Autenticadores

Proteger tus cuentas de correo, redes sociales y servicios financieros va mucho más allá de crear una contraseña larga y compleja. Cuando un atacante ya está dentro de tu cuenta, puede cambiar la contraseña las veces que quiera y dejarte completamente fuera. Entender cómo funcionan los factores de autenticación y los administradores de contraseñas es fundamental para blindar tu vida digital.

¿Por qué una contraseña fuerte ya no es suficiente?

El concepto de hardening se refiere a tomar medidas de blindaje sobre tus cuentas digitales. Aunque una contraseña de treinta caracteres con símbolos especiales es importante, no resuelve todos los escenarios de riesgo [0:12]. Si alguien obtuvo acceso legítimo a tu cuenta —por ejemplo, porque le diste permiso para subir contenido a tu canal de YouTube— esa persona puede cambiar la contraseña cuantas veces quiera y dejarte afuera.

Algo similar ocurre con el hackeo de WhatsApp. Una vez que un atacante controla tu cuenta de WhatsApp, puede acceder a servicios vinculados como Rappi, PayPal, Facebook, Instagram e incluso algunos bancos [0:42]. No importa cuántas veces cambies tu contraseña: ellos también pueden hacerlo.

Por eso es necesario implementar segundos, terceros o cuartos factores de autenticación. La idea es que en algún punto del proceso necesites presentar algo adicional: una llave física FIDO2, una clave de recuperación o un código generado por un authenticator [1:05].

¿Qué problemas presentan los autenticadores gratuitos?

Uno de los mayores riesgos en equipos que manejan redes sociales o marketing es la pérdida de control sobre el autenticador. Es muy común que alguien configure un authenticator en una cuenta y luego deje la empresa sin documentar qué aplicación usó ni dónde quedaron los códigos [1:20].

¿Es seguro usar el autenticador de Google o Microsoft?

• Si usas el autenticador de Google y te hackean esa cuenta, el atacante obtiene acceso a todos los códigos de autenticación almacenados ahí [2:30].
• El autenticador de Microsoft presenta un loop problemático: para entrar al correo vinculado necesitas el código del authenticator, pero para configurar el authenticator necesitas acceso al correo [2:50].
• Con Google sucede algo parecido, creando un ciclo difícil de romper.

¿Qué pasa con aplicaciones como Duo Mobile?

Aunque Duo Mobile es gratuito y popular, no cuenta con un sistema claro de usuario y contraseña independiente. Se autentica a partir del primer código que guardas [3:15]. Si pierdes el teléfono o no recuerdas la configuración inicial, todas las cuentas protegidas quedan en riesgo.

¿Cuál es la mejor opción para gestionar autenticadores y contraseñas?

La recomendación es utilizar una aplicación de terceros dedicada que separe tus códigos de autenticación de tus cuentas principales de correo. De esta forma, si una cuenta es comprometida, el atacante no obtiene también los códigos de acceso a todo lo demás [3:05].

1Password es la herramienta recomendada por su fiabilidad y porque no ha sido comprometida hasta la fecha [2:05]. Es importante acceder siempre a través de 1password.com. Entre sus ventajas están:

• Permite guardar códigos de recuperación de cada cuenta.
• Soporta llaves de seguridad FIDO2.
• Almacena códigos de autenticación en un solo lugar.
• Ofrece un trial gratuito de catorce días para probar sus funciones [2:12].

Existen otras opciones como Kaspersky, el gestor de Apple o el de Microsoft [3:40]. Lo esencial es elegir una sola aplicación donde centralices contraseñas, códigos de recuperación y códigos de autenticación, y que una sola persona sea la responsable de administrar esa información [1:45].

El principio clave es sencillo: nunca pongas todos los huevos en la misma canasta. Si tu autenticador depende de la misma cuenta que protege, un solo ataque lo compromete todo. Comparte en los comentarios qué aplicación usas para tus authenticators y si has enfrentado algún problema con ellos.