Al fin Google ha admitido algo alarmante sobre los mil millones de usuarios de Gmail: muy pocos han escogido la verificación en dos pasos (2SV).
Siete años después de la activación de 2SV, tan solo la han adoptado menos de un 10% de los usuarios, según informó el ingeniero Grzegorz Milka en una sesión de la conferencia de seguridad Enigma 2018 Usenix.
Milka habló sobre un estudio de noviembre, patrocinado por Google, en el que se analizaba como los cibercriminales atacaban Gmail y porque estás cuentas estaban tan cotizadas, una manera de admitir que la empresa no está contenta con este status quo.
Se podría debatir si esa cifra inferior al 10% es realmente tan mala, ya que por lo menos hay decenas de millones de usuarios que la emplean, pero lo que sí que está claro es que Gmail ha ganado una gran cantidad de usuarios desde 2017, sin que estos esos usen mucho la 2SV.
La importancia del 2SV (un tipo de autenticación de factor múltiple) en Google u otros servicios web, ha sido un tema recurrente en este blog desde hace algunos años. No es difícil de configurar, es gratuita, y lo mejor de todo, aumenta la seguridad contra atacantes.
Entonces ¿por qué no hay más usuarios interesados?
Milka dio una pista cuando le preguntaron, si es una idea tan buena por qué Google no la hace obligatoria. La respuesta fue que mucha gente dejaría de utilizar ese servicio.
Parece ser que las personas ya tienen muchos problemas para recordar su contraseña y que no aceptarían añadirle un nuevo nivel de seguridad a través del 2SV.
Las precauciones de Google son comprensibles, pero muy pesimistas. El verdadero problema con la 2SV no es que sea muy compleja (que no lo es), sino poca gente la conoce, y si la conocen, las innumerables formas de emplearla en multitud de servicios crean confusión.
Con Gmail, el lugar de inicio es “Revisión de seguridad” dentro de la configuración de la cuenta de Google, y comprobar si tenemos activado 2SV o no.
Si no, la opción más antigua para añadirlos es vía SMS, la cual envía un código de texto vía SMS cada vez que un usuario se conecta. Sin embargo no se considera seguro debido a los ataques SIM.
Recientemente, Google está intentado que sus usuarios empleen los que llaman Google Prompt, que verifica al usuario con una simple pregunta si/no enviada a los dispositivos Android o iOS usando el propio software de Google.
Otra opción más versátil, es descargar la app Google Authenticator, que genera códigos de un solo uso sin que tengan que ser enviados a través de ninguna red pública. Authenticator también es compatible con WordPress, LastPass y Facebook.
La opción más segura consiste en un dispostivo de seguridad USB basado en U2F YubiKey. Lo malo es que cuesta 20$ y que los teléfonos móviles necesitan otro distinto con funcionalidad NFC.
Los usuarios de Gmail que crean que tienen un alto riesgo de ser atacados por cibercriminales pueden unirse al Programa de Protección Avanzada de Google, es un servicio gratuito que añade comprobaciones adicionales para la autenticación.
¿Ves el problema? Demasiadas opciones. Pero es mucho mejor tener tantas buenas opciones que que seguir evitando el hecho que no usar un sistema apropiado de autenticación en un servicio online importante, sea un riesgo que ningún usuario debería correr.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: