Si ha estado observando el mundo tecnológico en general durante los últimos días, estará familiarizado con la reciente desgracia del escritor de Wired Mat Honan, quien sucumbió a un devastador ataque de piratería que aniquiló sus cuentas de iCloud, Twitter y Google y bloqueó varios dispositivos en el proceso.
En el caso de Honan, el ataque fue habilitado por información personal comprometida (aún disponible públicamente), así como fallos por parte del soporte al cliente de Amazon y Apple, en lugar de un tradicional ataque de fuerza bruta o contacto con malware. Pero una parte crucial de lo que permitió a los atacantes eliminar no solo sus cuentas y dispositivos de Apple, sino también sus cosas de Gmail y Google, era el hecho de que no estaba usando la autenticación de dos pasos de Google para proteger su cuenta.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Historias como estas siempre llevan a casa la importancia de las precauciones básicas de seguridad digital. Y uno de los pasos más básicos, pero más efectivos, que puede tomar para proteger su cuenta es activar los dos pasos.
Siga leyendo para descubrir cómo y por qué debería hacerlo.
¿Qué es la autenticación de dos pasos?
La autenticación de dos pasos agrega una capa adicional de seguridad al requerir que ingrese un código de seis dígitos, generado por Google y enviado a su teléfono, cuando inicia sesión en su cuenta. Eso significa que incluso si su contraseña está descifrada, su cuenta aún debería estar segura. Lo más probable es que quien esté tratando de ingresar a tu cuenta desde lejos tampoco tenga tu teléfono en su poder, por lo que no puede obtener ese código secundario.
Puede configurar códigos de verificación de seis dígitos para que se envíen por SMS, o si es un Android, BlackBerry o usuario de iPhone, hay una aplicación llamada Autenticador de Google, que puede utilizar para generar un código instantáneamente. Estas aplicaciones funcionan accediendo a su cuenta de Google en su teléfono y luego escaneando un código de barras secreto en la pantalla usando la cámara incorporada del teléfono.
¿Qué pasa con los dispositivos Android y ciertas aplicaciones?
A veces, una aplicación o dispositivo que usa su cuenta de Google no puede solicitarle un código de verificación, o no es práctico o deseable que solicite uno. El ejemplo principal aquí son los dispositivos Android. Inicie sesión en uno con la autenticación en dos pasos habilitada y, en su lugar, deberá utilizar una "contraseña específica de la aplicación". Estas son contraseñas que le dan a una sola aplicación o dispositivo acceso a su cuenta de Google en cualquier momento. Puede acceder a ellos navegando a accounts.google.com y haga clic en "Seguridad" en la barra lateral, luego "Autorizar aplicaciones y sitios".
Si. Esta parte es un dolor. Pero es importante hacerlo.
Por ejemplo, si tienes un Galaxy Nexus y una tableta Nexus 7, crearías una para el teléfono y otra para la tableta, y solo necesitarías ingresarla una vez en el dispositivo para el que la estás usando.. Si necesita evitar que cualquiera de los dos pueda acceder a su cuenta de Google, por cualquier motivo, simplemente presione "revocar" junto al nombre del dispositivo. Y como esa contraseña tiene 16 caracteres y solo puede utilizarla una aplicación o dispositivo a la vez, todo se guarda de forma segura.
Contingencias
La autenticación de dos pasos es buena, pero no es perfecta. ¿Qué pasa si te roban el teléfono, por ejemplo? Para asegurarse de que no se le bloquee el acceso a su cuenta si ocurre algo inesperado, Google tiene algunas contingencias en su lugar:
- Cuando se registre por primera vez para la autenticación de dos pasos, se le pedirá que proporcione números de teléfono de respaldo, que que puede utilizar para obtener un número de verificación de seis dígitos en caso de que su teléfono principal sea indispuesto.
- También se le proporcionará un conjunto de códigos de seguridad, cada uno de los cuales le permitirá iniciar sesión una vez. Si su teléfono principal no está disponible y no puede acceder a ninguno de sus números de respaldo, esto le permitirá iniciar sesión una vez y aclarar las cosas.
- Al contrario de lo que podría pensar, la aplicación Google Authenticator para Android no requiere una conexión a Internet para funcionar. Incluso en modo avión, generará un código de verificación funcional.
Cómo dos pasos podrían haber ayudado a Mat Honan y cómo podría ayudarlo a usted
Los errores de servicio al cliente de Amazon y Apple (combinados con la falta de seguridad de dos pasos de iCloud) ya habían asegurado que el iPad, iPhone y Macbook de Mat Honan fueran pan comido. Sin embargo, habilitar la autenticación en dos pasos. podría haber guardado su cuenta de Google y las cuentas de Twitter asociadas a ella.
Suponga que no tiene activada la autenticación de dos pasos. Si desea intentar recuperar su contraseña (porque es tonto y la olvidó), tiene algunas opciones para la recuperación de la cuenta. Parte de esto implica permitirle enviar un correo electrónico de recuperación a una dirección de correo electrónico alternativa que ya haya vinculado, y esto solo se oculta parcialmente en la página de recuperación. Así es como el hacker entró en la cuenta de Mat Honan: sin dos pasos, su dirección de recuperación de m******[email protected] era fácil de adivinar. A partir de ahí, fue simplemente un caso de aprovechar los fallos en los clientes de Amazon y Apple seguridad de los servicios para hacerse cargo de esa cuenta, y luego recibir un correo electrónico para restablecer la contraseña a ese me.com habla a.
Si se hubiera habilitado la autenticación en dos pasos, el hacker habría visto un mensaje como este cuando intentaron recuperar la contraseña, un obstáculo instantáneo en sus intentos de secuestrar el Google de Honan cuenta.
Los periodistas, especialmente los que se ocupan de la tecnología, no son casos normales en lo que respecta al uso de cuentas telefónicas o web, por lo que Si no está difundiendo su nombre en Internet, es menos probable que sea víctima de este tipo de engaños.
Sin embargo, es una precaución simple y fácil, y una que todos los que tengan una cuenta de Google, y particularmente aquellos que inviertan mucho en el ecosistema de Google, deben tomar. Dependiendo de cómo use Gmail, un atacante que lo controle podría tener las claves maestras de su vida digital. Además, podrían obtener acceso a todas las compras y otros contenidos asociados con su cuenta de Google; si es un gran usuario de Android, eso podría representar una cantidad significativa de cosas. Peor aún, si desconectan tu cuenta, podrías perder todo esto.
Por lo tanto, a pesar de los inconvenientes ocasionales y menores, active la autenticación de dos pasos en su cuenta de Google. Nos agradecerás cuando nadie piratee tu mierda.