Protegiendo tu correo electrónico: El primer paso para asegurar tus cuentas digitales
Todos dependemos de cuentas digitales para manejar nuestras vidas diarias, desde correo electrónico y redes sociales hasta banca y compras en línea. Sin embargo, esas facilidades vienen acompañadas de algunos riesgos: estas cuentas pueden ser vulnerables a ataques cibernéticos y acceso no autorizado. Por eso, asegurar nuestras cuentas digitales es esencial para proteger nuestra información personal y profesional de hackers, ladrones de identidad y otros actores malintencionados.
En estpost, nos vamos a concentrar en los primeros pasos que podemos tomar para asegurar nuestra cuenta digital más importante. La cuenta de correo electrónico principal es el principal medio de comunicación para fines personales y profesionales, y también se utiliza para restablecer contraseñas de otras cuentas.
Veamos la medida de seguridad básica que todos deben tomar: habilitar la autenticación de dos factores. Siguiendo estos pasos, podemos reducir significativamente el riesgo de ser víctima de un ataque cibernético y asegurarnos de que nuestra información permanezca segura y protegida.
¡Empecemos!
Autenticación de Dos Factores
También conocido como 2FA por sus siglas en inglés (2 Factor Authentication) la autenticación de dos factores es una forma simple y efectiva de agregar una capa adicional de seguridad a nuestras cuentas. Al utilizarlo tendremos que proporcionar un código o aceptar una solicitud en nuestro teléfono para acceder a nuestra cuenta. Este código o solicitud suele enviarse a su teléfono, correo electrónico o ser generado por una aplicación de autenticación. Otra opción para 2FA es usar una clave de seguridad física, que es un dispositivo que se conecta a su computadora o dispositivo móvil para autenticar el inicio de sesión.
Habilitar 2FA es un proceso sencillo que generalmente implica ir a la configuración de la cuenta y activarlo. La mayoría de los servicios en línea principales y las plataformas de redes sociales, incluidos Google, Twitter y LinkedIn, ofrecen opciones de 2FA, y muchos de ellos también admiten claves de seguridad físicas.
Al configurar 2FA, generalmente tendremos algunas opciones para recibir el código de autenticación, como a través de SMS o una aplicación de autenticación dedicada como Microsoft Authenticator, Google Authenticator o Authy. Por lo general, se recomienda utilizar una aplicación de autenticación o una clave de seguridad física en lugar de SMS, ya que los SMS pueden ser interceptados por de atacantes. Pero tener 2FA aunque sea por SMS es es mejor que nada.
Usar 2FA puede reducir significativamente el riesgo de acceso no autorizado, incluso si nuestra contraseña se ve comprometida. Es una medida de seguridad fácil y efectiva que todos deberían usar para proteger sus cuentas en línea.
Opciones para autenticación de dos factores
Vamos a repasar las diferentes opciones para implementar la autenticación de dos factores y luego ver cómo hacerlo en tu plataforma de correo electrónico.
Confirmación a través de notificaciones
Podemos seleccionar de una lista de dispositivos asociados a nuestra cuenta para que nos solicite confirmación cuando intentemos iniciar sesión en un nuevo dispositivo o realizar una acción delicada. Vamos a recibir una notificación en esos dispositivos preguntándonos si se debe permitir el acceso.
Esto asume que solo nosotros estamos en control de dichos dispositivos. Si alguien más puede usar los dispositivos y adivina tu contraseña, podrían permitirse iniciar sesión desde un nuevo dispositivo y tomar el control.
Asegúrate de no compartir tus dispositivos y de usar PINs, huellas digitales o detección de rostro para bloquearlos.
Esto funciona con dispositivos Apple para iCloud; dispositivos con aplicaciones de Google para Google; y con la aplicación Microsoft Authenticator para cuentas de Microsoft.
Llaves de seguridad
Las llaves de seguridad son pequeñas y se pueden llevar en un llavero o en un collar. Se conectan a tus dispositivos por USB o NFC y tenés que tocarlas físicamente para otorgar acceso a la cuenta. Esta es una gran opción de seguridad, pero requiere que compres una llave de seguridad, por lo que puede que no sea útil como paso inmediato para este posteo, pero definitivamente es algo que recomiendo investigar y aplicar a largo plazo.
Este método asume que estás en control de tu llave de seguridad y que nadie más lo está. Si alguien tiene tu llave de seguridad y adivina tu contraseña, puede otorgarse acceso a sí mismo y tomar el control.
