El logo de Google en una alfombra en las oficinas de la compañía en París; en seguridad, estamos cerca de tocar el piso, y los usuarios ahora deben emplear técnicas que 15 años atrás solo necesitaban los altos ejecutivos de las corporaciones multinacionales
El martes me llegó la primera de las que presumo serán muchas consultas de este tipo. Un amigo me mandó por WhatsApp una captura de pantalla acompañada de una pregunta que sonaba alarmada, como mínimo. En la captura, Gmail le avisaba que pronto iba a tener que iniciar sesión con la verificación de dos pasos.
Por supuesto, en medio del desastre de seguridad informática que estamos experimentando, lo primero que piensa el usuario más o menos sensato es que un aviso de este tipo es alguna clase de trampa. No obstante, el mensaje de Google intenta evitar una de las señas particulares de todo ataque de ingeniería social. Esto es, la urgencia. Te dice que podés dejarlo para más adelante, no te apura.
Pero incluso así, si no estás siguiendo las noticias de tecnología con una minuciosidad casi obsesiva, el aviso asusta. Es lo que le pasó a este buen amigo mío, con lo que supe que lo que oportunamente habíamos publicado en el canal tecnología empezaba a llegar a los usuarios locales. Es decir, que la autenticación de múltiple factor va a ser obligatoria para los usuarios de Google. ¿Por qué? Porque ya no alcanza ni siquiera con una buena contraseña. Dado que los piratas las roban de a millones (de a cientos de millones, para ser más preciso) es menester complicarles más la vida para mejorar la seguridad de una cuenta.
Lo que lleva al aviso que mete miedo. Pero, hay que reconocerlo, no había muchas opciones mejores. Además, la principal preocupación que a los veteranos de la Red se nos cruza por la cabeza no tiene que ver con que el aviso sea una trampa (eso también, desde luego, pero es un asunto relativamente fácil de descartar), sino con la privacidad. ¿A partir de ahora va a ser imposible usar una cuenta de Gmail sin tener que dar un número de celular?
Más o menos
La respuesta corta es no. No hace falta poner un número de teléfono. La respuesta larga es que el celular es un dispositivo demasiado insidioso para que la privacidad tenga alguna posibilidad de sobrevivir en un aparato que tiene, para empezar, un identificador único independiente del número de teléfono. Volveré sobre el tema al final.
Dejando de lado la privacidad, sí es cierto que a los que no se sienten cómodos con las cosas técnicas la movida de Google les va a complicar la vida. ¿Cuánto? Dependerá de cada caso. Me temo que en algunos escenarios va a ser inviable; aunque no es menos cierto que, dada la negligencia generalizada de las organizaciones respecto de la seguridad informática, tarde o más temprano todos los proveedores de servicios de correo, redes sociales y demás van a tener que adoptar una estrategia similar. Hace 15 años, cuando empecé a alertar sobre la tormenta de seguridad informática que se venía, los únicos que usaban autenticación de múltiple factor eran los altos ejecutivos de las grandes corporaciones multinacionales. Así estamos.
Múltiple, pero empecemos por dos
OK, ¿y en español, qué es exactamente lo que está empezando a hacer Google? La historia es así: hoy, para ingresar a tu cuenta de Gmail tenés que poner tu nombre de usuario y una contraseña. Bueno, eso ya no alcanza. Tu nombre de usuario y tu contraseña casi seguramente están en alguna base de datos en manos de los piratas, si no seguiste con la regla número 2 de la seguridad digital; es decir, no reciclar claves (la primera regla es la de usar contraseñas robustas). Como esta conducta es algo que ni siquiera Google puede controlar, entonces hay que añadir un segundo factor de autenticación. De allí la frase algo críptica de autenticación de múltiple factor. El factor que usábamos hasta ahora era la contraseña. Ahora hay que añadir otro más. ¿Por qué?
Porque el pirata puede tener tu nombre de usuario y tu contraseña, pero es mucho menos probable que también tenga tu teléfono (o que de alguna manera logre interceptar los mensajes que llegan a tu teléfono). Por lo tanto, sería suficiente con que Google te envíe un mensaje de texto con un PIN después de que ingresás la contraseña correcta para que el malviviente quede cancelado. Esa es una de las maneras más elementales (y frágiles) de añadir un segundo factor de autenticación. Tiene tres problemas. No siempre funciona, ya han logrado hackearla y además hay que tener una línea de teléfono.
Otro modo, y posiblemente el más sencillo, es el de usar una app en el teléfono que genere un PIN al azar cada, digamos, 30 segundos. Es el caso de Authenticator, también de Google, aunque existen también dispositivos de verificación (como Yubikey). Así, cuando ponés tu nombre de usuario y tu contraseña para entrar en Gmail, la plataforma te pregunta el PIN de ese momento. Abrís la app, lo consultás, lo escribís y listo, entrás en tu cuenta. (Dicho sea de paso, el espacio en blanco que muestra Authenticator entre las dos series de tres números no es necesario; podés ponerlos de corrido y funciona igual.)
