¡Bienvenidos a Tech Talk! El tema de hoy es la autenticación sin contraseña. Me acompaña Jeff, el experto en seguridad. Algunos de sus videos nos llevaron a este tema, en los que hablaste sobre IAM, o Gestión de Acceso de Identidad, y cómo esto se aplica a las reglas de contraseñas, así como a la MFA, Autenticación Multi-Factor. Me gustaría profundizar un poco más en lo que es, algo que nos adelantaste llamando al «paraíso de las contraseñas». ¡Sin necesidad de contraseña! Sin contraseña. Muy bien. Pero antes de llegar allí, quiero presentarles una característica adicional para este tema. Se llama «Recuperación Personal de Desastres». He tenido más de un problema de ese tipo. Lo siento mucho. Será un cuestionario en el que tendrás siete u ocho opciones y veremos cómo lo haces. Está bien. Entonces, ¿cómo podemos llegar a ese paraíso de las contraseñas? Sí, bueno, si pensamos en dónde estamos hoy, vamos a empezar desde abajo. La mayoría de las personas tienen una contraseña. De hecho, tienen muchas contraseñas con las que tienen que lidiar. Y eso es un problema, porque cuanto más tengas, más probabilidades hay de que las olvides o las minimices. Es un desastre. ¿Quién no tiene como 50 de ellas? Sé que yo sí. Exactamente. Al menos. Eso sería un número pequeño. Entonces, en este video hablé de usar algo más fuerte que las contraseñas, la autenticación multi-factor. Y con la autenticación multi-factor, en lugar de confiar solo en algo que sé, confío en algo que tengo y algo que soy, o alguna combinación de esas cosas. Ahora, en esos sistemas, puede haber una contraseña que no se te muestra directamente. Por ejemplo, podrías desbloquear la aplicación con tu rostro, mirando tu teléfono y usando el lector biométrico. Y el teléfono en sí mismo, siendo algo que tienes. Esos son dos factores que estoy utilizando, pero el sistema puede tener una contraseña oculta. Así que la contraseña no se te muestra directamente, pero sigue existiendo. Bueno, el siguiente paso o podemos verlo como un paso evolutivo sería un estándar que está cobrando fuerza en estos días, llamado FIDO. ¿FIDO? Bueno, genial, asumo que no es lo que estoy pensando. No, no es lo que estás pensando. Esto no es tu mascota. Se trata de un estándar en línea rápida de identidad. Y lo que hace es eliminar la necesidad de contraseñas en primer lugar. Ahora, lo que puedes hacer es utilizar la autenticación multi-factor en combinación con FIDO, y luego tu navegador y los sitios web pueden comunicarse entre sí sin necesidad de contraseñas. Permíteme volver atrás por un momento, porque cuando iba camino al trabajo ayer, conté cuántas veces tuve que iniciar sesión. Hubo como siete veces con Box y correo electrónico, etc. Tuve que proporcionar un inicio de sesión y mi contraseña. Entiendo que con la MFA eso va a causar muchos desafíos. ¿Cómo se eliminan esos desafíos? Lo que hace FIDO es que hay un protocolo que intercambia diferentes pruebas sobre quién eres. El sitio web que tiene habilitado FIDO, y no todos lo tienen, pero cada vez son más, puede comunicarse con tu navegador e intercambiar secretos y tokens y cosas así que suceden en segundo plano sin que tengas que hacer nada. Pero no estoy seguro de si te estoy siguiendo aquí. ¿Esto es un estándar o un dispositivo? Es un estándar. Y muchos dispositivos pueden ser compatibles con FIDO. Por lo tanto, puedes utilizar diferentes tipos de dispositivos, como tu teléfono o una unidad flash que conectas a tu computadora portátil, algo diferente a lo que tienes. ¿O como la tarjeta inteligente que usamos para entrar al edificio? Absolutamente. Hay muchos tipos diferentes de dispositivos que FIDO podría admitir. Bueno, eso es genial, pero ahora llegamos a la PDR o «Recuperación Personal de Desastres». Y he tenido que lidiar con algunos desastres porque soy el soporte de TI en nuestra casa. Así que lo que quiero hacer es darte una lista de posibles cosas para evitar el problema de ¿qué pasa si pierdo ese dispositivo? Para ilustrar este punto, tienes un teléfono celular, ¿verdad? Claro, claro. Entonces aquí tienes tu teléfono. Viajas mucho. Mucho. Imagina que Jeff está de viaje y pierde su teléfono. Ya sea en el aeropuerto o, peor aún, lo pierde en algún lugar al que no va a volver. ¿Qué haces cuando viajas? ¿Cómo te recuperas de eso? Bueno, lo primero que