A la hora de realizar compras por internet o proteger datos importantes de empresa la seguridad es fundamental.
En los últimos años se ha ido experimentando con distintos métodos de seguridad para evitar la violación de esta información privada, pero parece que los hackers más talentosos siguen encontrando pequeñas brechas que generan vulnerabilidades pese a nuestros esfuerzos.
Llegados a este punto la pregunta es sencilla, ¿cuál es el mejor sistema de protección de datos para reforzar la seguridad al máximo? ¿Yubico vs Google Authenticator?
La última versión de Google Authenticator permite el acceso a nuestra cuenta de Google y la sincronización de los códigos de un solo uso en nuestros dispositivos con sistema operativo iOS y Android.
Sin embargo, hay que tener en cuenta que esta sincronización no cuenta con un cifrado de extremo a extremo, lo que implica que Google puede tener acceso a dichos códigos. Por lo que, si se produce una filtración, nuestros datos de acceso corren el riesgo de ser comprometidos.
Se recomienda NO actualizar a esta versión o bien NO activar la sincronización
Autenticación en dos fases (2FA): qué es y cómo funciona
Uno de los sistemas más seguros es la autenticación de dos fases, también conocido como 2FA. Se trata de un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos.
Esto es de vital importancia, ya que evita que ciberdelincuentes roben o destruyan tus datos de registros internos o que accedan a ellos para su propio uso.
Ventajas de la autentificación en dos pasos (2FA)
Una de las ventajas de este tipo de autentificación es que no es necesario el uso de hardware externo, aunque como veremos más adelante, algunas compañías prefieren combinar ambos métodos para fortalecer aún más la seguridad.
Además, los códigos que se generan mediante este proceso cambian cada 30 segundos, por lo que es mucho más difícil rastrearlos y utilizarlos en una franja de tiempo tan corta. Por último, es fácil de utilizar y cómodo por parte del usuario, ya que se gestiona todo desde tu propio Smartphone.
Tipos de autentificación en dos fases (2FA)
Aunque son muchas las empresas que ofrecen este tipo de servicios, cada una de ellas lo lleva a cabo de forma diferente, intentando pulir los pocos defectos que ya de por si tiene este tipo de sistema de seguridad.
En esta ocasión nos centraremos en dos de ellas. La primera es Google Authenticator, que apuesta por el uso exclusivo del software y la app en tu teléfono móvil. El otro es Yubiko, con un enfoque que combina el uso de software con una app en tu teléfono móvil y hardware con una llave física especial que se conecta vía USB a tu teléfono o PC.
Pero, ¿cómo funcionan realmente estas aplicaciones y cómo se generan los códigos aleatorios?
Generador de códigos, riesgos y precauciones
Obviamente, lo primero que tendremos que hacer es descargar la aplicación directamente en nuestro teléfono móvil. Una vez tengamos acceso, deberemos escanear un código QR o copiar un código concreto.
Es de vital importancia que hagamos una copia de seguridad del código QR y del numérico, ya que será la única forma de volver a tener acceso si perdemos nuestro teléfono móvil. Con uno de los dos códigos copiados, podremos vincular sitios web concretos con la app de nuestro teléfono.
De esta forma, siempre que queramos acceder nos pedirá una serie de códigos que se irán generando de forma aleatoria cada 30 segundos. Poniéndoselo realmente difícil a los ciberdelincuentes.
Aunque hay varias compañías que ofrecen este sistema de protección a sus clientes, cada una tiene sus propias ventajas y desventajas, veamos las de Google Authenticator y Yubiko.
Ventajas y desventajas de Google Authenticator
¿Cuáles son los puntos fuertes de Google Authenticator?
Además de poder sincronizarlo con nuestra cuenta de Google y usar los códigos de acceso en diferentes dispositivos, tenemos más fácil poder recuperarlos en caso de pérdida o robo de nuestro dispositivo.
También hace posible crear una copia de seguridad automática al poder sincronizar Google Authenticator.
Otra de sus ventajas es la ausencia de hardware, es decir, que no necesitarás ningún dispositivo adicional parecido a un USB para acceder. Muchos usuarios consideran esto una ventaja, ya que ese pequeño dispositivo puede averiarse, perderse o incluso ser robado, lo que causaría un daño aún mayor.
Si eres una persona con tendencia al despiste o poco cuidadosa, será una gran ventaja para ti carecer de hardware.
Otro aspecto positivo que no podemos olvidar es que se trata de Google, una de las empresas más grandes y potentes del mundo.
Lo que implica esto es que tienen un gigantesco equipo de personas especializadas en detectar y prevenir los intentos de robo virtual, la extracción de información privada y no comprometer la seguridad de sus usuarios.
Garantías que pocas empresas pueden ofrecer en comparación, ya que requiere de ingentes cantidades de personal humano, un rasgo con el que prácticamente ninguna otra empresa dedicada a este sector puede competir.
¿Qué es lo peor de Google Authenticator?
Este sistema de protección de Google también cuenta con varias desventajas muy a tener en cuenta, y aunque la transferencia de códigos a nuevos dispositivos ya quedó resuelta, aún existen puntos importantes que el gigante aún debe solucionar.