Mis favoritas son las YubiKeys
Aplicaciones de autenticación
Estas aplicaciones funcionan generando un código que cambia cada pocos minutos. Como muchos tokens bancarios. Estos simplemente están basados en software en lugar de ser un dispositivo independiente. Luego ingresás este código en la pantalla de inicio de sesión cuando se te solicite. Ejemplos de estos son Microsoft Authenticator, Authy, Google Authenticator y Duo.
Esto asume que estás en control del dispositivo donde se instala la aplicación y que nadie más lo está. Si alguien más tiene acceso al dispositivo y adivina tu contraseña, puede tomar el control.
Asegúrate de no compartir tus dispositivos y usar contraseñas y biometría para bloquearlos. También puedes bloquear las aplicaciones de autenticador con biometría y PIN.
SMS o Llamada
Este método es similar a la aplicación de autenticación, pero en lugar de usar una aplicación para generar el código, recibirás el código en un SMS o una llamada telefónica.
Esto supone que tenés el control de tu número de teléfono, lo cual no es lo mismo que tener el control de tu teléfono. Aunque no es común, ha habido casos de robo de número de teléfono en los que un atacante se hace pasar por la víctima y consigue que la compañía de teléfono asigne el número de teléfono a una tarjeta SIM en su poder, obteniendo así todos los códigos de 2FA de la víctima. Este ataque es muy efectivo porque no solo le da los códigos al atacante, sino que también hace que la víctima pierda el control del número de teléfono desde el cual se espera que solicite ayuda.
Este ataque no ocurre con mucha frecuencia, pero un atacante motivado podría ejecutarlo. Por eso, no recomiendo este método a menos que sea el único método admitido por el servicio que intentás proteger. 2FA SMS es mejor que no tener 2FA, pero no hay excusa para ello en la actualidad, ver los otros métodos.
Códigos de Respaldo
Este es el método de último recurso. Estos códigos siempre se generan cuando usas cualquiera de los métodos anteriores y se te solicita que los almacenes en un lugar seguro. Por favor, no saltees este paso.
Los códigos de respaldo son una lista de varios códigos muy cortos que puedes utilizar para acceder a tu cuenta. Puedes utilizar cada uno de estos códigos una sola vez.
Este método es útil en caso de emergencia si no puedes ejecutar ninguno de los métodos anteriores. Por ejemplo, si no tienes acceso a:
- Los dispositivos a donde llegan las notificaciones de aprobación (lejos, perdidos, robados o sin batería)
- Llave de seguridad (lejos, perdida o robada)
- Aplicación de autenticación (desinstalada y eliminada; dispositivo lejos, perdido, robado o sin batería)
- Número de teléfono (teléfono o tarjeta SIM lejos, perdidos o robados, número de teléfono robado mediante phishing a la compañía de teléfono, sin conectividad celular)
En esos escenarios, podés indicar que no podés usar ningún otro método y se te pedirá que ingreses uno de los códigos. Después de utilizar con éxito uno de los códigos, asegúrate de tacharlo, ya que solo se puede utilizar una vez. Si utilizaste muchos códigos y te estás quedando sin, podés generar un nuevo conjunto para estar listo para la próxima vez.
¡Manos a la obra!
Acá tienes las instrucciones sobre cómo implementar la autenticación de dos factores en Google, Apple y Microsoft. No pude encontrar una guía paso a paso de Hey.com, pero ellos lo ofrecen.
Últimas consideraciones
Tenés que considerar tus riesgos y diferentes escenarios. La autenticación de dos factores hace que tu cuenta sea más difícil de robar, pero también puede dificultar el acceso a tu cuenta si perdés el acceso al segundo factor. No permitas que esto te desanime a mejorar tu seguridad. Simplemente respalda los códigos de 2FA y pensá en los diferentes escenarios que podrían presentarse y qué harías.
Un ejemplo típico es: estás de viaje, te roban la mochila con tu teléfono, todos tus dispositivos digitales y tu llave de seguridad. Digamos que lográs conseguir un teléfono o una computadora, intentás acceder a tus cuentas pero te das cuenta de que no tenés acceso a SMS, la llave de seguridad o a ninguno de los otros dispositivos que podrían concederte acceso ni a tu aplicación de autenticación. 😨 ¿Tenés los códigos de respaldo con vos?
Por favor, no te deprimas al pensar en esto, simplemente es un ejercicio para estar preparado. Por ejemplo, hay opciones con Google y Apple para que una persona de confianza pueda concederte acceso a tu cuenta en escenarios semejantes. Pero esto es tema para un futuro post. Por ahora, elegí un método, implementalo, respaldo tus códigos en papel y guárdalos en una o varias ubicaciones seguras.
Si tenés preguntas, encontrame en Twitter. Y suscribite para recibir notificaciones cuando salgan nuevas publicaciones.