SlideShare une entreprise Scribd logo

Guía de doble autenticación

ESET Latinoamérica
ESET Latinoamérica

En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identificarse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros. Sin embargo, el aumento de ataques informáticos sumado a lasconductas inseguras de las personas, como el uso de contraseñas débiles e iguales en varios servicios, hacen necesario utilizar métodos de autenticacióncomplementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación. Esta guía tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Facebook, Twitter y otros.

1  sur  15
Télécharger pour lire hors ligne
Guía de doble autenticación
2 1. Introducción a la Doble Autenticación: ¿Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2. Cómo configurar la Doble Autenticación en los siguientes servicios: Facebook 10 Twitter 11 LinkedIn 12 Google (Gmail) 13 Apple 14 3. Conclusión 15 Índice Guía doble autenticación
3 En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identifi- carse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros. Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débi- les e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación. Esta guía tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Face- book, Twitter y otros. Introducción
4 La doble autenticación se trata de un sistema que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como por ejemplo, un código de seguridad. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular o token. Luego, la persona debe ingre- sarlo para poder validarse en el sistema. El siguiente esquema muestra el funcionamiento de la doble autenticación: ¿Qué es la doble autenticación? Usuario ingresa PIN en el sistema y se permite el acceso. Usuario ingresa PIN en el sistema y se permite el acceso. Usuario genera el PIN en su teléfono o token. Usuario genera el PIN en su teléfono o token. Usuario ingresa credencial de acceso. Usuario ingresa credencial de acceso. Sistema valida credencial y envía un segundo factor de autenticación (PIN). Sistema valida credencial y envía un segundo factor de autenticación (PIN).
5 Un sistema de doble autenticación es aquel que utiliza dos de los tres factores de autenticación que existen para validar al usuario. Estos factores pueden ser: • Algo que el usuario sabe (conocimiento), como una contraseña. • Algo que el usuario tiene (posesión), como un teléfono o token que le permite recibir un código de seguridad. • Algo que el usuario es (inherencia), o sea, una característica intrínse- ca del ser humano como huellas dactilares, iris, etc. Por lo general, los sistemas de doble autenticación suelen utilizar los factores conocimiento (nombre de usuario y contraseña) y posesión (teléfono o token para recibir código de seguridad). Factores de autenticación
6 A continuación, se explican los cuatro tipos de amenazas informáticas que utilizan los cibercriminales para vulnerar contraseñas: Ataques informáticos que roban contraseñas FUERZA BRUTA: software que utiliza un “diccionario” cargado de contraseñas comúnmente utilizadas, con el objetivo de descifrar la clave de la víctima a través de comparaciones y pruebas sucesivas. MALWARE (CÓDIGO MALICIOSO): programa diseñado para realizar diversas acciones maliciosas, como el robo de contraseñas y credenciales de acceso. PHISHING: falsificación de una entidad de confianza, como bancos y redes sociales, por parte de un cibercriminal. De este modo, el atacante busca manipular a la víctima para que ingrese sus credenciales de acceso en un sitio falso pero que luce idéntico al original. ATAQUES A SERVIDORES: vulneración de un sistema informático utilizado para almacenar la base de datos de credenciales de acceso de un determinado servicio.
7 Al igual que las amenazas explicadas anteriormente, una conducta insegura por parte del usuario también contribuye a que una contrase- ña pueda ser vulnerada. En este sentido, el uso de una clave única para varios servicios, que sea fácil de adivinar, que se encuentre escrita en documentos, que sea compartida, entre otras alternativas; facilita considerablemente que los cibercriminales puedan obtener acceso a la información del usuario. Conductas inseguras del usuario con las contraseñas
8 Como se pudo observar en las páginas anteriores, son diversas las ame- nazas y conductas que pueden contribuir a que un usuario se vea afec- tado por el robo de una o varias contraseñas, no obstante, la doble autenticación permite mitigar considerablemente tales amenazas. Por ejemplo, un cibercriminal podría robar una clave utilizando un código malicioso, y si bien dicha contraseña sería obtenida, el atacante no podría lograr el acceso al sistema debido a que desconocería el segundo factor de autenticación, es decir, el código que se envía al teléfono o token del usuario. El siguiente esquema expone cómo la doble autenti- cación logra mitigar ataques que roban contraseñas: Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso. Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso. Sistema solicita el segundo factor de autenticación. Sistema solicita el segundo factor de autenticación. Cibercriminal roba contraseña utilizando alguna amenaza informática. Cibercriminal roba contraseña utilizando alguna amenaza informática. Luego, ingresa la credencial robada e intenta acceder al sistema. Luego, ingresa la credencial robada e intenta acceder al sistema. Doble autenticación y mitigación de ataques