La principal desventaja, como te comentábamos al principio de este post, es que al no contar con cifrado de extremo a extremo, Google tiene acceso a esa sincronización de tus claves en tu cuenta y dispositivos. Por lo que, en caso de filtración, tus datos quedarán expuestos.
También debes tener en cuenta que si Google tiene acceso a ellos, puede utilizarlos para sus anuncios personalizados.
Algunos usuarios se conectan a las redes que desean proteger con una frecuencia baja, por lo que muchos optan por descargar la aplicación para proteger debidamente sus accesos y después la desinstalan.
Al hacerlo, piensan que aún están protegiendo su información más sensible y, además, están ganando un “extra de protección” al eliminar la app de su teléfono por si se lo roban.
Esto es un grave error, ya que al eliminar la aplicación de tu móvil, también estás perdiendo el acceso a los códigos que se generan aleatoriamente cada 30 segundos, sin oportunidad de recuperarlos aunque vuelvas a instalarla nuevamente.
Como la información que intentamos proteger con esta aplicaciones es tan importante, te recomendamos encarecidamente que no tomes ningún tipo de decisión sin estar absolutamente seguro, ya que podrías comprometer tu acceso más adelante.
Protegerse contra robos de datos y cuentas es una sabia decisión, pero debes recordar que tu peor enemigo eres tú mismo, especialmente si no hiciste una copia de seguridad o tomaste una mala decisión irreversible.
Ventajas y desventajas de Yubiko
En qué destaca especialmente Yubiko
Antes de empezar a mencionar las ventajas de Yubiko, debes entender que el sistema de protección que propone es bastante diferente del de Google Authenticator.
Aunque también utiliza una aplicación móvil que genera códigos aleatorios de acceso a tus datos más valiosos, incorpora un componente hardware. Se trata de una llave física similar a un dispositivo USB que se conecta de forma directa con tu teléfono móvil o PC.
Ni la aplicación por si sola ni la llave física por separado son capaces de generar los códigos, solo ambas sincronizadas a la vez son capaces de generar los códigos de acceso, que de igual manera tendrán una duración de tan solo 30 segundos.
Esto genera una protección adicional, ya que los códigos solo se generan cuando ambas funciones están activas y no de forma constante como sucede con otros sistemas de protección. Si ya el sistema de autentificación en dos fases se lo pone difícil a los ciberdelincuentes, con este proceso es aún más complicado.
De cara a un robo físico de tu teléfono móvil también estaremos cubiertos. Por muy astuto que sea el ladrón que se haga con nuestro teléfono, no tendrá nada sin la llave física que permite generar los códigos de acceso.
Puede que sepa que tenemos inversiones, activos digitales e información valiosa de empresa, pero no sabrá exactamente qué tenemos, cuánto tenemos ni tendrá acceso de ninguna forma.
En caso de que en el momento del robo lleves la llave contigo, no dejes que la descubra por nada del mundo y si lo hace, destrúyela en el acto (solo si tienes disponible otra en casa, tal y como recomienda la propia web de Yubiko)
Si quieres cambiar de teléfono móvil, puedes estar tranquilo, ya que solo tendrás que descargar la aplicación en tu nuevo teléfono y conectar la llave cuando te lo indique la app de forma normal.
De esta forma te ahorras tener que transmitir los códigos a tu nuevo dispositivo tal como pasa con la aplicación de Google, ya que se generan en el momento en el que abres Yubiko en tu teléfono y conectas tu Yubikey.
Cuáles son las desventajas de utilizar Yubiko
Al utilizar un sistema basado parcialmente en un dispositivo físico (Yubikey) corremos el riesgo de estropear los lectores de nuestra llave, impidiéndonos una lectura correcta del dispositivo, la generación de los códigos aleatorios y el acceso a nuestros datos.
Como mencionamos antes, tu peor enemigo eres tú mismo, así que intenta cuidar tu llave. Rozamientos, caídas desde el bolsillo, golpes accidentales, pérdidas de cualquier tipo o incluso dejarla expuesta durante horas al fuerte calor del verano podría amargarte el día.
Otra de las desventajas de utilizar Yubiko es que el equipo de personas que está detrás de ofreciendo soporte no es tan amplio con el de Google, y por tanto, no tienen la capacidad suficiente para frustrar las malas intenciones de la gente que intenta acceder a tus datos de forma ilegal.
Y para finalizar, la última desventaja de utilizar Yubiko como sistema de protección, es la compra obligatoria de tu llave física (Yubikey), suponiendo un desembolso de dinero adicional. El precio del Yubikey es de 45 euros, pero la marca recomienda la adquisición de al menos dos para evitar daños mayores en caso de robo, pérdida, rotura o malfuncionamiento.
Conclusión final
Aunque ambos sistemas parecen que ofrecen una protección lo suficientemente elevada, hay diferencias que pueden hacer que te decantes por uno antes que otro. Sin embargo, es más bien el tipo de usuario que seas lo que probablemente determine cuál escojas.
Si eres un tipo de persona más despistada y algo menos cuidadoso, Google Authenticator es para ti. Al no utilizar un dispositivo físico, te asegurarás de no olvidarlo o romperlo de ninguna forma.
En cambio, si eres una persona cuidadosa, meticulosa y que antepone la máxima seguridad ante todo, Yubiko es tu mejor opción, aunque suponga un desembolso extra de dinero al tener que comprar un par de Yubikeys.