hago, después de dejar de llorar, es tratar de averiguar cómo puedo recuperar el dispositivo. Tal vez encuentro otro dispositivo, compro otro dispositivo, si sé lo que realmente se ha perdido. Y luego comienzo a intentar recuperar los datos. El dispositivo en sí mismo se puede reemplazar con relativa facilidad, aunque a un costo, pero los datos son la parte realmente crítica. Y si los utilizamos como parte de nuestro esquema de autenticación, entonces eso se convierte en un factor clave en el que todo lo demás se basa. Y eso me lleva a mi punto principal, y te animo a hacer el cuestionario PDR. Hay ocho preguntas y obtendrás marcas de verificación. Si obtienes cuatro o más, se considera un aprobado. Si obtienes menos de cuatro, puede que tengas algunos problemas de seguridad. Y si obtienes ocho, obtienes el «Beanie de Oro». Allá vamos. La primera es… y creo que hiciste referencia a esto… haz una copia de seguridad. Y sé que suena simple. Y muchas personas, si lo hacen, hacen una copia de seguridad en la nube. ¿Es eso lo que haces, creo? Sí, definitivamente haría una copia de seguridad en la nube, porque de esa manera no necesitas estar en un lugar específico. Puedes estar en cualquier lugar y descargar los datos nuevamente desde la nube y restaurarlos. Pero argumentaría que también necesitas hacer una copia de seguridad en algún otro tipo de dispositivo, como un disco duro, un dispositivo o una computadora portátil. Y la razón es que si quieres acceder a la nube, imagina si tienes que descargar varios gigabytes de tus fotos favoritas. Eso tomará literalmente horas. Además, otra cosa es que si tienes una copia de seguridad local, puedes tener revisiones. Absolutamente. En la nube, no las tienes. Sí. En el espacio de seguridad nos referimos a nosotros mismos como «tener un plan B». Nunca confiamos en una sola cosa para mantener todo en su lugar. Así que si falla la nube, o si falla la copia de seguridad local, tengo copias de seguridad para mis copias de seguridad. De hecho, conozco a personas que han tenido un fallo en el disco duro y descubrieron que su copia de seguridad, que habían estado haciendo fielmente durante años, de hecho estaba corrupta. Así que realmente puede suceder. La siguiente en la lista. Oh, y obtienes una marca de verificación. Sí, sí, definitivamente hago eso. Genial. La siguiente es… ¿actualizas tu software? Absolutamente. Esta es realmente crítica porque lo que sucede en la mayoría de las actualizaciones de software que ves esperando en tu teléfono y que aún no has aplicado, es probable que haya correcciones de seguridad también. Y eso significa que los malos saben cómo aprovechar tu teléfono y tú no has implementado las medidas para bloquearlo si no has aplicado esas actualizaciones. Es prácticamente una carrera. Realmente lo es. Se trata de si aplicas primero el parche o si los malos llegan a tu teléfono y lo aprovechan primero. Bastante justo. Así que obtienes una marca de verificación. Definitivamente hago esto. Ahora, este tal vez no tanto. Veremos. Y es… ¿pruebas realmente tu copia de seguridad? En cierta forma. Podría ser mejor. Podría ser mejor. Pero de vez en cuando hago algunas pruebas. Y la mejor… La prueba que hago con más frecuencia, especialmente cuando tengo un teléfono nuevo, es restaurar desde esa copia de seguridad en la nube, sin duda. Y esa es en realidad la prueba que recomendaría que pruebes, si actualizas tu teléfono, o si alguien más está actualizando su teléfono, intenta restaurar desde tu copia de seguridad en su teléfono para asegurarte de que realmente funcione. Sí. Y la siguiente en la lista es la recuperación. Ahora, esto es importante especialmente para correos electrónicos. Si tienes un correo electrónico que utiliza autenticación de dos factores y tienes que autenticarte en eso. Has perdido tu dispositivo. Bueno, si tienes un correo electrónico de recuperación o un número de teléfono de recuperación, tienes una forma de recuperarte de esa situación. Así que es realmente importante tener múltiples fuentes que tengan designados, ya sea múltiples números de teléfono para ti, tal vez elegir otro miembro de la familia o un amigo cercano en el que puedas confiar. Otra dirección de correo electrónico. Tener tus propias direcciones de correo electrónico de respaldo. Pero sí, definitivamente no quieres