Desarrollando la cultura digital en las empresas mediante el uso del Doble Factor de Autenticación.
Por: Rodrigo Esteban Icaza García
En la edición anterior, iniciamos este tema, al abordar la importancia de la ciberseguridad de los individuos como eje principal posterior al proceso de transformación digital de las organizaciones. Antes de avanzar en la lectura de este tema, te invito a que inicies con la lectura anterior de la edición de marzo-abril de la revista.
Valorando que las contraseñas son el primer método de seguridad en los entornos digitales y/o virtuales, podemos deducir que ante la gran cantidad de hashes que se generan al crear una contraseña, hace que sea imposible no pensar que existe un grado de saturación en cuanto a los datos de seguridad de la información, por lo que se vuelve indispensable tomar medidas opcionales para brindar mayor seguridad a nuestras cuentas.
Recordemos que, en la era digital, la información y los datos son el recurso más valioso y lo que permite a las industrias, monetizar o, dicho de otro modo, generar ingresos.
Si fuéramos lo suficientemente conscientes de cómo han evolucionado los entornos digitales, el miedo sería una emoción que nos haría movernos hacia hábitos de ciberseguridad más adecuados y nos haría celar nuestra información.
No obstante, en la actualidad, el desconocimiento en la materia continúa siendo el talón de Aquiles de nuestra sociedad, permitiéndonos detectar las carencias individuales y sociales en cuanto al manejo de la información y de cómo proteger los datos en entornos virtuales.
Ante esta situación, debemos mencionar otro método que nos permite reforzar la seguridad virtual. Este método es más conocido como el “doble factor de autenticación” o “2FA”.
El doble factor de autenticación, podemos decir que funciona como una segunda llave de acceso a un entorno virtual, en el que la primera llave es la contraseña y luego, se le pedirá un segundo código de acceso, usualmente, proporcionado por un proveedor de factores de autenticación.
Uno de los factores de autenticación más conocido es el dispositivo físico OTP (One-Time-Password), comúnmente llamado “Token Bancario”, el cual es utilizado para reconfirmar una transacción, luego de que el “owner” o usuario dueño de la cuenta desde donde se realiza una transacción, emite una solicitud para proceder con la misma.
Sin embargo, aunque parezca irónico, las personas con acceso a cuentas bancarias están familiarizadas con este método de autenticación, aunque en la vida cotidiana, desconocen que existen sistemas parecidos que pueden ser utilizados para acceder a su ordenador personal, dispositivo móvil o al correo electrónico, por ejemplo.
Existe una gran variedad de 2FA, entre los cuales se pueden mencionar: Google Autheticator (el más conocido), Authy, Duo Mobile, entre muchos otros. En su mayoría, cumplen con la misma función, brindar un nivel más de seguridad. Sin embargo, no son los únicos métodos.
Por ejemplo, Google dispone de una serie de métodos 2FA, ya sea que configures su autenticado o que solicites una confirmación de acceso, vía mensajes SMS (aunque esto ya no es recomendable por los temas de portabilidad numérica).
También, puedes configurar el acceso a tu cuenta, mediante datos biométricos, como puede ser la huella dactilar o reconfirmación de acceso desde otro dispositivo móvil, en el que tengas tu cuenta de Google habilitada; o utilizar la secuencia numérica que dispone Google para sus usuarios, con la que cada vez que accedes a tu cuenta, utilizarás un número que se encuentra en dicha secuencia, de modo que seas tú la única persona que tenga acceso a la información que reposa en el servidor de Google enlazado con tu cuenta.
En entornos más avanzados, utilizamos dispositivos físicos que disponen de un mecanismo de encriptación de datos con el cual, para acceder a tu cuenta de usuario, deberás tenerlo a la mano, porque de otro modo, no podrás acceder a la misma de manera inmediata, teniendo que desactivar dicha opción, mediante solicitud a tu proveedor de servicios digitales; y para lograrlo, tendrás que responder una serie de datos, de modo que se pueda reconocer que eres el dueño de la cuenta.
Un ejemplo muy interesante de dispositivos como estos es la billetera fría de criptomonedas llamada “Ledger Wallet”, el cual puede ser utilizado como una llave de acceso a sistemas computacionales, a través de su aplicación “FIDO”1.
¿Por qué ser celosos de la información?
Es muy común que, en los países occidentales, mayormente, centroamericanos o en El Caribe, no seamos celosos con nuestra información, seguramente, porque en los años actuales no hemos padecido dificultades sociales como hostigamiento o persecución política, social o nuestra vida no ha estado en peligro y ese peligro puede incrementar, mediante el estudio y análisis de los datos por parte de terceros.
Sin embargo, cuando al estudiar historias y sucesos en otras jurisdicciones, en los que se ha violado la privacidad y la intimidad de las personas, mediante entornos virtuales, se logre ser más consciente de la importancia de la ciberseguridad.
En materia empresarial podemos mencionar aspectos sencillos como espionaje industrial, el cual, aunque castigado por ley en muchos países, no escapa de ser una amenaza para la integridad de una organización, partiendo del hecho de que se pueden alterar productos, plagiar proyectos y registrar patentes o derecho de autor que no corresponden, debido a que hubo una filtración de la información. Y esto, no es difícil de traducirlo en pérdidas millonarias para la organización.
Al hablar de ciberseguridad en la organización, no solo nos referimos a las técnicas que se emplean en lo interno de la empresa para proteger la información y los datos de esta, sino que también debemos entrenar a nuestros colaboradores en la materia, para que sean conscientes de que, incluso en la calle hay dispositivos que recogen información (cámaras de video vigilancia, micrófonos, entre otros), y que debemos cuidar la manera cómo nos relacionamos, incluso fuera de nuestro entorno laboral, ya que existe la amenaza de que por muy mínimo que sea el dato al que se pueda acceder, es posible desarrollar todo un escenario de inteligencia que afecten a las organizaciones.
Recordemos que, en la actualidad, existen amenazas como la ingeniería social, en la que se estudia el perfil y comportamiento de las personas, de modo que se puedan desarrollar técnicas, con el objetivo de obtener datos de acceso a información sensitiva.
Ya estamos en la era digital y nuestros hábitos deben ser acordes con nuestro contexto actual.
1 https://support.ledger.com/hc/en-us/articles/115005198545-FIDO-U2F