9 Debido a diversos ataques que involucran el robo de contraseñas, y que han afectado a importantes empresas, muchos servicios ofrecen la posibilidad de activar la doble autenticación de forma gratuita. Es importante destacar que este tipo de protección no viene configurada por defecto, por lo tanto, el usuario deberá modificar algunos paráme- tros para activarla. En las siguientes páginas se detallarán las instruc- ciones necesarias para configurar este sistema de protección en Face- book, Twitter, LinkedIn, Google y Apple. ¿Cómo activar la doble autenticación en servicios web?
10 Para activar la doble autenticación en Facebook se debe seguir este procedimiento: 1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en “Configuración de la cuenta”. 2) Luego, hacer clic sobre la opción Seguridad que aparece en el costado izquierdo de la página. 3) Allí se debe activar la opción Solicitar un código de seguridad para acceder a mi cuenta desde navegadores desconocidos, tal como apare- ce en la siguiente captura: En el caso de Facebook, el segundo código de seguridad será solicitado cada vez que el usuario ingrese al servicio utilizando un dispositivo desconoci- do, es decir, un equipo que no ha sido utilizado anteriormente para acceder a la red social. En Facebook
11 Para activar la doble autenticación en Twitter se debe seguir este procedimiento: 1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en Configuración. 2) En la sección Seguridad y privacidad activar la opción Enviar peticiones de verificación de inicio de sesión a mi teléfono: 3) Para poder activar dicha opción el usuario deberá asociar un número de teléfono con la cuenta de Twitter. Esto puede realizarse haciendo clic en el enlace añadir un teléfono. En Twitter
12 Para activar la doble autenticación en LinkedIn se debe seguir este procedimiento: 1) Acceder al menú de configuración haciendo clic en el nombre de usuario que aparece en el costado superior derecho de la página. En el menú, hacer clic sobre “Configuración”. 2) En la sección de configuración se debe acceder a la pestaña “Cuenta” y luego hacer clic en “Gestionar configuración de seguridad”. 3) Luego activar la opción “Verificación en dos etapas para inicio de sesión”: En LinkedIn
13 Para activar la doble autenticación en Gmail se debe seguir este procedimiento: 1) Ir al botón en forma de rueda dentada (ubicado en el costado superior derecho) y presionar sobre “Configuración”. 2) Se debe hacer clic en la pestaña “Cuentas” y luego sobre el enlace “Otra configuración de la cuenta de Google”: 3) Allí presionar sobre “Seguridad” y luego hacer clic en el botón “Configuración” o “Editar” que aparece en la sección Verificación en dos pasos que aparece casi al final de la página: En Gmail
14 Para activar la doble autenticación en Apple se debe seguir este procedimiento: 1) Ingresar al portal Mi ID de Apple. Allí, presionar el botón “Administra tu ID de Apple” que aparece en la parte derecha del sitio. 2) Se deberá iniciar sesión utilizando las credenciales de acceso y presionando sobre el botón “Conectarse”. 3) Una vez que el usuario se ha identificado en el sistema, deberá hacer clic en “Contraseña y seguridad” tal como aparece en la siguiente imagen: En Apple Cabe destacar que, Apple está implementando la doble autenticación gradualmente, por lo tanto, aún no se encuen- tra disponible para usua- rios de América Latina.
/ESETLA/COMPANY/ESET-LATINOAMERICA @esetla A lo largo de esta guía, se profundizó en la importancia de contar con un método de autenticación robusto. En esta línea y conscientes de esta problemática, muchas empresas han implementado sistemas de doble autenticación para contribuir a la seguridad y protección de la información de sus usuarios. Teniendo en cuenta que los usuarios manejan cada vez más información sensible en sus cuentas, resulta lógico que los cibercriminales destinen mayores recursos al robo de las contraseñas que la protegen. Desde el punto de vista técnico, es posible reducir este tipo de ataques, sin embargo, la participación del usuario es primordial en todo el proceso de protección para poder evitar una amenaza que involucre el robo de contraseñas. Varias empresas y bancos ofrecen sistemas de doble autenticación, no obstante, en la mayoría de los casos dicha opción se encuentra desactivada por defecto. Para solucionar este inconveniente es nece- sario que el usuario comprenda la importancia de este método de protección y aprenda a configurarlo en los distintos servicios dispo- nibles en Internet. Asimismo, este aspecto cobra mayor relevancia, ya que de acuerdo a una encuesta realizada por ESET Latinoamérica, el 64% de los usuarios de América Latina desconocen qué es la doble autenticación.

