La autenticación o verificación en dos pasos (también conocida como 2FA, del inglés Two-Factor Authentication) es el proceso por el cual se utilizan dos métodos diferentes para iniciar sesión en una cuenta digital, lo que permite a los periodistas proteger mejor la información que contiene. En este artículo, Reporteros Sin Fronteras (RSF) describe los diferentes tipos de verificación en dos pasos y cómo pueden aumentar la seguridad digital de los profesionales de los medios.
La autenticación en dos pasos (2FA) es una configuración de seguridad que requiere, además de la contraseña habitual, un segundo paso de verificación para iniciar sesión en una cuenta digital, como un código PIN enviado por mensaje de texto o correo electrónico. Se trata de una forma de protección más sólida, ya que, incluso si alguien tiene acceso a la contraseña, no puede iniciar sesión sin completar el segundo paso de verificación.
Para los periodistas, perder el acceso a sus cuentas en Internet puede significar perder su trabajo y sus pruebas, así como comprometer potencialmente la seguridad de sus fuentes y otros contactos. Por lo tanto, se recomienda activar la 2FA en todas las cuentas digitales que tengan esa opción, es decir, en la mayoría de los servicios más populares, como Google, Facebook, Slack y X (Twitter).
Al utilizar la 2FA junto con un gestor de contraseñas –una herramienta que facilita el uso de contraseñas únicas y complejas–, los periodistas pueden alcanzar un nivel muy alto de seguridad digital. Además, el uso de diferentes tipos de 2FA para diferentes cuentas digitales también reduce la probabilidad de que se vea comprometido uno de los métodos. A continuación, detallamos las modalidades de verificación en dos pasos más utilizadas.
1) Uso de un número de teléfono para recibir un código de inicio de sesión por SMS
Este es probablemente el tipo más común de 2FA. Las plataformas solicitan un número de teléfono al usuario y, cada vez que éste inicia sesión con su contraseña, recibe un SMS a ese número con un código para verificar la identidad. Esto impide que cualquier persona que no tenga acceso al teléfono del usuario pueda iniciar sesión. Algunas personas pueden mostrarse reacias a facilitar su número de teléfono a aplicaciones y sitios web, pero se trata de una idea errónea muy extendida. Por otra parte, existen aplicaciones generadoras de códigos y sistemas de identificación físicos que permiten habilitar la 2FA sin necesidad de facilitar un número de teléfono.
2) Utilizar la aplicación móvil de los proveedores para verificar al usuario
Algunas plataformas, como Google o muchos servicios bancarios, tienen su propia aplicación. Si un periodista tiene la aplicación móvil instalada en su teléfono y alguien intenta iniciar sesión en su cuenta a través de un ordenador, aparecerá una notificación en su teléfono, ya que la 2FA le pedirá que abra la aplicación móvil para confirmar si el intento de inicio de sesión es suyo.
3) Utilizar una aplicación generadora de códigos
La verificación en dos pasos también puede adoptar la forma de un código QR que se escanea durante el proceso de inicio de sesión y que redirige al usuario a una “aplicación generadora de códigos” en su teléfono con una cuenta que es única para él. Estas aplicaciones generadoras de códigos, o aplicaciones de autenticación como Google Authenticator o LastPass, son herramientas que generan continuamente códigos PIN únicos y temporales que sirven como segunda credencial después de la contraseña.
4) Uso de una llave física: el “segundo factor universal” (U2F)
Este método es nuevo y más seguro. Los periodistas pueden configurar una unidad USB o un dispositivo NFC (Comunicación de Campo Cercano) inalámbrico, como un reloj inteligente o un teléfono inteligente, para que sirva como un método físico de autenticación en dos pasos. Se denomina “segundo factor universal” (o U2F, por sus siglas en inglés) y utiliza la misma tecnología que los pagos contactless, que solo se activan mediante el contacto cercano con un dispositivo. En este caso, la llave USB o el NFC deben estar conectados o dentro del radio de alcance cuando el usuario introduce su contraseña, o el inicio de sesión no funcionará. Este método aún no está muy extendido, pero Google, Facebook y Dropbox lo ofrecen.