Hace años parecía que usar los SMS como sistema de verificación en dos pasos (2FA, Two-Factor Authentication) era ideal. Cómoda, fácil de usar y ciertamente conveniente. Y luego llegaron los problemas de seguridad: hackear el sistema era factible, y eso planteó la necesidad de acudir a otras alternativas.
Así es como las aplicaciones de autenticación comenzaron a ganar fuerza. Google Authenticator, Microsoft Authenticator o Authy están entre las más conocidas, y desde luego son una alternativa más segura y fiable que los SMS. Sin embargo no son perfectas, y lo demuestra Google Authenticator.
Al fin llegan las copias de seguridad de Authenticator
¿Por qué? Pues porque esta semana Google anunciaba algo interesante: su aplicación, Google Authenticator, se actualizaba por partida doble. En primer lugar cambiaba el logo, que adoptaba un formato mucho más colorido y un diseño en línea con el resto de sus aplicaciones y servicios.
En segundo, y mucho más importante, Google ofrecía al fin la capacidad de hacer una copia de seguridad de nuestros códigos "one-time" (también conocidos como one-time passwords u OTPs) a nuestra cuenta de Google.
Parece un cambio menor, pero en realidad era algo muy demandado por los usuarios. La propia Google lo reconocía en su comunicado oficial:
Uno de los principales comentarios que hemos recibido de los usuarios a lo largo de los años ha sido la complejidad de la pérdida o el robo de los dispositivos que tenían instalado Google Authenticator. Dado que los códigos de un solo uso de Authenticator solo se almacenaban en un único dispositivo, la pérdida de ese dispositivo significaba que los usuarios perdían la posibilidad de iniciar sesión en cualquier servicio en el que hubieran configurado la 2FA con Authenticator.
Así es. Quien usaba Authenticator en su dispositivo y perdió el móvil (o se le rompió) sabe bien la pesadilla que eso suponía. A no ser que hubieras guardado el código QR generado durante una exportación —y tenías que haber sido muy previsor— estabas perdido. Había otra opción: hacer una exportación a un viejo móvil que luego guardaras por si ocurría lo peor. Un auténtico desastre del que se lamentaban quienes lo habían sufrido.
Esta opción al fin soluciona el problema. Google explica en su web de soporte actualizada cómo para activarla basta con iniciar sesión en tu cuenta de Google en Google Authenticator.
Al hacerlo los códigos se sincronizan con tu cuenta y se podrán restablecer en cualquier dispositivo que uses con esa cuenta de Google. Incluso "puedes transferir manualmente tus códigos con otro dispositivo, incluso si no has iniciado sesión en una cuenta de Google", añaden. Si aprovechas esa opción, eso sí, conviene que lo hagas de la forma adecuada, como explican en 9to5Google.
"Si tienes Google Authenticator configurado en varios dispositivos, ten cuidado al actualizar a la nueva versión y activar la sincronización. Al sincronizar, Google no reconocerá códigos idénticos ni los fusionará automáticamente. Como resultado, podrías acabar con muchos duplicados.
Para evitarlo, primero configura la sincronización en tu dispositivo principal y luego elimina cualquier otra instancia de la aplicación Google Authenticator. De este modo, cuando vuelvas a instalar la aplicación actualizada en los dispositivos secundarios, sólo se sincronizará desde tu dispositivo principal y no mostrará duplicados".
Pero no todo es de color de rosa en Google Authenticator
El cambio es sin duda muy bienvenido, y es curioso que Google haya tardado la friolera de 13 años —Authenticator se lanzó en 2010— para añadirlo cuando otras alternativas como Authy ya lo tenían. Aquí esta última opción tiene una ventaja interesante más: una forma de permitir o impedir que múltiples dispositivos se usen para usar con una cuenta, lo que añade un extra de seguridad.
No sabemos si Google acabará ofreciendo también esa mejora, pero lo que sí que hace falta es algo que rápidamente notaron los expertos en ciberseguridad: la sincronización de los datos de Authenticator se hace en texto plano, sin cifrar, algo que entre otros comentaron los expertos en ciberseguridad de Mysk.
Precisamente eso introduce un problema de seguridad del que afortunadamente Google está muy al tanto. Christiaan Brand, uno de los responsables del servicio, comentaba en Twitter cómo están trabajando en el cifrado de extremo a extremo (E2EE, End-to-End Encryption).
Aún así, Brand añadía que aplicar E2EE tiene "el coste de permitir a los usuarios quedar bloqueados de sus propios datos sin recuperación". No hay una fecha estimada para la llegada de ese cifrado, lo que hace que los usuarios tengan dos opciones: usarla tal cual sin ese cifrado de extremo a extremo, o simplemente usar Google Authenticator como lo hacían, sin iniciar sesión en su cuenta de Google desde la app.
En mi opinión resulta mucho más recomendable lo primero porque ciertamente esta solución evita una de las grandes limitaciones de Google Authenticator. Alternativas como Microsoft Authenticator o Authy son desde luego destacables, pero ya hemos hablado de que hay una opción aún mejor: los tokens de seguridad como Yubikey, dispositivos físicos que hacen aún más difícil que algún ciberatacante pueda lograr acceso a nuestros sistemas y datos.
Eso, claro introduce más incomodidad a los usuarios, pero hasta que llegue ese futuro passwordless que nos prometen tecnologías como las passkeys, seguiremos teniendo que convivir con estos pequeños grandes inconvenientes de nuestro día a día digital.
Ver 7 comentarios
7 comentarios
lucaravazzola
Sinceramente, esta es prueba de que, iCloud Keychain, por más de que no esté disponible en Android y Windows, ni siquiera la web de icloud.com.
Pero esto se sincroniza en todos tus dispositivos sin hacer nada, pone solo las contraseñas (y códigos de 2FA). Sin mencionar que es compatible con todo, yo la uso cada vez más.
raul.ruizollero
Es una pena que no hayan incluido notificaciones push como Microsoft authenticator, es un coñazo andar poniendo el código a mano en mi PC para mí trabajo por ejemplo.
Seguiré con el de Microsoft.
chuloyo
A mí no se me ha actualizado todavía, no me da la opción de iniciar sesión ni tengo el icono colorido.
relectron
La mejor forma de evitar problemas con los accesos es la de evitar lo máximo posible el uso de todo este entramado de "basura".
dartl
"En mi opinión resulta mucho más recomendable lo primero"
Podría decir que es una opinión de mierda, pero hay que aceptar que la gente está en su derecho de estar equivocada.
El segundo factor de autenticación pierde buena parte de su esencia. Podemos acabar almacenando tanto las contraseñas, como el segundo factor en el mismo cloud, a solo una filtración de perderlo todo.
Lo más recomendable es hacer una copia de seguridad (que no es ni de ser "muy previsor", ni duele) tan simple como guardar el QR-code o su contenido. Eso sí, no lo vayamos a guardar en Google Drive!
eliasns
Y para que narices son los códigos de respaldo que te dan todas las aplicaciones? 🤦
issuedosbmckinley
No me enterao de un carajo