Las razones para sumar esta capa de seguridad adicional son evidentes: es un impedimento más para evitar que una cuenta sea hackeada.
Hace unos días Twitter anunció que ponía en marcha la verificación en dos pasos. No es el único servicio de Internet que ha implementado esta tecnología de seguridad. Facebook también lo ha hecho, así como Microsoft y Google, este último recientemente, mientras que Apple ha extendido a España esta funcionalidad para conectar con la cuenta de iTunes, algo que ya estaba disponible en otros países.
Todas ellas son importantes compañías de Internet cuyos servicios se utilizan masivamente. Y se han molestado en implementar la verificación en dos pasos por la protección especial que proporciona a una cuenta. Esta garantía se llama así porque no basta con introducir la contraseña para acceder al servicio. Es necesario teclear un código adicional que el proveedor (ya sea Twitter, Google, Facebook o cualquier otro) envía directamente al propietario de la cuenta, a través de SMS, correo electrónico o una aplicación.
De esta forma, el proveedor confirma la identidad del propietario de la cuenta. Además, de conocer la contraseña, éste ha debido recibir de forma exclusiva el código adicional. Si un atacante robara las credenciales de un usuario seguiría teniendo el acceso vetado. Esta garantía ha animado a las compañías a fortalecer la seguridad.
Por qué tomarse la molestia
La verificación en dos pasos tiene que ser activada por el usuario. Normalmente es una opción que se ofrece, no un requisito, por lo que cada cual tiene libertad para establecerla o no. Las razones para sumar esta capa de seguridad adicional casi se puede decir que son evidentes. Es un impedimento más para evitar que una cuenta sea hackeada.
Se trata además de una garantía dinámica. El código no es el mismo y, por tanto, de nada sirve un software espía tipo keylogger para adivinar las claves. Cuando se intente acceder desde otro ordenador el proveedor volverá a pedir la confirmación de la identidad mediante código enviado directamente al propietario, quien de paso se enterará de que alguien conoce su contraseña y podrá tomar medidas.
Hay quien puede escudarse en la pereza para no establecer la verificación en dos pasos. A primera vista puede parecer un proceso pesado: esperar a recibir un SMS cada vez que queremos entrar a Twitter o a Gmail. Pero no es así, los proveedores tienden a reconocer un ordenador o dispositivo cuando se ha accedido desde el mismo. Por ello no volverán a exigir un nuevo código hasta pasado un tiempo. Y, en cualquier caso, si se trata de un equipo de uso habitual se puede dejar la sesión abierta.
El riesgo en las cuentas corporativas
En cuentas de empresas la sensibilidad de los datos puede ser aún mayor que en el caso de un usuario, por lo que la verificación en dos pasos se hace necesaria. Es un instrumento para asegurar que se accede a los perfiles corporativos únicamente desde los equipos autorizados. Y si un empleado necesita conectarse desde otro lugar, un SMS a su teléfono bastará para identificarlo.
Añadir esta nueva capa de seguridad podría evitar casos como los de Burger King y Jeep, que sufrieron sendos ataques a sus cuentas de Twitter. Sus perfiles fueron accedidos ilícitamente y se subieron los logotipos de la competencia, así como mensajes sarcásticos que anunciaban la venta de las compañías a sus rivales. La doble verificación convierte en una odisea este tipo de intromisiones, evitando la suplantación de identidad y también el robo de datos corporativos que podría contener, por ejemplo, un correo electrónico.
Cómo activarla en Twitter
El site de microblogging ha sido el último en sumarse a esta protección adicional y ha explicado en su blog cómo pueden activarla los usuarios. Sólo hay que ir a ‘Configuración’ y buscar el apartado ‘Seguridad de cuenta’. Ahí marcamos la casilla ‘Solicitar un código de verificación cuando inicie sesión’. Si no nos deja, antes deberemos pinchar en ‘añadir un teléfono’ y asociar nuestra cuenta a un número de móvil.
Una vez hecho esto, Twitter nos pedirá que confirmemos nuestra intención de establecer la verificación en dos pasos. Después nos advertirá que no continuemos si no hemos recibido un mensaje de texto en nuestro móvil con el código, porque podríamos tener algún problema con nuestro servicio telefónico y quedarnos sin acceso a nuestra cuenta. Confirmamos la recepción e introducimos la clave. Listo: nuestra seguridad ha mejorado.
Imagen: FutUndBeidl