Olvide el SMS: estas son las mejores apps para verificar su identidad en internet | Tu Tecnología | El País

Twitter anunció por sorpresa hace unos días que va a empezar a cobrar a sus usuarios por contar con la verificación en dos pasos mediante mensaje de SMS. Esta capa de seguridad adicional implica usar un segundo método de cara a acceder a un servicio de una red social o cuenta de correo electrónico; esto es, que si un usuario quiere acceder a su cuenta en Twitter desde un móvil u ordenador que no sea el habitual, será necesario confirmar el acceso mediante un SMS enviado al móvil. Es una de las maneras más sencillas para evitar el hackeo de una cuenta.

En la verificación en dos pasos (también conocida como 2FA, por sus siglas en inglés), existen varias formas de identificar al usuario: mediante ese mensaje de texto que se envía al móvil, o bien a través de un código temporal generado por una aplicación. Twitter ha confirmado ahora que solo los suscriptores de Blue, su versión de pago, podrán seguir haciendo uso de los SMS como método de validación; pero sí se mantiene gratuita la segunda opción, la verificación mediante app.

Paradójicamente, los expertos convienen en que la segunda es mucho más segura que el empleo de SMS, debido a la creciente amenaza de la suplantación de identidad mediante un duplicado de SIM. El propio Elon Musk, dueño de Twitter, lo recordó: los SMS son el método menos seguro de 2FA. ¿Cuáles son, entonces, las mejores aplicaciones para blindar el acceso a Twitter y otros servicios en la red?

Authy

Authy ha sido una de las aplicaciones más mencionadas estos días en redes como alternativa al SMS, y no por puro azar: esta aplicación es la que reúne las mejores valoraciones por parte de los usuarios.

Esta popular aplicación permite generar códigos temporales que sustituyen al SMS (muy recomendado, más allá de reducir la posibilidad de un ciberataque, debido a que no necesita estar conectada a internet). En realidad, son varias las aplicaciones que cumplen este cometido, pero Authy logra integrar la función en una interfaz muy sencilla, con posibilidad de proteger el acceso de forma biométrica (empleando el rostro o la huella, dependiendo de lo que permita el dispositivo), y de forma totalmente gratuita. ¿Sin entrega de datos a cambio? En efecto, Authy lo explica: su mercado se encuentra en las empresas, que son las que, a la postre, financian este producto totalmente gratuito.

1Password

Si bien existen numerosas aplicaciones —como Authy— consagradas únicamente a la generación de códigos temporales para la 2FA, otras aplicaciones más complejas incluyen, además, la gestión de las contraseñas. Esto es, permiten general y almacenar las contraseñas de diferentes cuentas, de forma que incluso el usuario no llegue a conocerlas al introducirse de forma biométrica. 1Password es, junto con Lastpass, una de las viejas conocidas en el mercado, y que mantiene un expediente impoluto en materia de seguridad.

La generación de códigos 2FA (los que se emplean en sustitución de los SMS), es solo una parte más de una genial aplicación que gestiona y almacena las distintas contraseñas. A diferencia de Authy y al ofrecer más funciones, esta aplicación multiplataforma es de pago, pero ofrece una integración total en las diferentes plataformas y navegadores. De esta manera, cuando se acceda a un servicio, se podrá invocar el usuario y contraseña tanto desde el móvil como desde el navegador sin necesidad de cambiar de aplicación.

iCloud

Apple siempre ha hecho de la privacidad su bandera, y por este motivo ha evolucionado su función Llavero, integrada en iCloud, incorporando la posibilidad de generar códigos temporales (2FA). De esta manera, los usuarios del ecosistema pueden añadir contraseñas temporales que serán sincronizadas a través de iCloud en el resto de los dispositivos. Los de Tim Cook incorporan esta función de forma totalmente gratuita, con lo que puede ser una sólida opción para quienes utilicen un iPhone, Mac o iPad. Los californianos suelen llevar en el pecado la penitencia y como punto en contra, una excesiva integración de Llavero en el sistema lo convierte en poco intuitivo a la hora de editar, modificar o añadir una contraseña temporal.

Al igual que sucede con 1Password, Llavero de Apple permite almacenar y generar contraseñas, además de soportar los códigos temporales de acceso.

Google Authenticator / Microsoft Authenticator

Google fue, junto con Microsoft, de los primeros grandes en apostar por la verificación en dos factores, desarrollando sus respectivas aplicaciones para generar códigos temporales. Presentamos las dos aplicaciones juntas, puesto que ofrecen básicamente la misma funcionalidad, pero Microsoft ha sabido tomar la delantera incorporando funciones adicionales de gran valor. Así, mientras que en la app de Google no es posible configurar ninguna contraseña ni biometría de acceso (con lo que, cualquiera que tenga acceso al móvil, lo tendrá también a los códigos), Authenticator de Microsoft cierra el acceso a todo usuario que no sea el propietario.

La potente app de los de Redmond, totalmente gratuita, ofrece interesantes mejoras en cuanto al usuario, como lo que han bautizado como “autenticación sin contraseña”, consistente en una ventana de notificación en un dispositivo vinculado, con lo que con un solo toque se puede acceder al servicio. La app de Microsoft permite asimismo el autorrellenado de contraseñas, que pueden ser introducidas automáticamente desde el navegador.

Yubico

Por último, y para quienes deseen una protección de alto nivel en sus cuentas, la alternativa más segura en la verificación en dos pasos consiste en emplear una llave física. En este sentido, la firma Yubico se dedica a combinar la 2FA con llaves tipo pendrive que incluyen una autenticación biométrica; esto es, en una configuración inicial de la cuenta, el usuario deberá tocar con el dedo la llave y el sistema generará un código temporal. Toda esta información se almacena cifrada en la nube y el sistema soporta los principales servicios (Facebook, Google, Dropbox…). Yubico ofrece varios tipos de llaves (con conector USB-C y Lightning, y también inalámbrico mediante NFC). La incorporación de un elemento físico añade, sin duda, una capa de seguridad adicional, si bien el proceso de autenticación (se hace una vez por dispositivo; no es necesario requerir la llave cada vez que se acceda al servicio) es más tedioso.

Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.

Enlace a la fuente