>\u00bfQu\u00e9 es exactamente la autenticaci\u00f3n de dos factores?<\/h2>\n<p>La autenticaci\u00f3n de dos factores agrega una capa adicional de seguridad al proceso de inicio de sesi\u00f3n para dispositivos y servicios.  Anteriormente, los inicios de sesi\u00f3n ten\u00edan un solo factor de autenticaci\u00f3n: por lo general, una contrase\u00f1a o un inicio de sesi\u00f3n biom\u00e9trico como un escaneo de huellas dactilares o Face ID, ocasionalmente con la adici\u00f3n de preguntas de seguridad.  Eso proporcion\u00f3 algo de seguridad, pero estuvo lejos de ser perfecto, especialmente con contrase\u00f1as d\u00e9biles o contrase\u00f1as autocompletadas (o si las bases de datos de inicio de sesi\u00f3n son pirateadas y esa informaci\u00f3n comienza a aparecer en la web oscura).<\/p>\n<p>La autenticaci\u00f3n de dos factores aborda estos problemas al agregar un segundo factor, otra cosa que una persona debe hacer para garantizar que realmente es ella y que tiene autoridad para acceder.  Por lo general, eso significa que se le env\u00eda un c\u00f3digo a trav\u00e9s de otro canal, como recibir un mensaje de texto o un correo electr\u00f3nico del servicio, que luego debe ingresar.<\/p>\n<figure class=\"alignnone\"><img decoding=\"async\" src=\"https:\/\/www.digitaltrends.com\/wp-content\/uploads\/2022\/09\/Duo-Authentication-Example.jpg?fit=720%2C384&amp;p=1\" onerror=\"dti_load_error(this)\" class=\" size-large wp-image-3171381 dt-lazy-load dt-lazy-pending\" alt=\"Ejemplo de autenticaci\u00f3n de d\u00fao.\" style=\"aspect-ratio: 1.875\"\/><\/figure>\n<p>Algunos usan c\u00f3digos sensibles al tiempo (TOTP, contrase\u00f1a de un solo uso basada en el tiempo) y otros usan c\u00f3digos \u00fanicos asociados con un dispositivo espec\u00edfico (HOTP, contrase\u00f1a de un solo uso basada en HMAC).  Ciertas versiones comerciales pueden incluso usar claves f\u00edsicas adicionales que debe tener a mano.<\/p>\n<p>La funci\u00f3n de seguridad se ha vuelto tan com\u00fan que probablemente est\u00e9 acostumbrado a ver mensajes como \u00abLe enviamos un correo electr\u00f3nico con un c\u00f3digo seguro para ingresar, verifique su filtro de correo no deseado si no lo ha recibido\u00bb.  Es m\u00e1s com\u00fan para dispositivos nuevos y, si bien toma un poco de tiempo, es un gran salto en seguridad en comparaci\u00f3n con los m\u00e9todos de un factor.  Pero hay algunos defectos.<\/p>\n<h2>Eso suena bastante seguro.  \u00bfCu\u00e1l es el problema?<\/h2>\n<p>Recientemente sali\u00f3 un informe de la compa\u00f1\u00eda de seguridad cibern\u00e9tica Sophos que detalla una nueva y sorprendente forma en que los piratas inform\u00e1ticos se saltan la autenticaci\u00f3n de dos factores: las cookies.  Los malos actores han sido \u00abrobo de cookies\u00bb, lo que les da acceso a pr\u00e1cticamente cualquier tipo de navegador, servicio web, cuenta de correo electr\u00f3nico o incluso archivo.<\/p>\n<p>\u00bfC\u00f3mo consiguen estos ciberdelincuentes estas cookies?  Bueno, Sophos se\u00f1ala que la botnet Emotet es una de esas piezas de malware que roban cookies y se dirigen a los datos en los navegadores Google Chrome.  Las personas tambi\u00e9n pueden comprar cookies robadas a trav\u00e9s de mercados clandestinos, lo que se hizo famoso en el caso reciente de EA en el que los detalles de inicio de sesi\u00f3n terminaron en un mercado llamado G\u00e9nesis.  El resultado fueron 780 gigabytes de datos robados que se utilizaron para intentar extorsionar a la empresa.<\/p>\n<p>Si bien ese es un caso de alto perfil, el m\u00e9todo subyacente est\u00e1 disponible y muestra que la autenticaci\u00f3n de dos factores est\u00e1 lejos de ser una bala de plata.  