En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identificarse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros.



 Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débiles e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación.

Esta guía tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Facebook, Twitter, Dropbox, Facebook, PayPal, eBay, Linkedin, Amazon, Tumblr, EverNote, Yahoo, Steam, Apple, Norton, WhatsApp.

Eleven Paths, compañía especializada en ciberseguridad de Telefónica, ya lleva tiempo implementando medidas de seguridad como esta en multitud de aplicaciones con Latch, una aplicación gratuita descargable, que añade un segundo factor de autenticación a todas las cuentas que gestionemos desde nuestro smartphone. 

Verificación en dos pasos (Two-factor authentication o 2FA)

Durante los últimos dos años, muchos servicios online han comenzado a ofrecer un doble factor de autenticación. Se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio.




Hay tres factores de autenticación:

• Algo que el usuario sabe: password, pin, passphrase, etc.
• Algo que el usuario tiene: USB, llave, tarjeta, generador de claves, etc.
• Algo que el usuario es: huella dactilar, iris, secuencia ADN, firma, reconocimiento facial, reconocimiento de voz u otros identificadores biométricos, etc.

¿Qué es la doble autenticación o doble factor de autenticación?

La doble autenticación se trata de un sistema que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como por ejemplo, un código de seguridad. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular o token. Luego, la persona debe ingresarlo para poder validarse en el sistema. El siguiente esquema muestra el funcionamiento de la doble autenticación:

• Usuario ingresa credencial de acceso.
• Sistema valida credencial y envía un segundo factor de autenticación (PIN). 
• Usuario genera el PIN en su teléfono o token.
• Usuario ingresa PIN en el sistema y se permite el acceso.

• Cibercriminal roba contraseña utilizando alguna amenaza informática.
• Luego, ingresa la credencial robada e intenta acceder al sistema. 
• Sistema solicita el segundo factor de autenticación. 
• Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso.

Los sistemas varían, pero usualmente involucran un mensaje SMS automático, o una aplicación que genera códigos de acceso. Luego de ingresar tu contraseña, el sistema solicitará el código de acceso, y en algunos sistemas, se utiliza una aplicación (separada de navegador web) para ingresar el código.

Lo ideal es que no nos pidan el segundo factor de autenticación cada vez que ingresamos, sólo si accedemos desde un dispositivo nuevo (no habitual) o no añadido como de confianza. De esta manera agilizamos el proceso de ingreso y no se hace engorroso para el usuario. Otra opción o medida efizar es utilizar un Gestor de Contraseñas para poder utilizar una contraseña maestra.


Ejemplo con  ID Apple

Qué hay que recordar al usar la autenticación de doble factor

La autenticación de doble factor mejora considerablemente la seguridad Después de activarla, al iniciar sesión en tu cuenta necesitarás la contraseña y tener acceso a tus dispositivos o números de teléfono de confianza. Para mantener la cuenta lo más protegida posible y ayudarte a garantizar que nunca perderás el acceso, hay una serie de sencillas recomendaciones que debes seguir:

• Recuerda la contraseña
• Utiliza un código en todos los dispositivos.
• Mantén actualizados los números de teléfono de confianza.
• Protege físicamente los dispositivos de confianza.

Facebook

• https://www.facebook.com/help/148233965247823/

 Para activar la doble autenticación en Facebook se debe seguir este procedimiento:

1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en “Configuración de la cuenta”.
2) Luego, hacer clic sobre la opción Seguridad que aparece en el costado izquierdo de la página.
3) Allí se debe activar la opción Solicitar un código de seguridad para acceder a mi cuenta desde navegadores desconocidos.

En el caso de Facebook, el segundo código de seguridad será solicitado cada vez que el usuario ingrese al servicio utilizando un dispositivo desconocido, es decir, un equipo que no ha sido utilizado anteriormente para acceder a la red social

 Twitter

• https://support.twitter.com/articles/20170439#

Para activar la doble autenticación en Twitter se debe seguir este procedimiento:
1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en Configuración.
2) En la sección Seguridad y privacidad activar la opción Enviar peticiones de verificación de inicio de sesión a mi teléfono
3) Para poder activar dicha opción el usuario deberá asociar un número de teléfono con la cuenta de Twitter. Esto puede realizarse haciendo clic en el enlace añadir un teléfono.

