Para acceder a nuestros servicios en línea favoritos necesitamos pasar una verificación de identidad que normalmente se basa en un usuario y una contraseña, de esta manera se certifica que somos la persona que decimos ser y no un impostor. Este sistema de identificación en “algo que conocemos” que es un usuario y una contraseña, la desventaja de este sistema es la capacidad humana de crear y retener todos los usuarios y contraseñas para los diferentes servicios al final se termina repitiendo las mismas credenciales en todos los portales, lo que genera una vulnerabilidad. La incorporación de doble o múltiples factores de autenticación son una solución para este tipo de problemas donde pasamos de “algo que conocemos” a “algo que tenemos” como una llave USB, un token digital o nuestra huella dactilar.

¿Qué es la autenticación de doble o múltiple factor?
Como lo indica el nombre el doble o múltiple factor de autenticación es una alternativa complementaria al estándar de usuario y contraseña para identificar al usuario, lo cual genera una capa extra de seguridad y elimina el factor de tener que recordar todas las contraseñas. Este complemento se asegura que el usuario no solo conoce la contraseña para acceder al servicio, sino que además es quien dice ser aportando en el proceso de inicio de sesión, un código, por ejemplo, sobre algo que solo él usuario posee, dicha información puede obtenerse de varias formas

1. A través de una llamada o SMS enviado por el servicio
2. Haciendo uso de una tarjeta inteligente, token físico o virtual
3. Utilizando un dispositivo biométrico

Las llamadas o mensajes de texto con un código temporal generado por el servicio es una de las primeras formas de autenticación con la limitación en muchos casos de enfocarse en una zona geográfica, el uso de un token virtual se ha hecho cada vez más común y ha demostrado ser una solución bastante efectiva, hay aplicaciones de autenticación hechas para esta tarea en especifico como Google Autheticator y Authy, las cuales mediante un código QR que genera el servicio de autenticación puedes generar los token temporales que se renuevan automáticamente cada 30 segundos, los dispositivos biométricos son usados en servicios más críticos como lectores de huellas, lectores de oculares y faciales, estos están diseñados para realizar la verificación de manera presencial y son usados normalmente en servicios bancarios y de salud, aunque con la nueva integración de lectores de huellas en los teléfonos inteligentes son aprovechados cada vez más por todo tipo de aplicaciones.
En los procesos de doble verificación, el primer factor suele ser una contraseña que conocemos y que hemos creado nosotros, mientras que el segundo factor suele ser un código aleatorio generado por un “token” de autenticación, por un dispositivo externo, por una app instalada en nuestro smartphone o equipo, o por verificación biométrica.
​
El procedimiento es muy sencillo:

1. Accedemos a la pantalla de inicio de sesión del servicio.
2. Insertamos nuestro usuario y contraseña (lo que ya conocemos).
3. Se nos pide confirmación de autenticación por medio de un código que recibimos en un token (lo que tenemos).
4. Y finalmente, también pueden pedirnos un tercer factor a través de un dispositivo biométrico, por ejemplo, nuestra huella dactilar (lo que somos).

 Todos los servicios importantes en línea ofrecen múltiples factores de autenticidad que agrega capas extra de seguridad y nos permiten estar más seguros.

Si te gusto este post, comparte la información con quien más lo necesite.  

Hoy hablaremos de las brechas de seguridad, cómo puede afectar el mundo digital, como saber si has sido expuesto y que hacer para protegerte.

Todos utilizamos cuentas de correo de proveedores como Google, Apple y Microsoft entre otras, en las cuales almacenamos una cantidad de información importante y muchas veces sin saber. Estas cuentas están asociadas a nuestros dispositivos personales como smartphone, relojes inteligentes y cualquier dispositivo que podamos enlazar una cuenta de correo y a su vez conectamos con múltiples servicios, redes sociales y cualquier aplicación en nuestros dispositivos, de esta manera tú información va expandiéndose a través de esta red que tú mismo armas. Al final creas un ecosistema donde todo está conectado y es muy conveniente para ti, porque facilita las acciones de tu día a día a un punto donde empiezas a depender de este ecosistema. Seguramente alguna vez has olvidado la contraseña de algún sitio web que usas esporádicamente y recurres al explorador que guarda las contraseñas por ti o un servicio que usas con frecuencia como Instagram el cual se te ha olvidado la contraseña porque nunca cierras sesión y necesitas hacer log in en otro equipo, entonces recurres al correo que tienes asociado a la cuenta, posiblemente un correo de Google y así tienes todos tus servicios, redes sociales y más conectados unos a otros de alguna forma. 

¿Pero qué pasa cuando uno de estos sitios es atacado por alguna vulnerabilidad y logran robar información como usuarios y contraseñas? Supongamos que existe una vulnerabilidad en una red social como LinkedIn que utiliza millones de profesionales alrededor del mundo, que tienen una basta información personal de los usuarios como correo, contraseñas, teléfonos, direcciones, trabajos y más.

¿Qué pueden hacer con esa información?