M\u00e1s all\u00e1 del robo de cookies, hay una serie de otros problemas que se han identificado a lo largo de los a\u00f1os:<\/p>\n<ul>\n<li>Si un pirata inform\u00e1tico se ha apoderado de su nombre de usuario o contrase\u00f1a para un servicio, es posible que tenga acceso a su correo electr\u00f3nico (especialmente si usa la misma contrase\u00f1a) o n\u00famero de tel\u00e9fono.  Esto es especialmente problem\u00e1tico para la autenticaci\u00f3n de dos factores basada en SMS\/texto, porque los n\u00fameros de tel\u00e9fono son f\u00e1ciles de encontrar y se pueden usar para copiar su tel\u00e9fono (entre otros trucos) y recibir el c\u00f3digo enviado por mensaje de texto.  Requiere m\u00e1s trabajo, pero un hacker decidido todav\u00eda tiene un camino claro a seguir.<\/li>\n<li>Las aplicaciones separadas para la autenticaci\u00f3n de dos factores, como Google Auth o Duo, son mucho m\u00e1s seguras, pero las tasas de adopci\u00f3n son muy bajas.  Las personas tienden a no querer descargar otra aplicaci\u00f3n solo por motivos de seguridad para un solo servicio, y a las organizaciones les resulta mucho m\u00e1s f\u00e1cil simplemente preguntar \u00ab\u00bfCorreo electr\u00f3nico o mensaje de texto?\u00bb  en lugar de exigir a los clientes que descarguen una aplicaci\u00f3n de terceros.  En otras palabras, en realidad no se utilizan los mejores tipos de autenticaci\u00f3n de dos factores.<\/li>\n<li>A veces, las contrase\u00f1as son demasiado f\u00e1ciles de restablecer.  Los ladrones de identidad pueden recopilar suficiente informaci\u00f3n sobre una cuenta para llamar al servicio de atenci\u00f3n al cliente o encontrar otras formas de solicitar una nueva contrase\u00f1a.  Esto a menudo elude cualquier autenticaci\u00f3n de dos factores involucrada y, cuando funciona, permite a los ladrones acceder directamente a la cuenta.<\/li>\n<li>Las formas m\u00e1s d\u00e9biles de autenticaci\u00f3n de dos factores ofrecen poca protecci\u00f3n contra los estados-naci\u00f3n.  Los gobiernos tienen herramientas que pueden contrarrestar f\u00e1cilmente la autenticaci\u00f3n de dos factores, incluido el monitoreo de mensajes SMS, coaccionar a los operadores inal\u00e1mbricos o interceptar c\u00f3digos de autenticaci\u00f3n de otras maneras.  Esas no son buenas noticias para aquellos que quieren formas de mantener sus datos privados de reg\u00edmenes m\u00e1s totalitarios.<\/li>\n<li>Muchos esquemas de robo de datos eluden por completo la autenticaci\u00f3n de dos factores y se enfocan en enga\u00f1ar a los humanos.  Solo mire todos los intentos de phishing que pretenden ser de bancos, agencias gubernamentales, proveedores de Internet, etc., solicitando informaci\u00f3n importante de la cuenta.  Estos mensajes de phishing pueden parecer muy reales y pueden implicar algo como: \u00abNecesitamos su c\u00f3digo de autenticaci\u00f3n de nuestra parte para que tambi\u00e9n podamos confirmar que usted es el titular de la cuenta\u00bb, u otros trucos para obtener c\u00f3digos.<\/li>\n<\/ul>\n<h2>\u00bfDeber\u00eda seguir usando la autenticaci\u00f3n de dos factores?<\/h2>\n<p>Absolutamente.  De hecho, debe revisar sus servicios y dispositivos y habilitar la autenticaci\u00f3n de dos factores donde est\u00e9 disponible.  Ofrece una seguridad significativamente mejor contra problemas como el robo de identidad que un simple nombre de usuario y contrase\u00f1a.<\/p>\n<p>Incluso la autenticaci\u00f3n de dos factores basada en SMS es mucho mejor que ninguna.  De hecho, el Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda una vez recomend\u00f3 no usar SMS en la autenticaci\u00f3n de dos factores, pero luego revirti\u00f3 eso al a\u00f1o siguiente porque, a pesar de las fallas, a\u00fan val\u00eda la pena tenerlo.<\/p>\n<p>Cuando sea posible, elija un m\u00e9todo de autenticaci\u00f3n que no est\u00e9 conectado a los mensajes de texto y tendr\u00e1 una mejor forma de seguridad.  Adem\u00e1s, mantenga sus contrase\u00f1as seguras y use un administrador de contrase\u00f1as para generarlas para los inicios de sesi\u00f3n si puede.