Sólo uno de cada diez usuarios utiliza la verificación en dos pasos, ¿por qué es una mala noticia?

Sólo uno de cada diez usuarios utiliza la verificación en dos pasos, ¿por qué es una mala noticia?

Google asegura que menos del 10% de los usuarios de Gmail utiliza la verificación en dos pasos. Un problema enorme que no tiene solución cercana.

Hoy es un día de malas noticias para la seguridad de nuestras cuentas. Según datos de Google, menos del 10% de los usuarios de Gmail utilizan verificación en dos pasos o 2FA. Es decir, 1 de cada 10 usuarios protege su cuenta con algo más que una contraseña, ya sea un token autenticador, una llave de seguridad o un mensaje de verificación.

Esto quiere decir que 9 de cada 10 usuarios, la inmensa mayoría de usuarios de Gmail, sólo protegen su cuenta con una contraseña. Esto significa que, si un hacker o un atacante se hace con la contraseña, tendría acceso completo y sin límites a la cuenta. Un auténtico peligro que no tiene ninguna solución cercana.

Menos del 10% de usuarios de Gmail tienen 2FA

Estos datos vienen desde el Enigma 2018, una conferencia de seguridad y privacidad informática que se celebra todos los años en Estados Unidos. En este evento Grzergor Milka, ingeniero de software en Google, ha explicado cuál es la anatomía de un ataque a una cuenta de Gmail.

Y en ella ha desvelado este dato: menos de un 10% de los usuarios activos de Google tiene la verificación en dos pasos activada. Las cifras no mejoran mucho cuando hablamos de gestores de contraseñas; sólo un 12% de los usuarios estadounidenses los llegan a utilizar.

Esto es un grave problema cuando hablamos de accesos no autorizados a cuentas de Gmail. Según Milka, los ataques a los usuarios siempre siguen un patrón:

  1. Se conecta un nuevo dispositivo, nunca conectado hasta ahora
  2. El correo de notificación de un nuevo dispositivo se borra
  3. En algunos casos el atacante revisa los correos, buscando carteras de Bitcoin o fotos íntimas
  4. Se exportan todos los contactos de la cuenta
  5. A todos estos contactos se les envía un correo con enlaces a virus
  6. Se crea un filtro que lleve a la basura todos los emails que contengan la palabra “hackeado”
  7. El atacante se desconecta

Sabiendo cómo actúan los hackers que acceden a cuentas, Google está mejorando sus protocolos para detectar este comportamiento y pararlo mientras se produce. De esta forma, los creadores de Gmail intentarían mitigar los ataques y parar su expansión.

¿Por qué es importante la verificación en dos pasos?

cambiar-pass-contrasena

Es un error pensar que la verificación en dos pasos es una protección más, como una contraseña. Lo malo de las contraseñas es que tendemos a repetirlas, a usar unas pocas para muchos servicios o incluso una sola. O que también se filtran, o que nos la roban a través de phising. Y aquí es donde entra la verificación adicional.

La verificación en dos pasos es la única barrera que protege nuestros datos en esos casos. No es como una contraseña, es un seguro para cuando metemos la contraseña falla. Por ello es tan importante tenerlo activado en nuestras cuentas y dispositivos, porque es una protección útil cuando alguien más tiene nuestra clave de acceso.

Un fracaso para la verificación, pero no definitivo

Que la verificación en dos pasos haya conseguido apenas un 10% de usuarios es un fracaso. Y esto no va a cambiar a corto plazo. Cuando The Register preguntó a Grzegorz Milka por qué Google no hacía obligatoria la verificación en dos pasos, achacó el problema a la usabilidad. “A cuántos usuarios echaríamos si les forzamos a usar seguridad adicional“.

El verdadero problema es que las contraseñas estáticas ya no son una forma segura de proteger nuestras cuentas. Además de las filtraciones de información, existen muchos métodos para robarnos la contraseña. Desde un inocente correo que nos engaña hasta un espía en nuestro ordenador. Y un atacante ya puede acceder sólo con que tenga la contraseña.

Por ello es tan importante que existan medidas de seguridad adicionales, como la verificación en dos pasos. Pero, mientras no se lleve mejor a los usuarios, seguirá sin ser adoptada por la mayoría. Puede que fuese una molestia al principio, pero la seguridad que ganaría nuestra cuenta en el proceso valdría la pena.

Lo único que podemos hacer es animaros a que vosotros mismos activéis la verificación en dos pasos. En Two Factor Auth List podéis ver una lista de todos los servicios que lo aceptan. Y podéis activarlo en vuestra cuenta de Google siguiendo estas instrucciones.