LinkedIn

• https://www.linkedin.com/help/linkedin/answer/31700?lang=es

Para activar la doble autenticación en LinkedIn se debe seguir este procedimiento:
1) Acceder al menú de configuración haciendo clic en el nombre de usuario que aparece en el costado superior derecho de la página. En el menú, hacer clic sobre “Configuración”.
2) En la sección de configuración se debe acceder a la pestaña “Cuenta” y luego hacer clic en “Gestionar configuración de seguridad”.
3) Luego activar la opción “Verificación en dos etapas para inicio de sesión”:

Gmail

Para activar la doble autenticación en Gmail se debe seguir este procedimiento:
1) Ir al botón en forma de rueda dentada (ubicado en el costado superior derecho) y presionar sobre “Configuración”.
2) Se debe hacer clic en la pestaña “Cuentas” y luego sobre el enlace “Otra configuración de la cuenta de Google”:
3) Allí presionar sobre “Seguridad” y luego hacer clic en el botón “Configuración” o “Editar” que aparece en la sección Verificación en dos pasos que aparece casi al final de la página:

Google

• http://www.google.com/landing/2step/

Configurar la verificación en dos pasos

1. Ve a la página Verificación en dos pasos. Tal vez tengas que iniciar sesión en tu cuenta de Google.
2. En el cuadro "Verificación en dos pasos" de la derecha, selecciona Iniciar configuración.
3. Sigue el proceso paso a paso para realizar la configuración.

Cuando hayas terminado, accederás a la página de configuración de la verificación en dos pasos. Revisa la configuración y añade números de teléfono alternativos. La próxima vez que inicies sesión, recibirás un mensaje de texto con un código de verificación. También puedes optar por utilizar una llave de seguridad para la verificación en dos pasos.

DropBox

• https://www.dropbox.com/es_ES/help/363

1. Inicia sesión en dropbox.com.
2. Haz clic en tu nombre en la esquina superior derecha de cualquier página para abrir el menú de la cuenta.
3. Haz clic en Configuración en el menú de tu cuenta y selecciona la pestaña Seguridad , o bien haz clic aquí para acceder directamente.
4. En la sección Verificación en dos pasos, haz clic en Habilitar.
5. Haz clic en Primero pasos.
6. Por razones de seguridad, será necesario volver a introducir tu contraseña para habilitar la verificación en dos pasos. Una vez hecho esto, tendrás la opción de recibir tu código de seguridad por mensaje de texto o utilizar una aplicación móvil.
7. Una vez habilitada esta función, te recomendamos añadir un número de teléfono alternativo que también pueda recibir mensajes de texto. Si alguna vez pierdes tu teléfono principal, podrás recibir un código de seguridad en tu número de teléfono alternativo.

Apple (iCloud)

Para activar la doble autenticación en Apple se debe seguir este procedimiento:
1) Ingresar al portal Mi ID de Apple. Allí, presionar el botón “Administra tu ID de Apple” que aparece en la parte derecha del sitio.
2) Se deberá iniciar sesión utilizando las credenciales de acceso y presionando sobre el botón “Conectarse”.
3) Una vez que el usuario se ha identificado en el sistema, deberá hacer clic en “Contraseña y seguridad” tal como aparece

Cómo funciona

Con la autenticación de doble factor, cuando introduzcas el ID de Apple y la contraseña correspondiente por primera vez en un dispositivo nuevo, te pediremos que verifiques tu identidad con un código de verificación de seis dígitos. Este código aparece automáticamente en los demás dispositivos o se envía a un número de teléfono de tu confianza. Basta con introducir el código para iniciar sesión y acceder a la cuenta del nuevo dispositivo.

Cuando hayas iniciado sesión, no se te volverá a pedir el código de verificación en el dispositivo en cuestión a menos que cierres la sesión por completo, borres los datos del dispositivo o tengas que cambiar la contraseña por motivos de seguridad. Cuando inicies sesión en la web, podrás optar por confiar en tu navegador para que no se te vuelva a pedir un código de verificación la próxima vez que inicies sesión desde ese ordenador.

Dispositivos de confianza

Un dispositivo de confianza es un iPhone, un iPad, un iPod touch o un Mac que utiliza iOS 9 o OS X El Capitan y en el que ya has iniciado sesión empleando la autenticación de doble factor. Se trata de un dispositivo que sabemos que es tuyo y que puedes utilizar para verificar tu identidad mostrando un código de verificación de Apple cuando inicias sesión en un dispositivo o un navegador diferente.

Números de teléfono de confianza

Un número de teléfono de confianza es aquel que se puede utilizar para recibir códigos de verificación por medio de un mensaje de texto o una llamada telefónica. Debes verificar un número de teléfono de confianza como mínimo para acceder a la autenticación de doble factor. También debes considerar la opción de verificar otros números de teléfono a los que puedas acceder, como tu teléfono fijo o el número de un familiar o un amigo íntimo. Así podrás utilizar estos números si no puedes acceder temporalmente a tus propios dispositivos.

