Google comenzó este mes a evitar que los usuarios reciban códigos de verificación de dos pasos mediante SMS. Desde la semana pasada, puedes haber recibido una invitación de Google para recibir avisos a través del app de Google en vez de códigos de seis dígitos a través de tu app de textos.
La razón de esta medida es que las nuevas notificaciones son más seguras que SMS, y también facilitan el proceso de acceder a tu cuenta. Estas son algunas dudas y sus respuestas.
¿Qué es la verificación de dos pasos?
La verificación de dos pasos (conocida como 2SV, aunque también se llama autenticación de dos factores, 2FA) agrega otra capa de seguridad a tus cuentas en línea, como Amazon, Apple, Google, Facebook, Instagram y Twitter. En vez de limitarte a escribir la clave de acceso a la cuenta, tienes que hacer eso primero —el primer factor de verificación—y entonces un código enviado por SMS o un aviso a través de un app de autenticación, que es el segundo factor. Esto significa que un ladrón informático necesitaría robarse tanto tu clave como tu teléfono para entrar a tu cuenta.
¿Por qué no debe usarse SMS?
Por el simple hecho de que recibir los códigos por esta vía es menos seguro que usar un app de autenticación. Los hackers han logrado engañar a las compañías telefónicas para que transfieran números telefónicos a un nuevo dispositivo. La transferencia puede ser tan fácil como conocer el número telefónico y los últimos cuatro dígitos del número del Seguro Social, información que con cierta frecuencia se filtra a través de bancos y grandes empresas. Una vez que el hacker transfiere el número telefónico, ya no necesita tu teléfono para tener acceso a los códigos de verificación.
Además, si sincronizas los mensajes de texto con tu portátil o tableta, entonces el hacker también puede conseguir acceso a los códigos enviados por SMS si te roba estos dispositivos.
También hay que tomar en cuenta las debilidades en el sistema de telecomunicaciones móviles. En lo que se llama un ataque SS7, un hacker puede espiar a través del teléfono móvil, escuchar llamadas, interceptar mensajes y ver la ubicación del teléfono.
Todo lo anterior es una mala noticia para los que reciben los códigos de verificación por SMS.
Entonces, ¿qué debo usar?
Un app de autenticación, como Google Authenticator, Microsoft Authenticator o Authy. Esto tiene la ventaja de que no tienes que depender de tu telefónica: los códigos quedan dentro del app incluso si un hacker se las arregla para transferir tu número a otro teléfono. Y los códigos expiran rápido, en unos 30 segundos.
Además de ser más seguro que SMS, un app de autenticación es más rápido. Sólo tienes que tocar un botón para verificar tu identidad, en vez de tener que escribir un código de seis números.