<\/p>\n<h2><img decoding=\"async\" src=\"https:\/\/www.digitaltrends.com\/wp-content\/uploads\/2022\/07\/MacBook-Privacy-Security-App-Access.jpg?fit=720%2C480&amp;p=1\" onerror=\"dti_load_error(this)\" class=\"alignnone size-large wp-image-3143126 dt-lazy-load dt-lazy-pending\" alt=\"Los ajustes de seguridad y privacidad se abren en un MacBook.\" style=\"aspect-ratio: 1.5\"\/><\/h2>\n<h2>\u00bfC\u00f3mo se puede mejorar la autenticaci\u00f3n de dos factores?<\/h2>\n<p>Alejarse de la autenticaci\u00f3n basada en SMS es el gran proyecto actual.  Es posible que la autenticaci\u00f3n de dos factores pase a un pu\u00f1ado de aplicaciones de terceros como Duo, que eliminan muchas de las debilidades asociadas con el proceso.  Y m\u00e1s campos de alto riesgo pasar\u00e1n a MFA, o autenticaci\u00f3n de m\u00faltiples factores, que agrega un tercer requisito, como una huella digital o preguntas de seguridad adicionales.<\/p>\n<p>Pero la mejor manera de eliminar los problemas con la autenticaci\u00f3n de dos factores es introducir un aspecto f\u00edsico basado en hardware.  Las empresas y las agencias gubernamentales ya est\u00e1n comenzando a exigir eso para ciertos niveles de acceso.  En un futuro cercano, existe una buena posibilidad de que todos tengamos tarjetas de autenticaci\u00f3n personalizadas en nuestras billeteras, listas para deslizar en nuestros dispositivos al iniciar sesi\u00f3n en los servicios.  Puede sonar extra\u00f1o ahora, pero con el fuerte aumento de los ataques de ciberseguridad, podr\u00eda terminar siendo la soluci\u00f3n m\u00e1s elegante.<\/p>\n<h4 class=\"b-editors-recs-title h-editors-recs-title\">\n<p>\t\tRecomendaciones de los editores\t<\/h4>\n<p>\t\t\t\t\t\t\t\t<span id=\"publisher-md\" itemprop=\"publisher\" itemscope=\"\" itemtype=\"https:\/\/schema.org\/Organization\"><br \/>\n\t\t\t\t\t<span itemprop=\"url\" itemtype=\"https:\/\/schema.org\/Url\" content=\"https:\/\/www.digitaltrends.com\"><br \/>\n\t\t\t\t\t<span itemprop=\"logo\" itemscope=\"\" itemtype=\"https:\/\/schema.org\/ImageObject\"><br \/>\n\t\t\t\t\t\t<meta itemprop=\"url\" content=\"https:\/\/cdn.dtcn.com\/dt\/dt-logo-small.png\"\/><br \/>\n\t\t\t\t\t\t<meta itemprop=\"width\" content=\"0\"\/><br \/>\n\t\t\t\t\t\t<meta itemprop=\"height\" content=\"0\"\/><br \/>\n\t\t\t\t\t<\/span><\/p>\n<p>\t\t\t\t\t<meta itemprop=\"name\" content=\"Digital Trends\"\/><br \/>\n\t\t\t\t<\/span><\/p>\n<p>\t\t\t\t<span itemprop=\"image\" itemscope=\"\" itemtype=\"https:\/\/schema.org\/ImageObject\"><br \/>\n\t\t\t\t\t<meta itemprop=\"url\" content=\"https:\/\/www.digitaltrends.com\/wp-content\/uploads\/2017\/04\/P1090449.jpg?p=1\"\/><br \/>\n\t\t\t\t<\/span><br \/>\n\t\t\t\t\t\t<\/span><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-34<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando se introdujo por primera vez la autenticaci\u00f3n de dos factores, revolucion\u00f3 la seguridad de los dispositivos y ayud\u00f3 a que el robo de identidad fuera mucho m\u00e1s dif\u00edcil, a&hellip;<\/p>\n","protected":false},"author":1,"featured_media":156651,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[506,25355,99,538,37340,2231,1546,110,111],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/156650"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=156650"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/156650\/revisions"}],"predecessor-version":[{"id":156652,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/156650\/revisions\/156652"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/156651"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=156650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=156650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=156650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}