Recommandé

Social engineering
Social engineeringSocial engineering
Social engineeringyousefbokari
 
Secure Coding - Web Application Security Vulnerabilities and Best Practices
Secure Coding - Web Application Security Vulnerabilities and Best PracticesSecure Coding - Web Application Security Vulnerabilities and Best Practices
Secure Coding - Web Application Security Vulnerabilities and Best PracticesWebsecurify
 
Sql injection
Sql injectionSql injection
Sql injectionPallavi Biswas
 
Web security
Web securityWeb security
Web securityPadam Banthia
 
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...Edureka!
 
Ch 9 Attacking Data Stores (Part 2)
Ch 9 Attacking Data Stores (Part 2)Ch 9 Attacking Data Stores (Part 2)
Ch 9 Attacking Data Stores (Part 2)Sam Bowne
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10YasserElsnbary
 

Recommandé

Social engineering
Social engineeringSocial engineering
Social engineeringyousefbokari
 
Secure Coding - Web Application Security Vulnerabilities and Best Practices
Secure Coding - Web Application Security Vulnerabilities and Best PracticesSecure Coding - Web Application Security Vulnerabilities and Best Practices
Secure Coding - Web Application Security Vulnerabilities and Best PracticesWebsecurify
 
Sql injection
Sql injectionSql injection
Sql injectionPallavi Biswas
 
Web security
Web securityWeb security
Web securityPadam Banthia
 
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...
What is SQL Injection Attack | How to prevent SQL Injection Attacks? | Cybers...Edureka!
 
Ch 9 Attacking Data Stores (Part 2)
Ch 9 Attacking Data Stores (Part 2)Ch 9 Attacking Data Stores (Part 2)
Ch 9 Attacking Data Stores (Part 2)Sam Bowne
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10YasserElsnbary
 
powershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-londonpowershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-londonnettitude_labs
 
basic knowhow hacking
basic knowhow hackingbasic knowhow hacking
basic knowhow hackingAnant Shrivastava
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionSayed Ahmad Naweed
 
Secure code
Secure codeSecure code
Secure codeddeogun
 
Secure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa WorkshopSecure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa WorkshopPaul Ionescu
 
Web Application Security 101
Web Application Security 101Web Application Security 101
Web Application Security 101Jannis Kirschner
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacksJoe McCarthy
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadDana Geraldine
 
Basic Security Training for End Users
Basic Security Training for End UsersBasic Security Training for End Users
Basic Security Training for End UsersCommunity IT Innovators
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attackPankaj Dubey
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksMarco Morana
 
Email phishing and countermeasures
Email phishing and countermeasuresEmail phishing and countermeasures
Email phishing and countermeasuresJorge Sebastiao
 
OWASP Top 10 - 2017
OWASP Top 10 - 2017OWASP Top 10 - 2017
OWASP Top 10 - 2017HackerOne
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Hackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialHackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialBruno Alexandre
 
What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.Pratum
 
Broken access control
Broken access controlBroken access control
Broken access controlPriyanshu Gandhi
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityRamiro Cid
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticosCentro universitario de Ixtlahuaca
 
ANÁLISIS
ANÁLISISANÁLISIS
ANÁLISISDante Campos
 

Contenu connexe

Tendances

powershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-londonpowershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-londonnettitude_labs
 
Secure code
Secure codeSecure code
Secure codeddeogun
 
Secure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa WorkshopSecure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa WorkshopPaul Ionescu
 
Web Application Security 101
Web Application Security 101Web Application Security 101
Web Application Security 101Jannis Kirschner
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacksJoe McCarthy
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attackPankaj Dubey
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksMarco Morana
 
Email phishing and countermeasures
Email phishing and countermeasuresEmail phishing and countermeasures
Email phishing and countermeasuresJorge Sebastiao
 
