Como sabéis, la seguridad en TramitApp es cosa seria (de hecho, la más seria) y por ello, el pasado viernes 4 de Octubre, lanzamos la versión beta de nuestro software con Doble Factor implementado.

Por el momento, sólo tendrán acceso a esta versión una parte del equipo de TramitApp, e iremos liberando el Doble Factor entre nuestros clientes en diferentes fases durante este mes de octubre. Pero, ¿en qué beneficia y en qué consiste el Doble Factor?

BENEFICIOS DEL DOBLE FACTOR

El Doble Factor (Two Factor Authentication ó 2FA en sus siglas en inglés) permite añadir una capa extra de seguridad para garantizar que eres realmente tú la persona que tiene permisos para acceder a una cuenta aunque otra persona tenga tu contraseña.

En otras palabras, sin el Doble Factor, cualquier persona que haya accedido a tu contraseña o PIN va a poder acceder también a tu cuenta del servicio en cuestión, ya sea porque la ha visto escrita en un post-it, tienes la misma contraseña para varios servicios o porque has sido víctima de «phising».

El Doble Factor es una forma de Autenticación Multi Factor (MFA o Multi Factor Authentication) que es un sistema que solicita dos o más maneras diferentes de autenticarse y asegurar que somos quienes realmente decimos ser.

CÓMO FUNCIONA

Existen varias alternativas que permiten añadir la autenticación de Doble Factor, la más conocida es mediante un código SMS que la empresa proveedora del servicio manda al móvil asociado a la cuenta. Esta es la forma más común, pero no la más segura. Las noticias de suplantación de identidad con la operadora para acceder a ese código, de tarjetas SIM duplicadas,… no dejan de sucederse.

En TramitApp hemos decido optar por la forma de Doble Factor más segura accesible hasta ahora, en donde para acceder a la cuenta se debe introducir un código que cambia cada 30 segundos. Son los llamados TOTP (Time-based One-time Password), en los que se debe introducir un código que sólo se puede ser utilizado en ese momento. Este código comparte «un secreto» con el proveedor del servicio al que queremos acceder, y este secreto está contenido solamente a través de ese código temporal. Por lo tanto, al cambiar el código, el secreto «desaparece» de éste.

Este código es mandado a un dispositivo personal, en el que llegará una cifra de 6 dígitos, que será única, temporal, y de un sólo uso. Normalmente, este dispositivo es nuestro teléfono móvil, y el código nos llega a través de una aplicación con la que nuestro proveedor de servicios comparte el secreto.

Algunas aplicaciones que generan este tipo de códigos son, por ejemplo, Google Authenticator, Microsoft AuthenticatorAuthy.

¿CÓMO INSTALO UN GENERADOR DE CÓDIGOS?

Antes de instalar el generador de códigos que elijas, debes tener en cuenta que debes tener acceso a la cuenta que quieras segurizar, y que dependerá de si el servicio en el que tienes la cuenta permite el Doble Factor.

Puesto que el generador más utilizado es Google Authenticator, seguiremos el ejemplo con esta app, pero si eliges otra, el funcionamiento suele ser muy similar para la mayoría de ellas.

Paso 1 de 4 | Descarga la app en tu móvil

TramitApp Control Horario - Doble Factor - Google Authenticator - Paso 1

Paso 2 de 4 | Busca el apartado «Activar Doble Factor» (o similar) en el servicio en el que quieras implementar el MFA. Normalmente, se encuentra en el perfil de la cuenta.

Generalmente, este paso es paso es preferible hacerlo en la versión web del servicio que estemos segurizando.

Paso 3 de 4 | Escanea con la app el código QR (esto hará que el servicio comparta el secreto con la app de tu móvil). Para realizar este paso de esta forma, tendremos que permitir a la app el acceso a la cámara del teléfono.

TramitApp Control Horario - Google Authenticator - Paso 2

Paso 3 (alternativo) de 4 | Introduce manualmente el código que aparezca en la web del servicio que queremos segurizar. Esta alternativa es más incómoda que la anterior, pero nos permite no dar acceso a la app a la cámara.

TramitApp Control Horario - Google Authenticator - Paso 2

Paso 4 de 4 | Introduce en el servicio el código que la app muestra para ese mismo servicio. Aquí es donde entra en juego la temporalidad del código, que será válido durante 30 segundos. Pasado ese tiempo, el código válido cambiará, por lo que si no nos da tiempo a introducirlo, sólo debemos esperar al siguiente código y ser más rápidos en introducirlo que la anterior vez.

TramitApp Control Horario - Google Authenticator - Paso 4

A partir de este momento, podremos eligir si queremos mantener el navegador como conocido para no tener que introducir el código cada vez que queramos acceder al servicio en ese dispositivo y con ese navegador, pero pedirá el código si intentamos (o alguien intenta) acceder a la cuenta desde cualquier otro navegador y/o dispositivo.

En TramitApp Academy te mostramos cómo activar el Doble Factor en tu cuenta de TramitApp.

¿CUÁL ES EL SISTEMA MFA MÁS SEGURO POSIBLE?

Debemos partir de la base de que no hay nada 100% seguro, pero sí hay métodos de identificación más seguros que otros. Lo más seguro, y hacia lo que tiende TramitApp, es una combinación de las 3 maneras de autenticarse:

  • Algo que sabes: Contraseña o PIN
  • Algo que eres: Reconocimiento biométrico (generalmente, huella o reconocimiento facial)
  • Algo que tienes: A través de un token (dispositivo) habilitado

 

Como siempre, no olvidéis que cuando hablamos de seguridad, por norma general, si algo parece raro, es raro.