El 2FA no es algo nuevo, existe desde hace algún tiempo al igual que Yubico, la compañía de la que hoy hablamos.
Ha sido hace pocos días cuando los medios han empezado a publicar que Google utiliza como autenticación de doble factor unas llaves de seguridad, reduciendo los ataques por medio de phising a 0. Concretamente esas llaves son «similares» a las Yubikey de Yubico, empresa especializada en este tipo de dispositivos y la más popular actualmente.
No hemos querido perder la oportunidad de analizar esta tecnología para vosotros. Nos hemos puesto en contacto con Dotforce, distribuidor oficial en España y Portugal, además de con el servicio de prensa de la propia Yubico para que nos hiciera llegar varios de los dispositivos. Con el fin de que nuestros lectores dispongan del análisis de un elemento tan importante en materia de seguridad, veremos dos artículos. En el primero hablaremos de como surge esta idea y por supuesto, en el segundo vamos a tratar el funcionamiento de las llaves en ordenadores y dispositivos móviles.
¿Qué es FIDO U2F?
Para hablar sobre FIDO U2F, nos vamos a centrar en la propia explicación que da Yubico. Es un estándar de autenticación abierto que permite a los usuarios de Internet acceder de forma segura a cualquier cantidad de servicios en línea, con una única clave de seguridad de forma instantánea y sin necesidad de controladores o software cliente. 
U2F fue creado por Google y Yubico. Hoy en día se encuentra bastante extendido y tiene la finalidad de llegar a un mercado masivo. En torno a todo lo aquí mencionado, alojando las especificaciones técnicas, se encuentra la FIDO Alliance. Implementado en organismos nacionales como el gobierno del Reino Unido. También está presente en empresas de nivel internacional como vamos a poder ver en las pruebas de uso que hemos realizado con los dispositivos.
¿Cuándo empiezan a funcionar las Yubikeys?
Como decíamos, el uso de las llaves de seguridad 2FA, lleva ya algún tiempo entre nosotros. Yubico se fundó en Suecia en el año 2007. En el año 2011 se trasladan a Silicon Valley. Comienzan en ese momento colaboraciones muy cercanas con compañías importantes en el ámbito de las tecnologías de la información y las comunicaciones. Crean todo un soporte nativo para sus “llaves de seguridad”. Actualmente es el líder en el sector de llaves de seguridad con presencia en 7 países, fabricando en Suecia y Estados Unidos.
La Autenticación de dos factores.
Es la posibilidad que nos ofrecen algunos programas para añadir un plus de seguridad sobre nuestros dispositivos y cuentas. Esta doble autenticación la podemos llevar acabo por medio de sistemas biométricos (huellas dactilares, escáner de iris, reconocimiento facial), programas que contengan un segundo medio de verificado (códigos, tokens, doble contraseña) y por último un soporte físico (llave) que tenga que estar de forma material, como en el caso que nos ocupa.
Las Yubikeys nos aportan un extra de seguridad, ante por ejemplo ataques del tipo Phising o el conocido MITM (Man in the Middle). Los anteriores son ataques que pueden comprometer fácilmente las contraseñas. Con sólo un factor aumenta el riesgo de acceso a nuestras cuentas, y por ende la posibilidad de acceso al activo que se encuentre en ellas (información personal, laboral, etc…).
Una llave física
Nos ha parecido un aspecto muy interesante la posesión del dispositivo físico para poder realizar la autenticación. Son cómodos, fáciles de transportar y con una adecuada seguridad tanto para uso profesional como particular. En el caso de los programas lógicos de doble autenticación, muchas veces tenemos que realizar un registro completo de nuestros datos personales. Recientemente se ha reportado un posible incidente en el que una conocida compañía podría haber sufrido un robo de información, por un fallo en el sistema de autenticación de dos factores SMS, que utilizaban sus empleados.
Un medio, tal vez más seguro que los SMS tras los últimos reportes.
Al tener que disponer de una llave física, se evita por ejemplo utilizar un teléfono móvil para recibir un código de desbloqueo. Como quiera que no todo el mundo está dispuesto a compartir más información que la necesaria con los servicios que utiliza, la llave de Yubico evita el trabajo de tener que compartir datos para disponer de ese segundo factor. La información personal que debes utilizar para ponerla en funcionamiento es nula en la mayoría de los casos, y/o muy poca en el resto. Todo lo anterior depende del servicio que se vaya a utilizar (redes sociales, cuentas, servicios en la nube).
Usado por grandes compañías.
No es de extrañar que empresas punteras y multinacionales de reconocido prestigio estén utilizando las llaves de Yubico. Éstos son los productos disponibles en la página oficial de la Compañía. Tenemos precios que van desde los 20$ a los 650 $ además de packs, pensados para empresas que necesiten una gran cantidad de llaves.
Compatible con la mayor parte de sistemas operativos, en la segunda parte de nuestro artículo, analizaremos algunos de esos dispositivos en nuestro entorno de pruebas. Los lectores de Rincón de la Tegnología, podrán hacerse una idea de lo que aportan las llaves, además de poder aprender el funcionamiento básico de las Yubikeys.
No os perdáis el próximo artículo, y desearos un uso seguro de las tecnologías 😉