OWASP Top 10 - 2017
OWASP Top 10 - 2017OWASP Top 10 - 2017
OWASP Top 10 - 2017HackerOne
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Hackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialHackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialBruno Alexandre
 
What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.Pratum
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityRamiro Cid
 

Tendances (20)

powershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-londonpowershell-is-dead-epic-learnings-london
powershell-is-dead-epic-learnings-london
 
basic knowhow hacking
basic knowhow hackingbasic knowhow hacking
basic knowhow hacking
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
Secure code
Secure codeSecure code
Secure code
 
Secure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa WorkshopSecure Coding 101 - OWASP University of Ottawa Workshop
Secure Coding 101 - OWASP University of Ottawa Workshop
 
Web Application Security 101
Web Application Security 101Web Application Security 101
Web Application Security 101
 
Buffer overflow attacks
Buffer overflow attacksBuffer overflow attacks
Buffer overflow attacks
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Basic Security Training for End Users
Basic Security Training for End UsersBasic Security Training for End Users
Basic Security Training for End Users
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attack
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic Attacks
 
Email phishing and countermeasures
Email phishing and countermeasuresEmail phishing and countermeasures
Email phishing and countermeasures
 
OWASP Top 10 - 2017
OWASP Top 10 - 2017OWASP Top 10 - 2017
OWASP Top 10 - 2017
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Hackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialHackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia Social
 
What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.What is Social Engineering? An illustrated presentation.
What is Social Engineering? An illustrated presentation.
 
Broken access control
Broken access controlBroken access control
Broken access control
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 

En vedette

Ley de Delitos informaticos
Ley de Delitos informaticosLey de Delitos informaticos
Ley de Delitos informaticosopj-batishake
 
Triptico delitos ciberneticos
Triptico delitos ciberneticosTriptico delitos ciberneticos
Triptico delitos ciberneticosJoel031299
 
Protección de los sistemas de información
Protección de los sistemas de informaciónProtección de los sistemas de información
Protección de los sistemas de informaciónCarlos Ortega
 
Análisis de la Ley de Delitos Informáticos - Ley 30096
Análisis de la Ley de Delitos Informáticos - Ley 30096Análisis de la Ley de Delitos Informáticos - Ley 30096
Análisis de la Ley de Delitos Informáticos - Ley 30096Alvaro J. Thais Rodríguez
 
Aplicación de la normatividad informática
Aplicación de la normatividad informáticaAplicación de la normatividad informática
Aplicación de la normatividad informáticaAime Rodriguez
 
Guia del taller prevencion delito cibernetico
Guia del taller prevencion delito ciberneticoGuia del taller prevencion delito cibernetico
Guia del taller prevencion delito ciberneticoTips Seguridad
 
05 legislacion informatica legislacion y normatividad relativa al software
05 legislacion informatica legislacion y normatividad relativa al software05 legislacion informatica legislacion y normatividad relativa al software
05 legislacion informatica legislacion y normatividad relativa al softwareViky Jeronimo
 
10 consejos para un Cyber Monday seguro
10 consejos para un Cyber Monday seguro10 consejos para un Cyber Monday seguro
10 consejos para un Cyber Monday seguroESET Latinoamérica
 
Dream Team de la Seguridad Informática
Dream Team de la Seguridad InformáticaDream Team de la Seguridad Informática
Dream Team de la Seguridad InformáticaESET Latinoamérica
 
Caso de Éxito - Almacenes Vidri
Caso de Éxito - Almacenes VidriCaso de Éxito - Almacenes Vidri
Caso de Éxito - Almacenes VidriESET Latinoamérica
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 

En vedette (20)

Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
ANÁLISIS
ANÁLISISANÁLISIS
ANÁLISIS
 
Estado del cibercrimen
Estado del cibercrimenEstado del cibercrimen
Estado del cibercrimen
 
Ley de Delitos informaticos
Ley de Delitos informaticosLey de Delitos informaticos
Ley de Delitos informaticos
 
Triptico delitos ciberneticos
Triptico delitos ciberneticosTriptico delitos ciberneticos
Triptico delitos ciberneticos
 
Redlif Modulo I Meyer
Redlif Modulo I MeyerRedlif Modulo I Meyer
Redlif Modulo I Meyer
 
