Configura la autenticación de dos factores por correo
Buenas Melide
Desde hace ya mucho tiempo existen servicios en los que se registran las filtraciones que hay de datos. Por ejemplo, de las más conocidas donde puedes comprobar cualquier correo:
En esencia hacen de índice, comprueban el correo introducido si aparece en algún listado que tengan ellos conocimiento (puede estar en otros que no tengan conocimiento). Por lo general, si estamos listados en algunos de ellos, son servicios/portales en los que en algún momento de nuestra vida nos dimos de alta, usamos, necesitamos... y que en algún momento de la vida de ellos parte completa o parcial de los datos de ese servicio/portal fue comprometido.
En algunos casos las filtraciones de datos de esos sitios fue total, otras veces solo fueron nombres de usuario, otras veces direcciones... depende del servicio y del problema que tuvieron.¿Bien, como impacta esto realmente en el usuario final?
Bueno, pues depende de dos factores fundamentales, y no me refiero a la autentificación de dos factores:
1º. La importancia de la filtración, los datos que se filtraron
2º. En caso de filtración de datos de acceso (usaurio/contraseña), la reusabilidad de las credenciales que suela hacer el usuario por lo general.
Por otra parte, tb importa factores como:
3º. Año de la filtración
4º. Datos e Importancia de nuestros datos en ese lugar.
------------------
Si los datos filtrados no son de acceso, no hay nada que temer. Sólo pues la "mala gracia" de que datos tuyos de otro tipo estén por ahí circulando, pero no tiene ningún impacto en principio en otras cuestiones (en principio)
Si los datos filtrados incluyen usuario, pero no contraseña, o contraseña en hash/cifrada, tampoco tiene un impacto importante, si el hash era "seguro", no van a poder hacer nada con él, se cambia la contraseña por seguridad y listo
Si los datos filtrados incluye datos de acceso completo, usuario/contraseña en texto plano, hay más problemas, cambio automático de contraseña en dicho servicio.
------------------
El otro problema importante es la re-usabilidad. Cuando se recomienda no usar la misma contraseña para todo es en parte por esto. No podemos evitar filtraciones de datos, pero si ocurre una filtración completa donde se expone de forma plana nuestra contraseña, muchos usuarios mal intencionados no solo van a querer usarla para intentar acceder al servicio comprometido (donde fue la filtración), sino que probarán el mismo usuario y contraseña en todo tipo de servicios. Si usas la misma contraseña en otros servicios, por culpa de una filtración en el sitio A, puede verse comprometido el servicio B.
En este caso, en el caso de usuarios que suelan usar su contraseña para todo, es imperativo cambiar la contraseña en todos esos sitios donde tenga la misma. Esto no es capricho, es debido a una mala praxis de reusarlas.
¿Usar o no usar doble autentificación? Bien, yo siempre te voy a recomendar usarla en todo!! Pero por motivos totalmente diferentes. La doble autentificación se debe de ver como una segunda capa de seguridad si la primera falla en un primer momento, pero no como sustituto de lo anterior.
¿Por qué es importante? Imagina que mañana hay una filtración masiva con datos de acceso en plano de Gmail (imposible en principio porque ni siquiera ellos guardan tu contraseña en plano), muchos usuarios mal intencionado se van a dar prisa en intentar aprovecharse de eso y acceder a cuentas de otros. Sí, tienen el usuario y la contraseña pero si el usuario tiene habilitada la doble autentificación, no podrán acceder ni siquiera con la contraseña. Eso posiblemente alertaría al usuario porque Gmail le enviaría un correo/aviso de intento de acceso, lo que le permitiría simplemente cambiar su contraseña de forma segura y sin que nadie haya podido acceder.
Así que, realmente, lo más importante ante una filtración actual es cambiar contraseñas si eran reusables, o al menos la que ha sido comprometida, en el caso de que la filtración incluyese como digo datos de acceso.
Por otro lado, quieres empezar a usar sistemas MFA para los lugares importantes para estar más seguro? Por supuesto, hazlo, es una recomendación!! En todo lo que puedas.
Por desgracia esto tiene algunos inconvenientes:
1º. No todos los servicios pueden usarse con sistemas MFA. El correo, de echo, es uno de ellos. El acceso al correo, además de webmail, se hace a través de POP/IMAP/SMTP, protocolos concretos que tienen decenas de años. Estos sistemas no usan ni pueden usar MFA. En los años actuales, muchos proveedores de correo lo que sí hacen es autentificación por medio de OAUTH, en el que la primera vez que configuras un gestor de correo electrónico, sí tienes que introducir la contraseña real, pero a partir de ahí se usa un token de seguridad, que si es comprometido simplemente se cierra la sesión y listo, sin que nadie pueda conocer tu contraseña.
2º. Los sistemas MFA requieren de "ciertas" molestias. Más seguro sea el sistema, más incordio para el usuario. Así por ejemplo tenemos el sencillo caso de los TOTP, los códigos de tiempo de un solo uso. En su configuración básica, suelen llegar por SMS o correo (requiere por ende que tengan nuestro teléfono en el caso de los SMS). Esto implica que tienes que tener el teléfono al lado y con cobertura. Otra opción son los códigos TOTP generados en aplicación, por ejemplo google Authenticator, lo que ya no requieres de cobertura ni dar el teléfono, pero si tener la aplicación y el site introducido. Un paso más en seguridad son las llaves de seguridad, que hacen uso de WebAuth para autentificarse, por lo general con FIDO/2. Esto es aun más seguro, registras una llave de seguridad, y en vez de usar un código TOTP se solicita la lectura de tu llave.
Dependiendo del servicio que uses, tendrá un modo u otro para poder realizar cualquier sistema de Autentificación Multi factores (MFA), o no tendrá ninguno disponible. En el caso del correo como te digo no lo vas a tener por propia naturaleza. Podrían tenerlo para acceder a webmail, pero nada más, no tendría valor cuando se accede por POP/IMAP/SMTP.
Saludos.