Recibe un código de verificación e inicia sesión con una autenticación de dos factores

Siempre que inicies sesión con tu ID de Apple en un nuevo dispositivo o navegador, confirmarás tu identidad con tu contraseña además de un código de verificación de seis dígitos. Hay distintos métodos para obtener un código de verificación. Puedes usar el código mostrado en tu dispositivo de confianza, recibir un mensaje de texto o llamada telefónica o generar un código desde tu dispositivo de confianza.

Amazon

• http://aws.amazon.com/es/iam/details/mfa/

AWS Multi-Factor Authentication (MFA) es una práctica recomendada sencilla que añade una capa adicional de protección además del nombre de usuario y la contraseña. Si habilita MFA, cuando un usuario inicie sesión en un sitio web de AWS se solicitará que indique el nombre de usuario y la contraseña (el primer factor: lo que conocen), así como un código de autenticación del dispositivo AWS MFA (el segundo factor: lo que tienen). Al combinar estos factores, se mejora la seguridad para la configuración de la cuenta de AWS y los recursos.

Puede habilitar MFA para su cuenta de y para usuarios concretos de AWS IAM que haya creado bajo esta cuenta. MFA también se puede utilizar para controlar el acceso a las API de servicio de AWS.
Después de obtener un hardware soportado o un dispositivo MFA virtual, AWS no le cobrará ninguna tarifa adicional por el uso de MFA.


También puede proteger el acceso entre cuentas mediante el uso de MFA.

Microsoft (Hotmail)

• http://windows.microsoft.com/es-es/windows/two-step-verification-faq

Steam

• https://support.steampowered.com/kb_article.php?ref=4020-ALZM-5519

Yahoo

• https://es.ayuda.yahoo.com/kb/account/Verificaci%C3%B3n-en-dos-pasos-para-mayor-seguridad-de-la-cuenta-sln5013.html?impressions=true
• https://help.yahoo.com/kb/SLN5013.html

Activación de la verificación en dos pasos

1. Inicia sesión en la página de información de tu Cuenta de Yahoo ..
2. Haz clic en Seguridad y, a continuación, selecciona Verificación en dos pasos.
3. Sigue las instrucciones que aparecen en la pantalla para completar la configuración.

Para verificar tu número de móvil, deberás elegir entre recibir un SMS o una llamada con el código de verificación.

Tumblr

• https://www.tumblr.com/docs/es/account_security#tfaheader

Evernote

• https://help.evernote.com/hc/es/articles/208314238-C%C3%B3mo-configurar-la-verificaci%C3%B3n-en-dos-pasos 

1. Accede a los ajustes de tu cuenta en Evernote Web
2. Selecciona Resumen de Seguridad en el menú y a continuación haz clic en Activar junto a la 'Verificación en Dos Pasos'
3. Sigue los pasos para completar el proceso de configuración:

• Verifica tu dirección de correo electrónico.
• Establece un número de teléfono secundario (opcional).
• Configura Google Authenticator (opcional para Plus/Premium/Business). Consulta a continuación ‘¿Cómo puedo utilizar Google Authenticator para generar códigos de verificación? para la configuración.
• Imprime y/o guarda tus códigos de copia de seguridad en un lugar seguro. (Nota: En este paso, tendrás que copiar uno de los códigos de la copia de seguridad y pegarlo en la ventana siguiente. El código seguirá siendo válido después de la configuración).

 Norton

• https://support.norton.com/sp/es/es/home/current/solutions/v100023155_NortonM_Retail_1_es_es

Authy, tu gran aliado en la verificación en dos pasos Google Authenticator, aunque es la aplicación oficial de Google para hacer uso de la verificación en dos pasos, cuenta con una serie de carencias e inconvenientes que pueden hacer que la 2fa sea aún más molesta para los usuarios, especialmente para los que dependen de dos o más dispositivos o formatean sus smartphones o cambian a menudo.



Authy es un cliente para la verificación en dos pasos totalmente gratuito que, aunque está mantenido por una empresa de terceros, ha demostrado con el paso del tiempo ser uno de los mejores clientes para la doble autenticación aportando todas las características que deberían estar y no lo están en el cliente de Google.

• https://play.google.com/store/apps/details?id=com.authy.authy

Fuentes:
http://www.welivesecurity.com/la-es/2014/02/19/doble-factor-autenticacion-que-es-porque-lo-necesito/
Guía de Doble Autenticación de ESET Latinoamérica
http://www.redeszone.net/2015/12/28/el-rechazo-de-la-gente-hacia-la-verificacion-en-dos-pasos/