Suplantación de identidad
Suplantación de identidadSuplantación de identidad
Suplantación de identidad
 
Excelencia Operativa
Excelencia OperativaExcelencia Operativa
Excelencia Operativa
 
Protección de los sistemas de información
Protección de los sistemas de informaciónProtección de los sistemas de información
Protección de los sistemas de información
 
Análisis de la Ley de Delitos Informáticos - Ley 30096
Análisis de la Ley de Delitos Informáticos - Ley 30096Análisis de la Ley de Delitos Informáticos - Ley 30096
Análisis de la Ley de Delitos Informáticos - Ley 30096
 
Aplicación de la normatividad informática
Aplicación de la normatividad informáticaAplicación de la normatividad informática
Aplicación de la normatividad informática
 
Guia del taller prevencion delito cibernetico
Guia del taller prevencion delito ciberneticoGuia del taller prevencion delito cibernetico
Guia del taller prevencion delito cibernetico
 
05 legislacion informatica legislacion y normatividad relativa al software
05 legislacion informatica legislacion y normatividad relativa al software05 legislacion informatica legislacion y normatividad relativa al software
05 legislacion informatica legislacion y normatividad relativa al software
 
Delitos informáticos acetatos
Delitos informáticos acetatosDelitos informáticos acetatos
Delitos informáticos acetatos
 
10 consejos para un Cyber Monday seguro
10 consejos para un Cyber Monday seguro10 consejos para un Cyber Monday seguro
10 consejos para un Cyber Monday seguro
 
Dream Team de la Seguridad Informática
Dream Team de la Seguridad InformáticaDream Team de la Seguridad Informática
Dream Team de la Seguridad Informática
 
Guía de Privacidad en Internet
Guía de Privacidad en InternetGuía de Privacidad en Internet
Guía de Privacidad en Internet
 
Caso de Éxito - Almacenes Vidri
Caso de Éxito - Almacenes VidriCaso de Éxito - Almacenes Vidri
Caso de Éxito - Almacenes Vidri
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Malware android
Malware androidMalware android
Malware android
 

Similaire à Guía de doble autenticación

Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1ticoiescla
 
Investigaciòn 3 Comercio Electronico inciso A y C
Investigaciòn 3 Comercio Electronico inciso A y CInvestigaciòn 3 Comercio Electronico inciso A y C
Investigaciòn 3 Comercio Electronico inciso A y CBetto Guillen
 
Revista la luz
Revista la luzRevista la luz
Revista la luznvillam
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebAlonso Caballero
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialmdsp1995
 
Minimanual registro sistema cl@ve permanente con certificado digital
Minimanual registro sistema cl@ve permanente con certificado digitalMinimanual registro sistema cl@ve permanente con certificado digital
Minimanual registro sistema cl@ve permanente con certificado digitalAgneta Gallardo
 
tecnologia virus
tecnologia virustecnologia virus
tecnologia virusAnabel96
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagosremyor09
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetviolelopez7
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronicaJUANDIEGO284
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticafelipevillaba
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Redmsma
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Redmsma
 
Analisis de caso 2 fraude electrónico
Analisis de caso 2 fraude electrónicoAnalisis de caso 2 fraude electrónico
Analisis de caso 2 fraude electrónicoSteven Guevara
 

Similaire à Guía de doble autenticación (20)

Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1
 
Investigaciòn 3 Comercio Electronico inciso A y C
Investigaciòn 3 Comercio Electronico inciso A y CInvestigaciòn 3 Comercio Electronico inciso A y C
Investigaciòn 3 Comercio Electronico inciso A y C
 
Manual sobre el registro en el sistema cl@ve
Manual sobre el registro en el sistema cl@veManual sobre el registro en el sistema cl@ve
Manual sobre el registro en el sistema cl@ve
 
HACKERS
HACKERSHACKERS
HACKERS
 
Revista la luz
Revista la luzRevista la luz
Revista la luz
 
Webinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación WebWebinar Gratuito: Amenazas contra la Autenticación Web
Webinar Gratuito: Amenazas contra la Autenticación Web
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Revista delitos informaticos
Revista delitos informaticosRevista delitos informaticos
Revista delitos informaticos
 
