CNET también está disponible en español.

Ir a español

Don't show this again

Seguridad

Google crea la llave Titan Key para reforzar tu seguridad en línea

El dispositivo busca ser otra línea de defensa contra 'hackers' y ladrones.

Google is releasing its own security key, called the Titan Security Key. It'll be available by the end of the summer in Google's online store.

Google está lanzando su propio gadget de seguridad, llamado Titan Security Key (en la foto). Estará disponible para el final del verano en la tienda en línea de Google.

Sarah Tew/CNET

Cuando Google se jactó de que ninguno de sus más de 85,000 empleados había sido víctima de un ataque de phishing desde principios de 2017, todo fue gracias a una versión temprana de una clave de seguridad que la compañía estaba poniendo a prueba.

Y ahora la última versión de esa llave (tipo fob) de seguridad estará disponible para todo el mundo.

En una demostración exclusiva, CNET pudo probar Titan, una llave de seguridad de Google que usa la autenticación multifactor para proteger a las personas contra los ataques de phishing. Estas llaves de seguridad vienen en muchas formas, ya sea como una memoria USB o un llavero Bluetooth, y se utilizan para conectarse a tu dispositivo cuando intentas iniciar sesión.

El objetivo es proporcionar una segunda capa de seguridad a través de la autenticación multifactorial, es decir, más de un método para probar que tú eres la persona autorizada para iniciar sesión. Es posible que los piratas informáticos puedan robar tu contraseña en línea, pero a menudo les es mucho más difícil robar una llave de seguridad física que está contigo.

Google ha estado abogando por las llaves de seguridad por un tiempo, convirtiéndolas en un requisito para su Programa de protección avanzada, y promocionándolas como el "factor de autenticación más resistente y más resistente al phishing".

La llave, llamada Titan Security Key, que viene en versiones USB y Bluetooth, estará disponible para la venta en la tienda en línea de Google en los próximos meses, dijo Christiaan Brand, gerente de producto de identidad y seguridad de Google.

El software en las llaves de seguridad es desarrollado por los ingenieros de Google, y la compañía lo ha estado probando internamente desde principios de 2017. Aunque la llave de seguridad de Titan comparte un nombre con el chip de seguridad de Google, usará un conjunto diferente de chips.

"Estamos muy seguros de la calidad de la seguridad", dijo Brand. "Estamos muy seguros de cómo almacenamos secretos y qué tan difícil sería para un atacante entrar y volar la seguridad."

07-titan-key

La llave Titan Security Key vendrá en versiones USB o Bluetooth.

Sarah Tew/CNET

El phishing es una de las formas más comunes para que los hackers se hagan de tu contraseña. Fue así como los piratas informáticos rusos se infiltraron en el Comité Nacional Demócrata utilizando ataques sofisticados para atacar a las personas y engañarlas para que dejen sus contraseñas. Pero estos ataques no están reservados solo para los políticos.

Pueden aparecer durante la temporada de impuestos y desastres naturales; en intentos coordinados para que la gente común ingrese tus contraseñas en un sitio Web falso. Las llaves de seguridad agregan un nivel adicional de protección porque, incluso si los piratas informáticos lograron robar tu contraseña mediante el phishing, no podrían obtener tu clave de seguridad. Las llaves de seguridad también podrían avisarte si estabas visitando un sitio Web de phishing.

Son geniales para la seguridad, pero a veces estas llaves hacen su trabajo demasiado bien, como cuando Titán temporalmente me bloqueó de mi propia cuenta cuando no tenía acceso a la llave. (Más sobre eso a continuación).

Funcionalmente, la llavede Google debería funcionar exactamente igual que las llaves populares que ya están en el mercado, como Yubike, de YubiCo, que Google recomendó en el pasado. Sam Srinivas, director de gestión de productos para la seguridad de la información en Google, dice que la compañía no está tratando de competir con otras llaves de seguridad, sino que más bien expande la cantidad de opciones disponibles.

"Lo más importante es que todos usen una llave de seguridad", dijo Srinivas. "La llave Titan es específicamente para clientes que quieren llaves de seguridad y confían en Google".

Esta llave llegará en un paquete con las versiones USB y Bluetooth por US$50, o puedes comprar una u otra por alrededor de US$20 a US$25 cada una, dijo Brand. La esperanza ahora es que Google esté creando y vendiendo su propia llave de seguridad, puede bajar el precio si el dispositivo se vuelve lo suficientemente popular, que es el objetivo de la compañía. 

"No estamos muy contentos de que estos dispositivos estén fuera del alcance de los clientes que no pueden pagarlo", dijo Brand. "Estamos pensando que con suerte en algún momento, estas llaves pueden estar en el rango de menos de US$10". 

Pero antes de que los precios bajen, Google tendrá que convencer a las personas de que realmente necesitan una llave de seguridad.

Los retos de su uso

En enero, un ingeniero de Google dijo que menos del 10 por ciento de los usuarios de Gmail tienen habilitada la autenticación de dos factores en sus cuentas.

