Seguramente en algún momento de nuestras vidas nos hemos llegado a cuestionar la capacidad de seguridad que nos brindan nuestros móviles para proteger todos nuestros datos personales y bancarios.
Cuando protegemos el acceso a una cuenta online con 2FA, con verificación en dos pasos, esperamos que se añada una garantía para evitar que otras personas accedan a nuestra cuenta aunque sepan la contraseña.
Un método de seguridad que se ha puesto de moda en los últimos tiempos tanto por su eficiencia como por su facilidad de uso, además de su implementación en sitios populares (Gmail.com, Dropbox, Amazon, iCloud, Facebook, Twitter, etc.), ha sido el de la verificación o autenticación en dos pasos. La idea es tan simple como inteligente: Al tratar de iniciar sesión en alguno de tales sitios una pantalla adicional pedirá un código que es enviado cada vez a nuestros móviles (vía SMS o con completas apps), así se completa el proceso de login con ayuda de algo que nos pertenece (el móvil) y se complica en buena medida el trabajo de posibles atacantes.
Pues bien, es posible agregar este nivel de seguridad a nuestros sitios web creados con WordPress.org a través de diferentes plugins especializados, por ejemplo, los siguientes 5 que han sido recomendados previamente por el portal ElegantThemes. Todos son gratuitos aunque en varios se puede pagar por acceder a funcionalidades extra, eso sí, no son requeridas para un uso básico.
Lo ofrece la empresa de seguridad Duo y se caracteriza por su sencilla configuración: Crea una cuenta gratuita en Duo, consigue la API Key, instala el plugin, ingresa la API key, marca en WordPress a qué tipo de usuarios se les pedirá la verificación en dos pasos (administradores, autores, comentaristas, etc.) y listo, la próxima vez que se logueen, se les pedirá alguna acción de verificación (popup, SMS, password) a través de la app de Duo para móviles.
Otra brillante herramienta de seguridad que se vale de una app especial para móviles: En el próximo inicio de sesión, luego de instalar el plugin Cleff, pulsa desde la pantalla de login de WordPress sobre el nuevo botón «Log in with your phone» que aparece en su parte inferior. Enseguida se mostrará una onda animada a la que tendrás que apuntar con la cámara de tu móvil, desde la app de Clef, para que se establezca la conexión entre el dispositivo móvil y el del escritorio.
Two Factor Auth permite realizar el login con un código numérico adicional creado aleatoriamente por el algoritmo TOTP/HOTP que se encarga de generar «One Time Passwords», claves que caducan cada cierto tiempo para dar vida a nuevas claves. Éstas pueden ser enviadas automáticamente, tras su generación, tanto vía email como a través de aplicaciones de terceros ofrecidas para dispositivos móviles por herramientas de seguridad como Duo Mobile y Google Authenticator.
Authy se vale de simples mensajes de texto enviados al móvil luego de conseguir una API Key en su sitio web y haber sido configurado su plugin. Una interesante característica es que se le puede permitir a cada usuario de la cuenta en WordPress decidir si optará por este modo de inicio de sesión, aunque también es posible forzar su requerimiento si se cuentan con permisos de administrador.
Finalmente un método también muy cómodo para agregar una capa de seguridad extra a un sitio WordPress mediante las herramientas especializadas ofrecidas por el proyecto Google Authenticator quien provee múltiples plugins y aplicaciones móviles (iOS/Android/BlackBerry), las mismas que sirven para loguearse de forma segura en diferentes servicios populares (Dropbox, Amazon, Gmail, LastPass, etc.). Se basa en códigos aleatorios generados por la app en el smartphone que deben ser ingresados en la pantalla de login de WordPress la cual es modificada automáticamente por el plugin para facilitar la inclusión de los códigos.
Ahora, la más importante de las medidas tomadas por Apple ha llegado, ya que desde Cupertino han comenzado a ofrecer la verificación en dos pasos a través del sitio web de iCloud.com para todos aquellos que tengan habilitado este modo de acceso. Gracias a esta medida, cuando accedamos al sitio web de iCloud e introduzcamos nuestro correo electrónico y contraseña, se nos enviará un código al número de teléfono que indicásemos al momento de activar el servicio que tendremos que introducir en la página web. Gracias a ello, nos aseguramos de que nadie que no tenga acceso a nuestro teléfono personal pueda acceder a nuestra cuenta. Recientemente, Apple introdujo otra medida de seguridad consistente en el envío de un correo electrónico cada vez que se inicia sesión en la página web de iCloud, por lo que no cabe duda de que el gigante informático está haciendo un gran hincapié en la seguridad de sus usuarios.