que tu recuperación solo sea una opción. Creo que lo llamaste una situación «fuera del sistema», en la que tienes algo que no dependa de ese dispositivo en particular y en lo que puedas confiar. Y relacionado muy de cerca con eso, están los códigos de respaldo. Y este tal vez no sea tan obvio. Un código de respaldo para tu correo electrónico significa que generarás una serie de contraseñas aleatorias que solo se pueden usar una vez. Y omiten todas las verificaciones de autenticación de múltiples factores. Esto es muy útil si no tienes el dispositivo. Eso significa que puedes hacer una impresión de ello, puedes guardarlo en un lugar seguro junto a tu testamento o algo así. De esa manera, tienes una forma de volver a estar en línea sin tener que depender de otra persona. Sí, sí. Definitivamente los guardo. Estoy viendo un patrón aquí. Sí. Estamos paranoicos profesionales. ¿Qué puedo decir? Bueno, aquí hay algo en lo que creo que puedo pillarte. ¿Tienes una calcomanía en tu teléfono que dice «Si se pierde, encontrar…»? No, no tengo eso. No, arruinaría la estética de mi teléfono y no sé si podría lidiar con eso. Bueno, en realidad, tengo una confesión real: yo tampoco tengo una. Debería tener una, en realidad. Pero sí, es una buena idea. Así que es una buena idea. Y otra buena idea es en tu cuenta, cuando tienes tu cuenta con tu proveedor de telefonía celular, puedes agregar una capa adicional de seguridad más allá de la contraseña: un número PIN. Así que, cuando llames para cambiar tu servicio, te lo pedirán. ¿Cómo lo llaman? Tienen un nombre específico para eso. Creo que lo mencionaste una vez antes, era cuando alguien intenta forzar su entrada a la cuenta. Sí. Sí. Toma de cuenta. ATO es el acrónimo que usamos en el ámbito de la seguridad. Queremos evitar eso si alguien está intentando entrar a tu cuenta. Así que esto es una defensa contra la toma de cuenta. ¿Entendiste eso? Definitivamente hago eso. De acuerdo. Bueno, tal vez pueda atraparte con la última, que es difícil. Esto lo llamaremos el «crédito extra de paranoico». Y puedo decirte por experiencia personal que esto ha sucedido. Un miembro de tu familia se va de viaje. Digamos, por ejemplo, rafting en aguas bravas y pierden su teléfono, ¿verdad? Y resulta que es un nuevo teléfono de 1200 dólares. ¿Te imaginas lo terrible que sería? Hablando hipotéticamente, por supuesto. Sí, por supuesto, hablando hipotéticamente. Y lo que propongo es que tengas un teléfono de viaje. Cuando actualices… ¿has actualizado tu teléfono recientemente? Estoy a punto de hacerlo. Genial. Lo que debes hacer es tomar tu viejo teléfono y usarlo cuando viajes, especialmente si es a un lugar remoto o un área donde potencialmente existe un alto riesgo de dificultades para recuperarlo. Y ese es un ejemplo de «teléfono de viaje». ¿Tienes eso? No, no tengo eso. Voy a fallar en ese punto. De acuerdo. La puntuación de Jeff fue de seis. Seis de ocho. Eso es realmente bueno. Así que eso es todo por hoy. Y si les gustaría escuchar más Charlas Tecnológicas, por favor déjenos un comentario a continuación. Y antes de irse, recuerden hacer clic en Me gusta y Suscribirse.
Tabla de Contenido
A continuación, presentamos una tabla que resume la información del artículo:
| Punto principal | Descripción |
|---|---|
| Contraseñas | La necesidad de superar los problemas asociados con las contraseñas |
| Autenticación multi-factor | Una solución más segura utilizando múltiples factores de autenticación |
| Estándar FIDO | Una forma de eliminar completamente la necesidad de contraseñas |
| Recuperación personal de desastres | Medidas para evitar problemas relacionados con la pérdida de dispositivos |
Preguntas frecuentes
Aquí tienes algunas preguntas que podrías tener sobre la autenticación sin contraseña:
- ¿Qué es la autenticación sin contraseña?
- ¿Cómo funciona la autenticación multi-factor?
- ¿Cuál es la diferencia entre la autenticación multi-factor y el estándar FIDO?
- ¿Cómo puedo proteger mis datos en caso de pérdida de dispositivos?
Gracias por leer este artículo sobre la autenticación sin contraseña. Esperamos que haya sido informativo y útil. No dudes en consultar nuestros artículos relacionados para obtener más información sobre seguridad cibernética y otros temas tecnológicos.
¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!