¿Cómo implementar la verificación de dos pasos?

Poné esas contraseñas en su lugar

La ciberdelincuencia se encuentra a la orden del día. Parece que cada trimestre hay una nueva filtración de algún sitio web importante, con hackers que roban la información de cientos de miles o de millones de usuarios inadvertidos, incluidas las pequeñas empresas. Un estudio del Instituto Poneman mostró que en Estados Unidos el costo promedio de una filtración de datos aumentó de 7,91 millones de dólares en 2018 a 8,19 millones en 2019, el costo más alto a nivel mundial.

Las contraseñas ofrecen un nivel de protección. Pero para una seguridad más profunda, también necesitás una autenticación de dos factores, o verificación en dos pasos.

La autenticación de dos factores es un subconjunto de la autenticación multifactor, que presenta dos o más tipos de autenticación. Es como casarse y tener un padrino de anillos, otro de arras y uno de velación. Con la verificación en dos pasos, necesitás algo que sepas (una contraseña), algo que obtenés (un código o un hardware) y/o algo que solo vos tengas (como un inicio de sesión biométrico con una huella digital o un escaneo de retina).

La belleza de los dos factores es que, si bien un hacker podría averiguar tu contraseña (son notoriamente buenos en eso), es probable que tenga dificultades para descifrar la segunda capa de protección, porque los códigos se configuran sobre la marcha (cambian constantemente) y tus datos biométricos son difíciles de replicar.

La forma más sencilla de configurar la autenticación de dos pasos es implementar una aplicación de autenticación como Google Authenticator®, Microsoft Authenticator®, Authy®, entre otras.

Google Authenticator es una aplicación gratuita de Google para smartphones, disponible para Android e iOS. Para usarla, primero debés habilitar la autenticación de dos factores en tus servicios en línea. Luego, el servicio te pedirá que tomes una foto de un código QR que te proporcionará. Después de leer el código, Google Authenticator generará códigos aleatoriamente para que sirvan como segunda autenticación. Los códigos proporcionados por las aplicaciones de autenticación se sincronizan en todas tus cuentas.

Microsoft Authenticator es otra aplicación de autenticación gratuita que funciona de manera muy parecida a la de Google, utilizando códigos QR, y es compatible con Android, iOS y Windows 10 Mobile.

Mientras tanto, Authy de Twilio (página no disponible en español) es una aplicación de autenticación diseñada para notebooks Android, IOS, Windows y Mac, así como para el navegador Chrome. Authy no requiere que los usuarios tomen fotos de los códigos QR, sino que almacena los códigos de autenticación de los usuarios cifrados en los servidores en la nube de Twilio y los descifra cuando el usuario ingresa su contraseña.

Authy es gratis para las cuentas que usan menos de 100 autenticaciones por mes. Existe una opción de pago por uso que cuesta ARS 0.29 por autenticación.

LastPass® ofrece otra variación de autenticador. El servicio gratuito permite notificaciones push que permiten a los usuarios iniciar sesión en sitios desde su computadora con un clic en lugar de ingresar códigos. Sin embargo, para usar las notificaciones, debés tener instalada y habilitada la extensión LastPass en tu navegador.

Las aplicaciones de autenticación tienden a facilitar las cosas al usuario al no requerir el desarrollo de software especializado o la asistencia de un profesional de TI (Tecnología de la Información) para configurar una verificación en dos pasos efectiva. Estas aplicaciones son buenas para las empresas pequeñas con diez empleados o menos, particularmente porque diez empleados tienden a ser el límite para el acceso gratuito a muchas de las diferentes opciones comerciales.

Los empleados también suelen ser la pieza de menor resistencia para los hackers. Un movimiento en falso de un trabajador descuidado puede significar un impacto sustancial para tu negocio y tus resultados. Por eso, podría ser más práctico simplemente usar una de las muchas soluciones que se encargan de todo el proceso de autenticación de dos factores por vos.

La unidad Duo Security de Cisco® ofrece un servicio de autenticación de dos pasos basado en la nube, adecuado para pequeños negocios y empresas por igual que automatiza todo el proceso de autenticación. La experiencia de usuario de Duo solo requiere un clic en un smartphone para verificar que los usuarios son quienes dicen ser. El servicio es gratuito para equipos de 10 o menos. Para la autenticación multifactor, Duo cuesta ARS 292 por usuario al mes.

Mientras tanto, IBM Cloud Identity® proporciona autenticación multifactor y otros servicios de seguridad. A partir de ARS 243 por empleado al mes; viene con miles de conectores prediseñados para apoyarte a brindar un rápido acceso a aplicaciones populares y plantillas prediseñadas para ayudar a integrar aplicaciones internas. También cuenta con una versión gratuita.

Finalmente, Nexmo, una unidad comercial de Vonage®, utiliza Verify (sitio de México) su solución para brindar autenticación de dos pasos automatizada. Todo lo que tenés que hacer es proporcionar un número de teléfono y Nexmo se encargará de todo lo demás y comenzará a enviar códigos por SMS para verificar que los usuarios sean quienes deberían ser.

La autenticación de dos fases agrega un nivel de seguridad muy necesario a tus datos, de modo que incluso si un gran hacker obtiene tu contraseña, no podrá causar ningún tipo de daño financiero o de reputación a tu negocio porque agregaste ese segundo paso de autenticación. Por una pequeña tarifa mensual como máximo, podés ayudar a garantizar que tu empresa no acumule pérdidas debido a filtraciones de información por delitos informáticos.