Sin duda, estamos ante un buen momento para comenzar a utilizar el inicio de sesión con verificación en dos pasos y protegernos ante el cada vez mayor número de ataques con robo de datos que se produce en Internet.
Hoy ha sido LinkedIn la que ha decidido ofrecer a los usuarios la posibilidad de que usen el sistema de la verificación en dos pasos en sus propias cuentas, de manera opcional, en el que además del correo electrónico y contraseña, también recibirán un código mediante SMS para poder acceder a las mismas.
Y como es opcional, los usuarios que deseen usarlo, deberán activarlo desde Configuración / Cuenta / Gestionar configuración de seguridad /, y en «Verificación en dos etapas para inicio de sesión» hay una opción que dice Activar, la cual presionarán, teniendo que registrar y verificar sus números de teléfono para recibir los códigos.
La misma presentación de LinkedIn ofrece los pasos a seguir, tanto para activarlo como el modo de funcionamiento. De esta manera, LinkedIn se suma a otros servicios web que durante los últimos días han estado añadiendo la verificación en dos pasos, y eso que LinkedIn no ha sido de las que más problemas de seguridad han tenido, aunque siempre es un plus de seguridad, sobre todo, porque es en esta plataforma donde aportamos los datos de contactos y de nuestra vida laboral, estando visible ante los ojos de otros muchos usuarios.
Así que aquellos que queráis dar mayor seguridad a vuestras cuentas de usuario en LinkedIn, ya podéis activarlo.
Este año está siendo curioso en lo que respecta a la seguridad de los servicios web. Hemos pasado de ver noticias de los problemas de seguridad que han afectado a un número de servicios web conocidos a noticias donde éstos toman medidas, entre ellas, la implementación del factor de autenticación en dos pasos. Y si la semana pasada fue Twitter quien lo implementó, esta semana es Evernote quien hace lo suyo, aunque eso sí, llegando primero a los usuarios de cuentas de pago, según la compañía, porque «están más comprometidos con el servicio», y que llegará a finales de año al resto de usuarios.
Además, la implementación de la autenticación en dos pasos viene acompañada también con la implementación del historial de acceso y las aplicaciones autorizadas, dos medidas más de seguridad que permitirá, por un lado, que los usuarios tengan acceso a las localizaciones desde donde han accedido a sus cuentas, y ser avisados por si su cuenta ha sido accedida por un tercero, y por otro, controlar aquellas aplicaciones que tengan autorizadas para ser usadas con Evernote.
Los usuarios necesitarán su id de usuario y contraseña, y además, del código que se les enviará a través de un mensaje SMS a sus terminales móviles.
Por tanto, lo más normal, visto la tendencia, es que otros servicios que aún no lo hayan hecho, incluya la autenticación en dos pasos, con el fin de que los usuarios tengan mayor protección en el acceso a sus cuentas.
No cabe duda de que la seguridad en Internet cobra mayor importancia en los tiempos que corren, donde recientemente hemos visto como algunas compañías han recibido ataques a sus servicios, siendo WordPress.com la última víctima destacada al recibir el mayor ataque DDoS de su historia. En lo que respecta a las cuentas de usuario, las compañías paran cientos de intentos de fraude diarios, sin que los usuarios lleguemos a apreciarlo.
En este sentido, Microsoft está anunciando en su blog la inclusión de la verificación en dos pasos para las cuentas de usuario, que se podrá habilitar opcionalmente siguiendo las instrucciones que se indican en la propia publicación. Aunque en verdad, la verificación en dos pasos ya estaba presente y de forma obligatoria a la hora de acceder a determinados servicios que contienen información crítica, como es el caso de la edición de tarjetas de créditos y suscripciones a través de commerce.microsoft.com o el acceso desde otros equipos a los archivos alojados en SkyDrive.
Otras compañías ya ofrecían esta forma de acceso más segura, como Google o Dropbox, y de hecho, los usuarios de Windows Phone ya cuentan con una nueva aplicación de autenticación aprovechando la compatibilidad con el protocolo estándar para códigos de verificación en dos pasos, pudiéndose usar tanto con las cuentas de usuario de las citadas compañías como la propia Microsoft.
Siendo las cuentas de usuario el espacio donde se guarda la información personal en Internet, como las configuraciones, contactos, y otros datos, es un elemento de valor a tener en cuenta para mantener segura la presencia digital dependiente de las compañías que implementan esta opción.
