Seguridad digital: cómo utilizar llaves de seguridad para proteger las cuentas contra ataques de phishing

Los atacantes cibernéticos están utilizando métodos cada vez más sofisticados contra los periodistas, inclusive algunos que utilizan la autenticación de dos factores (también conocida como verificación en dos pasos o 2FA).

La autenticación de dos factores es una capa adicional de seguridad que se utiliza para proteger cuentas. Por lo general viene en forma de código PIN que se envía mediante SMS, una aplicación autenticadora en el teléfono, o mediante notificaciones. Si bien utilizar la autenticación de dos factores es una buena manera de aumentar la seguridad de las cuentas, los atacantes cibernéticos han encontrado formas de burlarla.

La manera más segura de proteger las cuentas es utilizar una llave de seguridad.

¿Qué es una llave de seguridad?

Una llave de seguridad es un dispositivo de hardware que se puede conectar a la computadora por el puerto USB o de manera inalámbrica mediante el teléfono móvil. Las llaves se pueden comprar por Internet, por ejemplo en el sitio web de YubiKey.

Cómo configurar la llave de seguridad:

  • Compruebe que el servicio que utiliza, por ejemplo Gmail, es compatible con las llaves de seguridad 2FA. En la actualidad no todos los servicios son compatibles con las llaves de seguridad. Revise la sección de “su cuenta” o la de “opciones” para ver si el servicio le permite enlazar una llave a la cuenta.
  • Si el servicio le permite utilizar una llave de seguridad, siga los pasos que el servicio enumera para inscribir la llave en su dispositivo.
  • Si ya ha configurado la autenticación de dos factores en sus cuentas, por ejemplo en forma de SMS, entonces desactívela luego de añadir la llave de seguridad. También debe desactivar otras formas menos seguras de 2FA, como los códigos de aplicaciones autenticadoras o las notificaciones, porque los ataques de phishing sofisticados de todas maneras pueden explotarlos.
  • Cuando la llave quede inscrita con el servicio, por ejemplo Gmail, en sus dispositivos, por lo general tendrá la opción de recordar la llave en ese dispositivo para que no la tenga que insertar de nuevo. No obstante, siempre lleve la llave consigo por si el sitio web concluye la sesión y requiere que usted verifique su cuenta.
  • Se puede utilizar la misma llave para todas las cuentas.
  • Proteja la llave como lo haría con las llaves de su hogar o de su auto, y sepa donde está en todo momento. Recuerde llevarla consigo cuando viaje.
  • No utilice códigos de respaldo con su llave de seguridad. La autenticación de dos factores también le permite utilizar códigos de respaldo en ciertos casos, por ejemplo cuando usted esté de viaje y puede que no tenga acceso ni a Internet ni a una señal móvil. Sin embargo, los atacantes cibernéticos pueden crear un sitio falso que imite el de su proveedor para obtener los códigos de respaldo, por lo cual no se deben utilizar con una llave.

Respaldar la llave de seguridad:

Si usted no utiliza ningún tipo de 2FA de respaldo, es posible que le preocupe lo que pueda suceder si extravía la llave de seguridad.

  • Agregue una segunda llave a su cuenta. Siga los mismos pasos que siguió para agregar la primera llave. Puede que ello no sea posible para todos los servicios.
  • Mantenga la segunda llave en un lugar seguro.
  • Si llega a extraviar una de las llaves, la puede eliminar de su cuenta en las opciones de seguridad. Recuerde obtener otra llave de seguridad de respaldo, para que siempre pueda tener dos o tres llaves.
  • Si alguien encuentra la llave, no podrá distinguir a qué cuenta pertenece con solamente mirar la llave, igual que cuando alguien encuentra la llave de su casa, por lo general no puede distinguir a qué casa pertenece.
  • Utilizar una llave de seguridad de hardware para 2FA con una llave de respaldo en lugar de códigos de respaldo es la opción de seguridad más sólida que existe actualmente. Sin embargo, si el sitio web en cuestión actualmente no le permite agregar una llave de seguridad, de todas formas es mejor utilizar autenticación de dos factores mediante SMS, una aplicación autenticadora o notificaciones que no utilizar ninguna autenticación de dos factores. Sólo asegúrese de estar alerta contra los ataques de phishing que puedan tener como objetivo los códigos de 2FA.