La verificación en dos pasos (2FA) es, actualmente, el mejor método para protegernos ante un ataque en el que intenten robar nuestra cuenta. Si bien no es perfecto, Google ha demostrado con datos que sí es el mejor ante la mayoría de intentos de hackeo que podemos sufrir a diario los usuarios.

La verificación en dos pasos sólo puede fallar si alguien duplicar nuestra SIM

La seguridad que utilicemos en nuestros dispositivos depende del tipo de persona que seamos. Por ejemplo, si somos simples mortales y no tenemos enemigos claros, la verificación en dos pasos es lo mejor. Sin embargo, si somos una persona famosa, alguien que se haga con nuestro número de teléfono y datos personales puede hacerse pasar por nosotros, generar un duplicado de SIM, y recibir los SMS de verificación para cambiar las contraseñas de nuestras cuentas. También es posible que puedan leer los SMS que recibimos si utilizan una antena móvil falsa, más conocidas como IMSI catchers.

La mayoría de usuarios no vamos a sufrir nunca un intento de hackeo de ese estilo, ya que son bastante complicados de llevar a cabo. Para protegernos, lo que debemos hacer básicamente son dos cosas: utilizar contraseñas seguras y únicas (es decir, no reutilizarlas entre dos o más cuentas), y activar la verificación en dos pasos.

De esta manera, aunque una de nuestras contraseñas se filtre en la red, nunca podrán acceder a otras cuentas más que a la original. E incluso si intentan acceder a esa cuenta de manera directa, con la verificación en dos pasos ese intento quedará rápidamente bloqueado.

Google demuestra que en el 100% de los ataques con bots automatizados, la 2FA nos protege

Google ha demostrado en colaboración con la Universidad de Nueva York y la Universidad de California lo seguro que es este método. Así, un SMS enviado al móvil de una persona puede evitar el 100% de los ataques automatizados mediante bots que utilizan bases de datos de cientos de millones de contraseñas. A su vez, también es efectivo contra el 96% de los ataques de phishing, donde el 4% restante es aquella gente que también introduce el código de verificación en páginas web falsas.

Del resto de métodos analizados, el único que consiguió detener todos los posibles ataques fue una llave de seguridad física, la cual se introduce en los dispositivos cuando vamos a loguearnos. Estas llaves están diseñadas para proteger hasta las cuentas más sensibles, y en el caso del estudio descubrieron que consiguieron bloquear los ataques automatizados mediante bots y de phishing, así como también los que atacaban a objetivos concretos, algo que ocurre mucho en el espionaje internacional realizado por grupos de hackeo de países como Rusia. Google afirma que sólo uno de cada millón de intentos de hackeo son este tipo de ataques diseñados para hackear a una persona concreta.

En definitiva, el resumen del estudio está claro: activa la verificación en dos pasos en la mayor cantidad de servicios que puedas, ya que te ahorrará muchos sustos en el futuro. Puedes usar tu propio móvil como llave de seguridad para acceder a la cuenta de Google, pero deberás evitar usar las llaves Titan de Google, que han sido retiradas del mercado por tener vulnerabilidades.