El muy reciente hecho de la sustracción masiva de cientos de imágenes y vídeos de mas de un centenar de actrices, can-tantes y modelos de Estados Unidos (Jennifer Lawrence entre otras) de la “Nube” de Apple (iCloud), es decir de servi-dores de Apple, y su posterior publicación en foros abiertos de Internet, ha cuestionado a nivel mundial la seguridad de los servicios de almacenamiento y copias de seguridad de la “Nube”.
Los usos en la “Nube” consisten en servicios donde se dele-ga la custodia de datos (documentos, imágenes, vídeos, emails y ficheros informáticos en general) en una empresa o entidad, bien mediante previo pago o de forma gratuita. Dicha empresa almacena y guarda en un ordenador (Servidor) esos ficheros en algún punto del planeta Tierra y el usuario (El dueño legal de dichos datos) puede acceder a ellos mediante una contraseña desde cualquier ordenador o dispositivo móvil con conexión a Internet y usando un sim-ple navegador de Internet. La seguridad al 100% en los sis-temas informáticos, bien locales o en servidores en la “Nube” no existe hoy en día, ni va a existir a corto y medio plazo. Aunque el factor tecnológico y de control mejore y se encuentre siempre en continuo perfeccionamiento, el punto más débil, el eslabón menos seguro, recae en la defi-ciente seguridad de las cuentas de los usuarios con sus ac-tuales y simples contraseñas alfanuméricas. Y la maldad, en Internet, no es en absoluto ignorante.
Apple, después del desagradable incidente, ha recomendado ya oficialmente a todos sus usuarios de cualquier servicio registrado en la empresa, que activen el método de verificación en dos pasos, método que es opcional en Apple y que ya se encuentra disponible, también de forma opcional, en otras grandes entidades de Internet (Google, Microsoft, Facebo-ok, Twitter, Dropbox …)
¿En qué consiste la verificación en dos pasos?
La verificación en dos pasos es un sistema opcional de seguridad para evitar intrusiones no deseadas de personas u orde-nadores robots en servicios de Internet (correo, copias de seguridad, servicios bancarios) de un usuario, aunque la con-traseña haya caído ya en manos ajenas incluso. Obliga a usar dos formas de identificación en lugar de la tradicional con-traseña única. Cuando una persona extrae dinero de un cajero automático con una tarjeta de crédito o débito está reali-zando, sin saberlo, un procedimiento que necesita de una verificación en dos pasos:
* El uso de algo que se tiene (El objeto físico, la tarjeta de crédito o débito)
* El uso de algo que se sabe (El PIN o contraseña bancaria asociada a la tarjeta)
Aunque hay muchas variantes que se pueden combinar entre sí, en un proceso de verificación en dos pasos en servicios de Internet, la mayoría tienen la posibilidad u obligatoriedad del uso de un teléfono móvil. Se precisaría:
* El uso de algo que se tiene (El teléfono móvil y un código que se recibe por SMS)
* El uso de algo que se sabe (La contraseña asociada al servicio que se desea usar)
El código de verificación que se recibe por SMS se genera específicamente para una cuenta determinada y solo puede utilizarse una única vez. La verificación en dos pasos es opcional por una simple cuestión de privacidad, ya que un buen número de usuarios no desean relacionar una cuenta o servicio de Internet a un número de teléfono móvil que en Occi-dente lleva asociado por ley un Nombre y Apellidos y la consiguiente identificación de la persona.
¿Cómo hay que activar la verificación en dos pasos en un servi-cio concreto de Internet?
Hay que entrar en el perfil de usuario del servicio en Internet e ir al apartado de Seguridad o similar, y allí activar la opción de verificación en dos pasos, cumplimentando la información requerida y facilitando el número de móvil.
En Google, y en otras entidades, es posible imprimir o descargar códigos alter-nativos de un solo uso para la verificación en dos pasos cuando el teléfono móvil que se haya proporcionado no esté disponible, se encuentre el usuario de viaje o sencillamente se haya extraviado el móvil.
Microsoft está haciendo obligatorio la verificación en dos pasos en determina-dos procesos: Cambiar información confidencial asociada a las cuentas o la primera vez que se accede a OneDrive (La “Nube” de Microsoft) desde un equipo nuevo.
La verificación en dos pasos es incómoda, pero realmente necesaria.
(Por Francisco Gallardo Suárez – Docente de Informática en el Colegio de Médicos de Cádiz) www.twitter.com/paco_docente