Seguridad: ¿Qué es la Autenticación en Dos Pasos (2FA) y por qué debes hacer uso de ella?

Hay un tema que muchos poseedores de criptomonedas suelen subestimar: el uso de la verificación en dos pasos o 2FA. En mi caso, no soy persona de postergar ninguna medida que tenga que ver con seguridad, pero sí he tenido la oportunidad de compartir con gente que, sin tener un profundo conocimiento en el área, ve en el 2FA algo complicado, tedioso y superfluo que tranquilamente pueden aprender después. Hoy venimos a explicarte qué es la autenticación en dos fases, por qué se ha vuelto tan conocida y por qué deberías dejar de pensar que basta y sobra con el uso de una contraseña. Al final te darás cuenta de que entenderlo no te costaba nada y de que el mundo cripto está lleno de lobos que buscan hacerse con fondos ajenos. Es mejor que lo aprendas por las buenas y no por las malas.

Parece brusco, pero la verdad no lo es: la falta de 2FA te puede costar desde ese puesto de trabajo con el que estás sacando adelante a tu familia, hasta los ahorros de toda la vida. Como recordarás, siempre dejamos claro que el mundo cripto ofrece asombrosas libertades –realmente es un viaje de ida-, pero también es un espacio que exige mucha responsabilidad individual y que no perdona… Si haces algo como enviar fondos a la dirección equivocada, o alguien consigue entrar en una de tus cuentas que no posee 2FA, es tan simple como que ningún servicio de atención al cliente va a salvarte.

Comenzaremos entonces definiendo qué es el 2FA, que son las siglas de “Two Factor Authentication”. Es un método de seguridad que requiere dos formas de verificación para determinar si realmente eres tú la persona que quiere entrar a una cuenta. Se le llama autenticación de dos factores porque depende de una contraseña adicional o PIN, y de un dispositivo que permita la instalación de una app como Google Authenticator o Authy. ¿Cómo puede ayudarte el 2FA? Los ataques de phishing son un perfecto ejemplo, pues por medio de estos se busca engañar al usuario para que revele su contraseña, pero lo cierto es que, si la persona hace uso de 2FA, tener la clave no será suficiente para que el atacante pueda entrar a la cuenta.

Nunca subestimes la mala intención que hay detrás de los ataques de phishing. Créeme cuando te digo que sé de lo que hablo, ya que en los últimos meses no he parado de recibir emails de gente haciéndose pasar por Blockfi y pidiéndome que inicie sesión a mi cuenta a través de un link, esto debido a que la compañía –que se declaró en bancarrota en 2022-, a través de la consultora Kroll, ahora mismo se encuentra en proceso de devolución de fondos a sus usuarios. El detalle está en que hace varios meses hubo una filtración masiva de datos que estaban siendo gestionados por Kroll, y como resultado los emails de muchos usuarios quedaron expuestos. Ese es el punto al que quería llegar: en ocasiones hay filtraciones en Internet incluso de contraseñas, por lo que añadir un segundo paso en el proceso de identificación nunca está de más.         

Estas advertencias no sólo aplican para los usuarios que poseen criptomonedas, sino más bien para todos. Imagina que tu trabajo consiste en gestionar una cuenta asociada a los fondos de múltiples clientes, y que alguien consigue adivinar la contraseña y entrar. Si no tenías configurado el 2FA, no lo dudes: tú cargarás con la responsabilidad de lo que ocurra. Por ello es imperativo que dejes de pensar que la contraseña de toda la vida es suficiente y que no escatimes en agregar capas de seguridad. Eso sí, con esto tampoco queremos transmitir la idea de que el 2FA sea un sistema perfecto, pues existen malwares que pueden capturar contraseñas y códigos 2FA, directamente desde el dispositivo de la víctima, y un método conocido como SIM Swapping, en el que los atacantes pueden asociarse con alguien que pertenezca a tu compañía telefónica, con el fin de que se transfiera tu número a una tarjeta SIM controlada por ellos. 

Esto no va sobre buscar un método de seguridad infalible, sino de blindarse uno mismo con las técnicas de protección que han probado ser más efectivas. A continuación, vamos a hablar acerca de algunos de los métodos de autenticación más populares y utilizados, y de cómo puedes implementarlos… Te darás cuenta de que esto no es nada difícil y no se requiere que tengas amplios conocimientos en tecnología.             

1. Las apps de autenticación: son programas que generan códigos temporales que se actualizan cada 30 segundos. La idea es sincronizar la app del servicio o exchange que utilizas con una de estas aplicaciones (ejemplos: Google Authenticator, Authy, Microsoft Authenticator). Lo único que tendrás que hacer, luego de escribir tu usuario y contraseña para iniciar sesión en un sitio determinado, es abrir el autenticador, copiar el código que te está proporcionando para la app a la que quieres entrar, pegar el número en la app y listo –también es importante activar esto para que cualquier servicio cripto lo solicite al momento de retirar dinero-. Un único autenticador puede brindar códigos para varias aplicaciones.     
2. Los mensajes de texto (SMS) y correos electrónicos: es tan simple como ir al servicio al que deseas acceder –independientemente de que sea una wallet digital o un exchange centralizado- y activar la opción de autenticación vía SMS. Acto seguido, una vez que escribas tu usuario y contraseña para iniciar sesión, se te enviará a tu teléfono celular un mensaje de texto con el código que tendrás que utilizar. Esto se puede programar para una función específica dentro de un servicio, como por ejemplo el retiro de fondos o el cambio de algún dato personal muy relevante; también se puede hacer lo mismo vía email: al momento de, por ejemplo, retirar dinero desde Binance, puedes conseguir que el exchange te pida tanto el código de un autenticador como que te envíe un pin numérico vía email.
3. Hardware Tokens: son equipos físicos que generan códigos de 2FA, los cuales pueden conectarse a otros dispositivos a través de USB, NFC o Bluetooth. Hablamos de gadgets que no requieren de Internet para funcionar (Ejemplos: YubiKey, Google Titan Security Key), pero no suelen ser baratos y, si pierdes alguno que te brinde códigos de extrema importancia, recuperar el acceso a tu cuenta puede ser engorroso: tendrás que contactar al servicio de atención al cliente en cuestión, suministrar la documentación que se te pida –ellos necesitarán verificar que realmente es el dueño de la cuenta quien desea recuperar el acceso- y esperar durante unos días a que culmine el proceso.   
4. Biometría: depende de huellas digitales, reconocimiento facial o de voz, lo cual puede ser muy conveniente y rápido ya que quedaría descartada la opción de tener que recordar códigos. No obstante, este método también depende de la tecnología y precisión de tu dispositivo.   

Suscríbete a nuestro Newsletter y asegúrate de seguirnos en redes sociales, donde constantemente publicamos información sobre eventos cripto y las novedades relacionadas con Hamza.biz, el primer e-commerce Web3 impulsado por el protocolo Loadpipe, una solución con la que buscamos plantear un nuevo modelo de gobernanza, tarifas de bajo gas y el acceso a múltiples criptomonedas, en pro de que los usuarios puedan negociar con más libertad // Recuerda también que semana a semana publicamos contenido educativo original sobre Blockchain, e-commerce y criptomonedas, y las noticias más relevantes del sector.