Dos mejor que uno: autenticación con doble factor
La Universitat Jaume I (UJI) de Castelló es una de las primeras universidades públicas españolas en implantar la autenticación de doble factor, tal y como marca el Esquema Nacional de Seguridad (ENS). Con este sistema, los usuarios deben autenticarse con dos mecanismos diferentes para acceder a los servicios informáticos, haciendo muy difícil su suplantación, aunque alguien pueda conocer su contraseña.
Hoy en día, es relativamente sencillo conocer la contraseña de un usuario. Las brechas en la ciberseguridad se han puesto en evidencia, por ejemplo, con los robos masivos de datos, el caso del hackeo a las cuentas de correo electrónico de los jueces del ‘procés’ o el reciente descuido del equipo de la ministra de Defensa de Países Bajos que permitió que un periodista se colara en una reunión secreta de la Unión Europea por videoconferencia. Poniendo simplemente ‘conocer contraseña’ en el buscador Google obtenemos hasta 141 millones de resultados, que nos dan una idea del alcance del problema. Precisamente, la autenticación con doble factor lo que intenta evitar es eso: intrusiones y hackeos.
Se trata de una medida de seguridad para acceder a los servicios y aplicaciones informáticas, de manera que el usuario ha de aportar, además de su contraseña, un código de verificación extra. Algo parecido a lo que llevan haciendo, desde hace tiempo, los bancos y que más recientemente se ha extendido a comercios online o redes sociales. El Esquema Nacional de Seguridad (ENS) marca que la autenticación con doble factor se debe exigir en aquellos servicios y sistemas TIC calificados de categoría de protección media o alta. Siguiendo esta normativa, la UJI ha implantado este mecanismo de acceso a algunas de sus herramientas informáticas. Es una de las primeras universidades españolas en aplicarlo junto a la Universidad de Granada, la Universidad de Salamanca, la Universidad Complutense de Madrid, la Universidad Rey Juan Carlos o la Universidad de Córdoba.
Para acceder a los servicios, los usuarios deben autenticarse, primero, como ya era habitual, con su nombre y clave de acceso y, después, aportar un número de seis dígitos de un solo uso. Un código que se puede obtener usando la aplicación móvil Google Authenticator, a través de un SMS o de un correo electrónico a una cuenta alternativa a la corporativa. Además, el sistema genera también, automáticamente, un listado de números de un solo uso para utilizarlos cuando no se tiene a mano ni el teléfono móvil ni el correo electrónico. Todos los detalles de su funcionamiento están recogidos en un manual de usuario. Durante los últimos meses, la Universidad castellonense lo ha estado probando con un grupo reducido de usuarios y con algunas aplicaciones concretas y, a partir de ahora. lo irá extendiendo de manera progresiva a toda la comunidad universitaria y a todos los servicios con protección media y alta.
El objetivo máximo del doble factor es incrementar las medidas de seguridad y hacer muy difícil la suplantación de la identidad de un usuario, aunque alguien pueda llegar a conocer su contraseña. En definitiva, con la doble autenticación, los ciberdelincuentes o hackers tienen mucho más complicado acceder a nuestras llaves y servicios.