Minimanual registro sistema cl@ve permanente con certificado digital
Minimanual registro sistema cl@ve permanente con certificado digitalMinimanual registro sistema cl@ve permanente con certificado digital
Minimanual registro sistema cl@ve permanente con certificado digital
 
tecnologia virus
tecnologia virustecnologia virus
tecnologia virus
 
Está Bien Saberlo
Está Bien SaberloEstá Bien Saberlo
Está Bien Saberlo
 
la verdad sobre la biometría
la verdad sobre la biometríala verdad sobre la biometría
la verdad sobre la biometría
 
Seguridad del sitio y pagos
Seguridad del sitio y pagosSeguridad del sitio y pagos
Seguridad del sitio y pagos
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Riesgos de la informacion electronica
Riesgos de la informacion electronicaRiesgos de la informacion electronica
Riesgos de la informacion electronica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Presentacion semana 8
Presentacion semana 8Presentacion semana 8
Presentacion semana 8
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
 
13 Privacidad En La Red
13 Privacidad En La Red13 Privacidad En La Red
13 Privacidad En La Red
 
Analisis de caso 2 fraude electrónico
Analisis de caso 2 fraude electrónicoAnalisis de caso 2 fraude electrónico
Analisis de caso 2 fraude electrónico
 

Plus de ESET Latinoamérica

5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son RansomwareESET Latinoamérica
 
Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3ESET Latinoamérica
 
Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4ESET Latinoamérica
 
Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4ESET Latinoamérica
 
Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3ESET Latinoamérica
 
Eset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-esEset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-esESET Latinoamérica
 

Plus de ESET Latinoamérica (20)

ESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdfESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdf
 
5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware
 
Ransomware y Backup
Ransomware y BackupRansomware y Backup
Ransomware y Backup
 
Eset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 bEset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 b
 
Eset infografia-evitarataque
Eset infografia-evitarataqueEset infografia-evitarataque
Eset infografia-evitarataque
 
Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3
 
Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4
 
Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4
 
Eset infografia passwords
Eset infografia passwordsEset infografia passwords
Eset infografia passwords
 
Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
 
Eset infografia-ransomware
Eset infografia-ransomwareEset infografia-ransomware
Eset infografia-ransomware
 
Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2
 
Eset infografia-dia del pirata
Eset infografia-dia del pirataEset infografia-dia del pirata
Eset infografia-dia del pirata
 
Eset infografia-fintech-v3
Eset infografia-fintech-v3Eset infografia-fintech-v3
Eset infografia-fintech-v3
 
Eset infografia-incidentes 2020
Eset infografia-incidentes 2020Eset infografia-incidentes 2020
Eset infografia-incidentes 2020
 
Eset infografia-ransomware-es
Eset infografia-ransomware-esEset infografia-ransomware-es
Eset infografia-ransomware-es
 
Eset infografia-covid-final
Eset infografia-covid-finalEset infografia-covid-final
Eset infografia-covid-final
 
Eset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-esEset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-es
 

