por Charles Miller

Durante el último par de semanas he relatado las pruebas y tribulaciones de John Doe mientras intentaba acceder a su cuenta bancaria en línea. La autenticación en línea se logra comúnmente usando algo que usted sabe y/o algo que usted tiene. John Doe encontró dificultades para usar el enfoque de autenticación algo conocido porque su banco reforzó la seguridad al no permitirle autenticar el uso de información de identificación personal (PII) que, debido a las muchas violaciones de datos que tienen lugar también podría ser conocido por los piratas informáticos. John también tuvo problemas con el enfoque de autenticación algo-usted-tiene porque no tenía un teléfono inteligente lo suficientemente nuevo y no tenía un número de teléfono celular aceptable. Afortunadamente para John, su banco utilizó una aplicación de autenticación que eliminó la necesidad de tener un número de teléfono celular de Estados Unidos.

¿Qué es una aplicación de autenticación? Instalada en un teléfono inteligente, una aplicación de autenticación genera un TOTP (Time-based, One-Time Password / Basado en el tiempo, Contraseña de una sola vez). Esto suele ser de cuatro a seis números o letras. Puede usar cada código solo una vez y generalmente es bueno por solo 30 a 60 segundos. (En lugar de tener que escribir ese código, algunas aplicaciones de autenticación ofrecen la comodidad de usar la cámara del teléfono inteligente para tomar una imagen de un código QR que aparece en la pantalla del ordenador). Las aplicaciones de autenticación más populares son autenticador Google y autenticador Microsoft, mientras que algunas instituciones financieras han creado sus propias aplicaciones.

Una aplicación de autenticación tiene muchas ventajas sobre un código de acceso recibido por llamada telefónica o mensaje de texto. Los códigos de una aplicación de autenticación se generan localmente en su teléfono donde no se pueden hackear; de hecho, una aplicación de autenticación puede funcionar completamente sin conexión, incluso en modo avión o sin tener un número de teléfono celular activo. Y los códigos que solo están activos durante unos segundos hacen muy improbable que los hackers tengan tiempo suficiente para interceptarlos.

Es absolutamente esencial seguir las instrucciones de copia de seguridad y recuperación para su aplicación de autenticación. Si pierde su teléfono o cambia a uno nuevo, no puede instalar la aplicación de autenticación en cualquier otro teléfono sin la copia de seguridad.

Si su banco ofrece el servicio de permitirle usar una aplicación de autenticación mientras inicia sesión, esto puede ser una alternativa mucho mejor que usar un número de teléfono celular, especialmente en México. Si compras en un nuevo banco, la capacidad de usar una aplicación de autenticación debe estar en la prioridad de tu lista de funciones bancarias imprescindibles.

En el transcurso de las últimas columnas aquí he indicado que hay dos métodos populares de autenticación en línea: algo que sabe (nombre de usuario, contraseña, PIN) y algo que tiene (teléfono celular). En realidad hay un tercer método menos popular: algo que eres (biometría como huellas dactilares, voz o reconocimiento facial). Como método de autenticación, "algo que eres" es menos popular simplemente por el hecho innegable de que tus datos biométricos están sujetos a ser filtrados a la web oscura y puestos a disposición de los ciberdelincuentes si la empresa que posee tus datos es hackeada.

A raíz del hackeo de Biostar2, el robo de un conjunto de datos de más de un millón de huellas dactilares, se empezó la broma alrededor de los grupos de noticias de tecnología que la compañía estaba recomendando que, ya que perdieron sus datos de huellas dactilares, deberían ver a su médico para obtener un nuevo conjunto de dedos.

**************

Charles Miller es un consultor informático independiente con décadas de experiencia en TI y un tejano con un amor de por vida por México. Las opiniones expresadas son suyas. Puede ponerse en contacto con él al 415-101-8528 o al correo electrónico FAQ8 (at) SMAguru.com.

Descubre Lokkal:
Ve el video de dos minutos a continuación.
Luego, justo debajo de eso, desplácese hacia abajo por el muro comunitario de SMA.
Misión

Visit SMA's Social Network

Contact / Contactar