Google es consciente de la falta de interés en la autenticación multifactorial, y espera que la llave Titan pueda cambiar eso.

Hay muchas razones por las cuales las personas pueden no estar interesadas en las llaves de seguridad. Es otro elemento para llevar. Ya tienen una autenticación de dos factores configurada con sus teléfonos. Podrían creer que sus contraseñas ya son lo suficientemente fuertes.

Todos estos son obstáculos que Google tendrá que sortear para que más personas usen llaves de seguridad.

Una de las formas más populares de autenticación de dos factores es hacer que el servicio envíe un PIN mediante un mensaje de texto a tu teléfono, que luego debes ingresar. Esto ayuda, pero no es infalible, dijo Srinivas. Google descubrió que un ataque dirigido también podría engañar a las personas para que renuncien a ese código PIN.

En un hilo de Twitter, Shane Huntley, directora del Grupo de Análisis de Amenazas de Google, explicó cómo alguien puede seguir engañando a una víctima a través de mensajes de texto, incluso con autenticación de dos factores. Básicamente, el atacante podría enviar a la víctima una solicitud falsa para el PIN.

Huntley luego recomendó usar una llave de seguridad para evitar que eso suceda.

Una llave de seguridad tiene otras ventajas sobre los códigos enviados a un teléfono. Aunque un teléfono es conveniente, dijo Srinivas, una llave de seguridad es más fácil de usar y de la que se puede hacer un seguimiento. No necesitas una red para usarla, lo que es útil cuando las personas se encuentran en países diferentes y no pueden recibir mensajes de texto. Tampoco necesitas energía, algo bueno si la batería de tu teléfono se agota. La versión Bluetooth de la llave Titan puede durar hasta seis meses con una sola carga.

"Lo fundamental es que tenemos que hacer esto más fácil para que la gente real lo use", dijo Srinivas.

Google realizará campañas de concientización sobre la nueva llave de seguridad, pero estarán dirigidas a las personas que cree que más los necesitan: los objetivos potenciales que persiguen los piratas informáticos, como políticos, ejecutivos de empresas y periodistas.

Esas personas serán más objetivo porque sus cuentas de correo electrónico, y el contenido dentro de ellos, son mucho más valiosos para los ladrones. Estafar a un político puede llevar a una agitación política como la vinculada a la Convención Nacional Demócrata de 2016, mientras que un par de ataques a un banco les permite a los ladrones robar US$2.4 millones en ocho meses.

"A pesar de que llevar esta llave todo el tiempo podría no ser para los miles de millones, si tu cuenta realmente es importante, es lo suficientemente valiosa como para que la lleves contigo", dijo Srinivas.

Cómo instalarla

The Titan Security Key plugged in to log on to a computer.

La clave de seguridad Titan Security Key conectada en una computadora.

Sarah Tew/CNET

Tuve la oportunidad de probar Titan Key yo mismo.

Configurar mis claves de seguridad fue una experiencia bastante estándar. Fui a mi configuración de seguridad para Google y busqué la sección de verificación en dos pasos. A partir de ahí, hice clic en Agregar clave de seguridad y se me indicó que insertara la llave USB y tocara el botón.

Pasé por el mismo proceso para la versión de Bluetooth y también lo configuré para mi cuenta de Facebook. Ahora, incluso si alguien tuviera acceso a mi contraseña de Gmail, no podrían iniciar sesión a menos que también hayan robado la llave de seguridad de mi bolsillo.

Me encontré con algunos problemas sin mi llave de seguridad durante el fin de semana: lo dejé en la oficina y me pidieron que lo ingresara para iniciar sesión en mi cuenta desde mi casa. Afortunadamente, también establecí una verificación de respaldo a través de un mensaje de Google, que envía una alerta a mi correo electrónico en un dispositivo confiable, en lugar de un mensaje de texto.

Pero es un contratiempo como el que a menudo empuja a las personas a no usar llaves de seguridad. Si no tuviera esa medida de respaldo, me hubieran bloqueado de mi cuenta hasta que obtuviera acceso a la llave nuevamente.

El objetivo de Google, sin embargo, es deshacerse de estos errores convirtiendo las llaves de seguridad en algo natural, del mismo modo que las personas salen de sus casas todos los días con un juego de llaves de la casa o del automóvil.

"Queremos que la gente entienda que esto es casi una cosa necesaria que deberían usar", dijo Srinivas.

Antes de que Google comenzara a probar Titan Key internamente, descubrió que sus propios empleados eran susceptibles a los ataques de phishing.

El equipo rojo de Google, un grupo dentro de la compañía dedicado a probar la seguridad de los empleados, realizó varios esfuerzos de phishing exitosos contra el personal de Google. Expuso una debilidad en Google: si un ataque fuera lo suficientemente sofisticado, podría obtener acceso a la compañía.

Pero una vez que los empleados de Google comenzaron a usar llaves de seguridad, dijo Srinivas, eso esencialmente se detuvo.

"Casi han abandonado el phishing como un vector principal en nuestros propios ataques", dijo.