Guía de doble autenticación

  • 1. Guía de doble autenticación
  • 2. 2 1. Introducción a la Doble Autenticación: ¿Qué es? 4 Ataques a las contraseñas 6 Fuerza bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2. Cómo configurar la Doble Autenticación en los siguientes servicios: Facebook 10 Twitter 11 LinkedIn 12 Google (Gmail) 13 Apple 14 3. Conclusión 15 Índice Guía doble autenticación
  • 3. 3 En la actualidad, la mayoría de las personas utilizan servicios que requieren de credenciales de acceso, es decir, un nombre de usuario y contraseña para poder ingresar a sitios o servicios. En esta línea, la clave actúa como una llave digital que le permite a un usuario identifi- carse en el sistema para poder acceder a su información. De este modo, dicha contraseña protege los datos privados del acceso no autorizado por parte de terceros. Sin embargo, el aumento de ataques informáticos sumado a las conductas inseguras de las personas, como el uso de contraseñas débi- les e iguales en varios servicios, hacen necesario utilizar métodos de autenticación complementarios más robustos. A raíz de esto, muchas empresas están implementando la doble autenticación. Esta guía tiene como objetivo, explicar qué es la doble autenticación y el modo de activarla en los servicios más populares como Gmail, Face- book, Twitter y otros. Introducción
  • 4. 4 La doble autenticación se trata de un sistema que complementa la autenticación tradicional en los servicios. En otras palabras, además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor de autenticación, como por ejemplo, un código de seguridad. Generalmente, este código se genera en un dispositivo del usuario como un teléfono celular o token. Luego, la persona debe ingre- sarlo para poder validarse en el sistema. El siguiente esquema muestra el funcionamiento de la doble autenticación: ¿Qué es la doble autenticación? Usuario ingresa PIN en el sistema y se permite el acceso. Usuario ingresa PIN en el sistema y se permite el acceso. Usuario genera el PIN en su teléfono o token. Usuario genera el PIN en su teléfono o token. Usuario ingresa credencial de acceso. Usuario ingresa credencial de acceso. Sistema valida credencial y envía un segundo factor de autenticación (PIN). Sistema valida credencial y envía un segundo factor de autenticación (PIN).
  • 5. 5 Un sistema de doble autenticación es aquel que utiliza dos de los tres factores de autenticación que existen para validar al usuario. Estos factores pueden ser: • Algo que el usuario sabe (conocimiento), como una contraseña. • Algo que el usuario tiene (posesión), como un teléfono o token que le permite recibir un código de seguridad. • Algo que el usuario es (inherencia), o sea, una característica intrínse- ca del ser humano como huellas dactilares, iris, etc. Por lo general, los sistemas de doble autenticación suelen utilizar los factores conocimiento (nombre de usuario y contraseña) y posesión (teléfono o token para recibir código de seguridad). Factores de autenticación
  • 6. 6 A continuación, se explican los cuatro tipos de amenazas informáticas que utilizan los cibercriminales para vulnerar contraseñas: Ataques informáticos que roban contraseñas FUERZA BRUTA: software que utiliza un “diccionario” cargado de contraseñas comúnmente utilizadas, con el objetivo de descifrar la clave de la víctima a través de comparaciones y pruebas sucesivas. MALWARE (CÓDIGO MALICIOSO): programa diseñado para realizar diversas acciones maliciosas, como el robo de contraseñas y credenciales de acceso. PHISHING: falsificación de una entidad de confianza, como bancos y redes sociales, por parte de un cibercriminal. De este modo, el atacante busca manipular a la víctima para que ingrese sus credenciales de acceso en un sitio falso pero que luce idéntico al original. ATAQUES A SERVIDORES: vulneración de un sistema informático utilizado para almacenar la base de datos de credenciales de acceso de un determinado servicio.
  • 7. 7 Al igual que las amenazas explicadas anteriormente, una conducta insegura por parte del usuario también contribuye a que una contrase- ña pueda ser vulnerada. En este sentido, el uso de una clave única para varios servicios, que sea fácil de adivinar, que se encuentre escrita en documentos, que sea compartida, entre otras alternativas; facilita considerablemente que los cibercriminales puedan obtener acceso a la información del usuario. Conductas inseguras del usuario con las contraseñas
  • 8. 8 Como se pudo observar en las páginas anteriores, son diversas las ame- nazas y conductas que pueden contribuir a que un usuario se vea afec- tado por el robo de una o varias contraseñas, no obstante, la doble autenticación permite mitigar considerablemente tales amenazas. Por ejemplo, un cibercriminal podría robar una clave utilizando un código malicioso, y si bien dicha contraseña sería obtenida, el atacante no podría lograr el acceso al sistema debido a que desconocería el segundo factor de autenticación, es decir, el código que se envía al teléfono o token del usuario. El siguiente esquema expone cómo la doble autenti- cación logra mitigar ataques que roban contraseñas: Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso. Atacante no tiene acceso al segundo código. Sistema prohíbe el ingreso. Sistema solicita el segundo factor de autenticación. Sistema solicita el segundo factor de autenticación. Cibercriminal roba contraseña utilizando alguna amenaza informática. Cibercriminal roba contraseña utilizando alguna amenaza informática. Luego, ingresa la credencial robada e intenta acceder al sistema. Luego, ingresa la credencial robada e intenta acceder al sistema. Doble autenticación y mitigación de ataques
