CNET también está disponible en español.

Ir a español

Don't show this again

Móvil

Teléfonos Android ahora pueden ser llaves de seguridad

Google busca acabar uno de los mayores problemas con la autenticación de dos factores: la comodidad.

Google security key

Una llave de seguridad física en la parte superior de un teléfono Android.

Josh Miller / CNET

Las llaves de seguridad son una forma efectiva para proteger tus cuentas de piratas informáticos, pero representan un gran desafío: no son nada cómodas.

No mucha gente quiere comprar y andar cargando una llave adicional o un mando Bluetooth solo para iniciar sesión, por lo que la autenticación de dos factores (2FA, por sus siglas en inglés) se realiza mediante mensajes de texto, aunque sea menos segura. Hasta 90 por ciento de los usuarios de Gmail no utilizan la autenticación de 2 factores, reveló un ingeniero de Google en 2018.

La comodidad es un gran obstáculo, pero Google espera resolverlo haciendo que tu teléfono Android sea tu propia llave de seguridad. Tendrá las mismas funcionalidades que una llave de seguridad física, pero no requerirá que cargues un dispositivo adicional para mantener tus cuentas seguras.

Eso significa que, al igual que una llave de seguridad, tu teléfono te avisará si el sitio Web de un impostor intenta robar tu contraseña. A diferencia de usar SMS o códigos de autenticación para iniciar sesión, las llaves de seguridad tienen que verificar que el sitio Web en el que estás iniciando sesión es legítimo.

La función de seguridad actualizada solo llega a las versiones de dispositivos Android 7 y superiores, lo que representa alrededor del 50 por ciento de todos los usuarios activos, según dice el propio Google. Por ahora, solo funciona en el navegador Chrome de Google y en las cuentas de Google, pero la compañía espera que la disponibilidad se expanda.

"Esta es una evolución natural del estándar. Al igual que algunas llaves de seguridad solo funcionaron con Chrome inicialmente y se trasladaron a otros navegadores, estamos viendo lo mismo aquí", dijo Christiaan Brand, gerente de productos de Google para identidad y seguridad. Puedes configurar tu propia llave de seguridad en tu teléfono en tu configuración de Google y elegir 2-Step Verification (verificación en dos pasos). De ahí, necesitas hacer clic en Add a Security Key (añadir llave de seguridad) y elegir tu teléfono como dispositivo.

Atentos al phishing

Los llamados ataques de phishing son muy comunes y a menudo difíciles de detectar, engañando incluso a políticos y expertos. Las llaves de seguridad ayudan a evitar que los piratas informáticos ingresen a tus cuentas porque, incluso si te roban tu contraseña, un atacante tendría que tener la llave física para iniciar sesión.

"Estamos resolviendo el problema de alguien a miles de millas de distancia tratando de robar tu contraseña", dijo Sam Srinivas, director de gestión de productos de Google Cloud. "Con esto, alguien tiene que estar a 100 pies de ti para tratar de atacarte".

Cuando Google dio a conocer su propia llave física, conocida como Titan Key, costaba US$50 por un juego y Brand dijo que la compañía esperaba reducir los costos a menos de US$10, al cabo de un tiempo.

07-titan-key

En 2018 Google lanzó su propia llave de seguridad, llamada Titan. Viene en dos versiones, USB y Bluetooth.

Sarah Tew/CNET

Al convertir los dispositivos Android en llaves de seguridad, esencialmente se les ofrece de forma gratuita. Con tanta cobertura, podría facilitar que más personas comiencen a usar llaes de seguridad, dijo Conor Gilsenan, investigador de seguridad de All Things Auth.

Durante la Navidad, el experto en seguridad dijo que compró llaves de seguridad para miembros de su familia, pero dijo que se necesitaron más de dos horas para configurar todos estos dispositivos.

"Esto es tan importante", dijo Gilsenan. "Ser capaz de utilizar el teléfono que ya tienes elimina toda una barrera para las mejores formas de autenticación de dos factores para el usuario promedio de Internet".

Brand dijo que las llaves de seguridad del teléfono cumplen con el estándar de autenticación FIDO, lo que significa que cualquier sitio Web que permita ese estándar funcionará con tu teléfono como llave de seguridad. Eso incluye sitios Web como Facebook, Twitter y GitHub.

Conveniencia es clave

Brand espera que el lanzamiento convenza a otras páginas para que acepten teléfonos como llaves de seguridad.

Funciona conectando el teléfono y el Bluetooth de tu computadora cuando inicias sesión en una cuenta de Google. Se te pedirá un mensaje en tu teléfono para verificar el inicio de sesión una vez que estén conectados. Mientras usen Bluetooth para comunicarse, los dos dispositivos no tienen que emparejarse entre sí, dijo Brand.

"Diseñamos un nuevo estándar en la parte superior de Bluetooth para asegurarnos de que estos no necesitan emparejarse", explicó.

Han habido críticas al uso de Bluetooth en las llaves de seguridad, ya que el protocolo inalámbrico podría estar abierto a vulnerabilidades de seguridad. Cuando Google anunció su dispositivo de seguridad Bluetooth el año pasado, Stina Ehrensvard, presidenta ejecutiva de Yubico emitió un comunicado diciendo que Bluetooth no tenía los mismos estándares de seguridad que NFC y USB.

Brand dijo que Google tenía la capacidad de permitir que tu teléfono funcione como una llave de seguridad a través de un cable USB, pero decidió no hacerlo. "Hemos realizado estudios de usuarios, y pedirle a un usuario que tenga listo un cable que se ajuste a sus dispositivos, casi le quita toda la comodidad de usar su teléfono", dijo.

Aún así, incluso con toda la comodidad que ofrecen los teléfonos, Brand y Srinivas recomiendan tener una segunda memoria USB de respaldo. De esa manera, si alguna vez pierdes tu teléfono o se le acaba la batería, aún puedes iniciar sesión.

Ahora que la mitad de todos los dispositivos Android pueden funcionar como llaves de seguridad, el nuevo desafío será lograr que la gente realmente los use.

Las llaves de seguridad tienen una tasa de adopción inferior a la autenticación de dos factores, pero la conveniencia probablemente atraerá a más personas para proteger mejor sus cuentas. "No tienes que enchufar nada, y no tienes que comprar un nuevo dispositivo, ya que ya tienes tu teléfono", dijo Gilsenan. "El mayor desafío es comunicar eso a las personas que realmente necesitan 2FA".