Google acaba de anunciar una nueva herramienta de seguridad para los usuarios de sus servicios, tanto personales como empresariales. A partir de este martes, será posible usar una llave física para autenticarse y acceder al correo, calendario u otros productos de la compañía. Con esto, según Antonio Fuentes, gerente de producto en el área de identidad en Google, “se disminuye mucho el riesgo de ‘phishing’ y las cuentas son muchos menos vulnerables“.

La autenticación en dos pasos es un procedimiento que hace que los servicios web le pidan al usuario una segunda credencial luego de que digita su ‘login’ y su contraseña. Normalmente, lo que se ingresa es una clave que se recibe por medio de una llamada telefónica o un mensaje de texto. La novedad es que este segundo paso se puede hacer por medio de la llave, que se conecta al puerto USB del computador.

Cada llave tiene “una firma criptográfica especial“, explica Fuentes, la cual se desbloquea solamente cuando el navegador detecta la presencia física del dispositivo. Está basada en un protocolo llamado U2F, de código abierto y desarrollado por una alianza llamada FIDO, de la que Google forma parte junto con empresas como Lenovo, Samsung o el Bank of America.

Por ahora, solo funciona en sitios de Google y con Chrome (versión 38 en adelante) en cualquier sistema operativo de PC, lo que la hace prácticamente exclusiva para computadores. Aunque su activación en Google es gratuita –y aquí encuentra una guía para configurarla en sus cuentas, si lo desea–, sí requiere de la compra de una llave compatible con el estándar U2F, que vale entre 10 y 20 dólares aproximadamente. Fuentes recomienda adquirirla específicamente con proveedores autorizados, como Amazon: una llave fraudulenta le daría acceso a un atacante a toda su información. Google Colombia nos informó que, actualmente, no hay proveedores locales para adquirir las llaves.

Es una medida opcional. Si lo prefiere, el usuario podrá seguir utilizando las contraseñas y procesos de autenticación en dos pasos –si los tiene– que usa hoy.

La gran ventaja de la verificación en dos pasos es que es una protección prácticamente infalible contra las formas más usuales de ‘phishing’, una maniobra que busca que el mismo usuario le entregue al atacante su nombre de usuario y contraseña, normalmente pidiéndoselos por medio de una página de ingreso falsa. Aun cuando un usuario malicioso tenga las claves, el segundo factor de autenticación le impide el acceso.

El ‘phishing’ es una técnica bastante común porque no requiere grandes conocimientos técnicos, ni burlar la seguridad de los servicios. Según Apple, este fue el tipo de ataque usado para robarles fotos íntimas a decenas de celebridades en las últimas semanas.

Imagen: W.Milz (vía Shutterstock)