  • 9. 9 Debido a diversos ataques que involucran el robo de contraseñas, y que han afectado a importantes empresas, muchos servicios ofrecen la posibilidad de activar la doble autenticación de forma gratuita. Es importante destacar que este tipo de protección no viene configurada por defecto, por lo tanto, el usuario deberá modificar algunos paráme- tros para activarla. En las siguientes páginas se detallarán las instruc- ciones necesarias para configurar este sistema de protección en Face- book, Twitter, LinkedIn, Google y Apple. ¿Cómo activar la doble autenticación en servicios web?
  • 10. 10 Para activar la doble autenticación en Facebook se debe seguir este procedimiento: 1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en “Configuración de la cuenta”. 2) Luego, hacer clic sobre la opción Seguridad que aparece en el costado izquierdo de la página. 3) Allí se debe activar la opción Solicitar un código de seguridad para acceder a mi cuenta desde navegadores desconocidos, tal como apare- ce en la siguiente captura: En el caso de Facebook, el segundo código de seguridad será solicitado cada vez que el usuario ingrese al servicio utilizando un dispositivo desconoci- do, es decir, un equipo que no ha sido utilizado anteriormente para acceder a la red social. En Facebook
  • 11. 11 Para activar la doble autenticación en Twitter se debe seguir este procedimiento: 1) Hacer clic sobre el icono en forma de rueda dentada ubicado en la parte superior derecha del sitio. Posteriormente hacer clic en Configuración. 2) En la sección Seguridad y privacidad activar la opción Enviar peticiones de verificación de inicio de sesión a mi teléfono: 3) Para poder activar dicha opción el usuario deberá asociar un número de teléfono con la cuenta de Twitter. Esto puede realizarse haciendo clic en el enlace añadir un teléfono. En Twitter
  • 12. 12 Para activar la doble autenticación en LinkedIn se debe seguir este procedimiento: 1) Acceder al menú de configuración haciendo clic en el nombre de usuario que aparece en el costado superior derecho de la página. En el menú, hacer clic sobre “Configuración”. 2) En la sección de configuración se debe acceder a la pestaña “Cuenta” y luego hacer clic en “Gestionar configuración de seguridad”. 3) Luego activar la opción “Verificación en dos etapas para inicio de sesión”: En LinkedIn
  • 13. 13 Para activar la doble autenticación en Gmail se debe seguir este procedimiento: 1) Ir al botón en forma de rueda dentada (ubicado en el costado superior derecho) y presionar sobre “Configuración”. 2) Se debe hacer clic en la pestaña “Cuentas” y luego sobre el enlace “Otra configuración de la cuenta de Google”: 3) Allí presionar sobre “Seguridad” y luego hacer clic en el botón “Configuración” o “Editar” que aparece en la sección Verificación en dos pasos que aparece casi al final de la página: En Gmail
  • 14. 14 Para activar la doble autenticación en Apple se debe seguir este procedimiento: 1) Ingresar al portal Mi ID de Apple. Allí, presionar el botón “Administra tu ID de Apple” que aparece en la parte derecha del sitio. 2) Se deberá iniciar sesión utilizando las credenciales de acceso y presionando sobre el botón “Conectarse”. 3) Una vez que el usuario se ha identificado en el sistema, deberá hacer clic en “Contraseña y seguridad” tal como aparece en la siguiente imagen: En Apple Cabe destacar que, Apple está implementando la doble autenticación gradualmente, por lo tanto, aún no se encuen- tra disponible para usua- rios de América Latina.
  • 15. /ESETLA/COMPANY/ESET-LATINOAMERICA @esetla A lo largo de esta guía, se profundizó en la importancia de contar con un método de autenticación robusto. En esta línea y conscientes de esta problemática, muchas empresas han implementado sistemas de doble autenticación para contribuir a la seguridad y protección de la información de sus usuarios. Teniendo en cuenta que los usuarios manejan cada vez más información sensible en sus cuentas, resulta lógico que los cibercriminales destinen mayores recursos al robo de las contraseñas que la protegen. Desde el punto de vista técnico, es posible reducir este tipo de ataques, sin embargo, la participación del usuario es primordial en todo el proceso de protección para poder evitar una amenaza que involucre el robo de contraseñas. Varias empresas y bancos ofrecen sistemas de doble autenticación, no obstante, en la mayoría de los casos dicha opción se encuentra desactivada por defecto. Para solucionar este inconveniente es nece- sario que el usuario comprenda la importancia de este método de protección y aprenda a configurarlo en los distintos servicios dispo- nibles en Internet. Asimismo, este aspecto cobra mayor relevancia, ya que de acuerdo a una encuesta realizada por ESET Latinoamérica, el 64% de los usuarios de América Latina desconocen qué es la doble autenticación.