Con esa información los ciberdelincuentes pueden hacer muchas cosas como estafas haciéndose pasar por entidades de confianza como un banco o algo por el estilo, pueden robar tu identidad y utilizarla para actos ilícitos o podrían tratar de tomar control de tu cuenta personal y de todo tu ecosistema.

En los últimos años se ha popularizado un correo electrónico de estafa (Phishing) en el cual te envían un correo que dice “Conozco tu contraseña y es…” y te mencionan una contraseña que ciertamente es tuya, la has usado en algún sitio, puede ser que se antigua pero aun así es una contraseña legitima que has usado, en dicho correo te mencionan cosas como “Me he infiltrado en una página porno que visitaste a la cual he conseguido hackear tu equipo, tome fotos con tu cámara web y la tengo en mi poder” y tratan de amenazar, piden un pago para que destruyan la información seguramente a través de Bitcoin para que sea anónimo. Esto no es más que un correo malicioso que utiliza la información obtenida de esas brechas de seguridad para tratar de estafar a las personas.

Estas brechas de seguridad no son comunes, ¿Cierto?
​
Lamentablemente son más comunes de lo que crees, acá te dejo el link de una pagina web que recopila las brechas de seguridad de la última década, qué información fue expuesta y toda la información que necesites.
https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
​

​Seguramente te vas a sorprender la magnitud de las brechas de seguridad y que tan delicada ha sido la información que se ha hackeado.
 
También tienen un segmento de las contraseñas mas utilizadas, si la tuya esta aquí, cámbiala de inmediato
​
https://informationisbeautiful.net/visualizations/top-500-passwords-visualized/s

¿Cómo se si mi cuenta ha sido expuesta?

Existen páginas web de consulta en la que puedes comprobar si tu cuenta en algún momento ha sido expuesta, por cual servicio, en que año y que información. Lamentablemente los servicios que son vulnerados no informan a sus usuarios de brechas de seguridad, por lo tanto, pueden pasar muchos años antes de que te enteres de que tus datos han sido hackeados y que eres vulnerable.
​
https://haveibeenpwned.com/ es una pagina que recopila estas brechas de seguridad y puedes consultar si tu correo ha sido expuesto de una forma u otra y que información ha sido tomada.

​¿Qué hacer en estos casos?

Si tu cuenta ha sido expuesta, te recomiendo que cambies la contraseña de tu correo al menos 8 dígitos con números, letras y caracteres especiales, no utilices fechas ni nombres que se puedan asociar a ti, de esa manera será una contraseña más segura, activa el segundo factor de autenticación en tu cuenta de correo y en todos tus servicios, el segundo factor o 2FA es un método de validación el cual implica tu contraseña habitual más una contraseña temporal que emite la entidad a la cual quieres acceder y te la hace llegar por un mensaje de texto, una llamada telefónica, una aplicación que genera un token como Google Authenticator y Authy entre otras, esto genera una segunda capa de seguridad. También te invito a que revises los ajustes de seguridad de tu cuenta y seguro encontrarás algunas cosas bastante curiosa, por ejemplo en Google tiene un apartado de seguridad en el cual puedes revisar si tienes alguna vulnerabilidad, los métodos por los cuales puedes iniciar sesión, como verificar tu identidad, los medios de recuperación de contraseña, los dispositivos asociados a tu cuenta y las aplicaciones que tienen acceso a tu información, incluso puedes revisar todas las contraseñas que has guardado en Chrome, si han sido expuestas o si están duplicadas. Recuerda que tú eres el que administra estas configuraciones. Si has sido víctima de alguna estafa o hackeo de redes sociales te aliento a que tomes estas medidas de seguridad y las pongas en práctica.

Esto es todo por este post si tienes dudas o algún comentario siéntete libre de hacérmelo llegar en la sección de comentarios acá abajo, comparte si te fue útil y recuerda que la información es de todos.

​Brave es un navegador gratuito que se enfoca en la privacidad bloqueando publicidad y rastreadores, también mejora las conexiones HTTP pasándolas a HTTPS de manera automática, tiene características únicas que vale la pena probar.  Personalmente he usado este buscador en las ultimas semanas y ha funcionado muy bien.

Puedes personalizarlo a tu manera, unas de las cosas que más me gusta es el contador de anuncios y rastreadores bloqueados, al igual que la mejoras HTTPS que ha hecho  y los minutos que te ha ahorrado.

Usa Chrome por debajo de una capa personalizada, por lo tanto, la experiencia con otros buscadores es muy similar, siempre te va a mostrar en un pequeño escudo lo que esta bloqueando y si tu quieres puede desbloquearlo. Adicionalmente puede abrir TOR como una ventana privada sin ninguna herramienta extra, puede ser un poco lento, pero es normal por el tipo de conexión que usa TOR. 

Brave te deja bloquear ads directo en el buscador, pero si quieres algo que funcione en toda tu red te recomiendo Pi-Hole, si quieres saber más de ese proyecto solo haz click aquí.

En resumen, Brave es un excelente buscador que tiene incorporado muchas herramientas que sin duda te ayudaran en el día a día.  Si te gusto este post por favor compártelo.