¿Pero siempre vamos a tener que ingresar ese dichoso PIN? No, no siempre. Si tenés una computadora a la que solo accedés solo vos, podés poner un tilde en la casilla correspondiente (normalmente algo del orden de “No volver a preguntar en este dispositivo”) la primera vez que iniciás sesión y entonces no te lo va a volver a pedir. De todos modos, mi mejor consejo es preferir un poco de incomodidad en lugar de correr el riesgo de perder una cuenta, porque después es extremadamente difícil recuperarlas.
Google (y lo mismo van a hacer los demás, cuando implementen esta doble verificación de identidad) ha simplificado un poco más el asunto cuando sabe que un teléfono es efectivamente el tuyo. Así, toda vez que iniciás sesión en un dispositivo nuevo, te envía un mensaje (no un SMS, sino uno que llega siempre, porque usa Internet) en el que te pregunta si fuiste vos el que inició esa sesión. Alcanza con decirle que sí para entrar, sin escribir ningún PIN. Facebook hace lo mismo. Otros te avisan por email (es el caso de Dropbox y Netflix, por citar solo un par), aunque sin verificarte.
Paso por paso por paso por paso
Excelente, ¿y qué tengo que hacer para vincular la app Authenticator en mi celular con mi cuenta de Gmail, en la notebook? Como dije, este es el punto flojo en toda la trama, porque para ciertas personas que no se llevan bien con la tecnología este procedimiento puede ser excesivamente enredado.
Como hay una serie de posibles ramificaciones, aquí va el paso por paso para el escenario más complicado.
- Abrís Authenticator en el teléfono, apretás el botón con un signo más (+) y ahí te da dos opciones. La primera es Escanear un código QR. La otra es Ingresar clave de config.; esta se usa, por ejemplo, para validar el mismo dispositivo, que no puede escanear su propia pantalla.
- Elegí Escanear código QR. Ahora abrí Gmail, andá a los Ajustes de tu cuenta de Google y hace clic en Seguridad. Ahí hace clic en Verificación en dos pasos; Google te va a pedir que ingreses la contraseña (sí, eso está bien) y en el listado vas a encontrar el ícono de la app Authenticator. Dale clic y acá van a abrirse dos posibilidades. Una es que ya haya un teléfono ahí y que puedas cambiarlo, en cuyo caso ya conocés los pasos. Para cambiarlo, claro, hay que escanear un código QR.
- La otra opción es que te de la bienvenida y veas un botón Comenzar. Dale clic. De buenas a primeras da la impresión de que hace falta poner tu número de teléfono. Pero no es así. Abajo vas a ver que hay más opciones. Una de ellas es enviar un mensaje al celular en el que registraste originalmente la cuenta de Gmail.
- Si tu teléfono no aparece a la vista, hay que agregarlo. Aquí viene la parte más complicada, porque te va a pedir un código. ¿Otro más? Sí, como dije, la cosa se va a poner muy áspera para los que no se llevan bien con la tecnología. Vamos despacio.
- Necesitás agregar en la notebook un código que te va aparecer en el celular, para que esa cuenta de Google (es decir Gmail, a los fines prácticos, pero también todas las demás) quede vinculada a ese celular. Para encontrar el código hay abrir Gmail en el teléfono (sí, en el teléfono), tocar el ícono de tu usuario, arriba a la derecha, luego tocar Cuenta de Google y ahí deslizarse hacia la derecha (o sea, arrastrar la pantalla hacia la izquierda; ignoro si esto tiene algún significado ideológico) hasta la pestaña Seguridad. Ahora bajá hasta encontrar un ítem etiquetado Código de seguridad. Te va a pedir el PIN que usás para desbloquear el teléfono (de verdad, y tiene lógica; paciencia), y luego de eso vas a ver dos códigos de 10 dígitos. Cualquiera sirve.
- Tras ingresar ese PIN de 10 dígitos, el teléfono queda relacionado con la cuenta y cuando quieras ingresar desde un dispositivo nuevo (otro teléfono, la tablet, una computadora, la Estación Espacial Internacional) te va a mandar un mensaje a ese teléfono, informando la geolocalización, un dato que es clave, y alcanzará con apretar el botón “Sí, soy yo” para entrar.
- Hecho esto, también podés agregar esa cuenta a Authenticator. Nunca estás de más.
Otra cosa: es posible y altamente aconsejable también imprimir una serie de códigos de seguridad, por si todo falla. Dato no menor, dos servicios que en general no está bueno que nos secuestren (Facebook y Twitter) también permiten autenticación de múltiple factor; conviene activarla. Y vendrán más, pueden apostarlo. ¿Qué pasa con la privacidad? Es complicado y el panorama no se ve nada prometedor. La buena noticia es que hay servicios alternativos, como ProtonMail.
Fuente: La Nación