Cómo presionar a las webs para que incluyan verificación en dos pasos

Hace poco se habló de una supuesta filtración masiva de direcciones y contraseñas de cuentas de correo en Gmail. Resultaron ser antiguas y mayoritariamente inservibles, pero, como decíamos entonces, una sola medida de protección hubiera sido suficiente para que los usuarios preocupados por la presencia de su clave en la lista durmieran totalmente tranquilos. Hablamos de la verificación en dos pasos.

Si el ciberdelincuente de turno se hace con tu contraseña y trata de acceder a tu perfil con malas intenciones (robar información, suplantar tu identidad...) se encontrará con un muro difícil de esquivar si tienes activado este sistema de seguridad. Es muy sencillo: cada vez que un dispositivo distinto del habitual intente acceder a tu cuenta, el servicio pedirá una segunda prueba de que eres tú y no un atacante quien pretende conectarse.

Esa confirmación adicional puede ser un código que ha llegado por SMS a tu teléfono móvil, una llamada automática en la que un robot te ha dictado dicho código, un correo electrónico que has recibido en la cuenta asociada, una notificación en la app del servicio o incluso un 'token' que identifique el dispositivo desde el que se intenta acceder.

Si el ciberdelincuente no encuentra el modo de saltarse esa verificación adicional, no podrá acceder a tu perfil aunque disponga de la contraseña. Por eso es tan importante que las webs que lidian con datos personales implementen esta medida de seguridad.

¿Y lo hacen? La gran mayoría sí, entre ellas gigantes como Google, Facebook o Twitter, pero otras muchas miran hacia otro lado y solo la presión de los usuarios puede hacerles recapacitar. Por eso ha nacido Two Factor Auth, una web creada por el desarrollador Josh Davis, con ayuda de los que voluntariamente han colaborado en GitHub, para sacar los colores a las empresas que no se preocupan demasiado por tu seguridad.

“Es una forma de ayudar a decidir entre servicios alternativos en base a la seguridad que ofrecen a sus clientes”, afirma Davis. “También es una forma de que los consumidores vean qué sitios deberían invertir en medidas de seguridad y cuáles ya lo están haciendo”.

La página es en realidad una tabla que muestra los sistemas de verificación en dos pasos con los que cuenta cada uno de los servicios analizados. Además, permite que los usuarios exijan a las empresas negligentes que implementen esta protección a través de una publicación en Twitter.

Algo tan sencillo que nos hace dudar de su efectividad: ¿por qué iba a contestar la firma a esta demanda? Es una pregunta razonable, pero lo cierto es que algunas ya lo han hecho (la página reserva para ellas un cartel de “en progreso” hasta que la verificación en dos pasos esté finalmente disponible).

Entre los servicios que aún no se dan por aludidos hay algunos tan populares como SugarSync (un alojamiento en la nube que planta cara a Dropbox), Disqus (uno de los 'plugins' de comentarios más populares para WordPress), Slack (la aplicación de moda en Silicon Valley), Square (la aplicación de pagos de un cofundador de Twitter), Instagram, IFTTT, Trello, about.me, Yammer, Envato, 1and1... La lista es demasiado larga.

Hay un par de sectores en los que la dejadez es especialmente sangrante: las plataformas de aprendizaje online (Codeacademy, Coursera, Udacity...) y el entretenimiento (Grooveshark, Hulu, Last.fm, Netflix, SoundCloud, Spotify, Twitch, Ustream, Vimeo...). Miles de usuarios utilizan estos servicios cada día sin saber lo que supone la ausencia de verificación en dos pasos. Por algunos, incluso, se han pagado cifras millonarias: es el caso de Twitch y su compra por parte de Amazon, que es para más INRI el único gigante de internet que aparece en esta lista de la vergüenza.

Pero también es justo nombrar a las empresas que han escuchado a los tuiteros que pedían verificación en dos pasos a través de Two Factor Auth. Dos de los éxitos más llamativos de esta web son League of Legends y Mojang, estudio que desarrolla Minecraft y que ha sido adquirido recientemente por Microsoft. Otro de gran calado es Reddit, cuyo director general contestó a través de Twitter a las demandas de los usuarios:

Security is important, @reddit. We'd like it if you supported two factor auth. http://t.co/XSaKJUF3e7 #SupportTwoFactorAuth

— Nick Tripp (@MC1Rfail) marzo 20, 2014

Parece que no es tan mala idea levantar la voz. Si la comunidad ha logrado abrir los ojos de empresas como estas, el resto de integrantes de la lista deberían ir detrás. Al fin y al cabo, la seguridad en la Red es cosa de todos. Ellos tienen que habilitar la verificación en dos pasos, pero utilizarla después es cosa tuya.

Sí, es una lata tener que recurrir al móvil cada vez que quieres conectarte. Lo entendemos, pero luego no entres en pánico si tu contraseña aparece en una lista en manos de cualquier cibercriminal. El que avisa no es traidor.